Protezione della propria rete
Introduzione Questo documento vuole essere un promemoria per la protezione della propria rete informatica oltre che fornire una checklist di supporto nelle modalità di progettazione sicura di una rete oltre che fornire un documento per la gestione degli incidenti. Obiettivi Avere un schema di massima sulle procedure operative da seguire per progettare la sicurezza della propria rete e realizzare un documento per la gestione degli incidenti. Progetto di rete Per implementare la sicurezza della propria rete si deve partire dai seguenti punti: - disegnare lo schema di rete che si vuole ottenere - stabilire i requisiti - identificare le specifiche tecniche per ogni requisito - analizzare per ogni spezzone di rete gli apparati che servono per i collegamenti fisici - analizzare i tipi di server / client da acquistare - produrre una tabella che riassuma tutti gli apparati inserendo caratteristiche, costi, marca La seguente tabella mostra le misure da adottare in relazione a ciò che vogliamo proteggere: Cosa voglio proteggere Sicurezza perimetrale Sicurezza delle interconnessioni Sicurezza workstation/server Tipo di protezione Firewall VPN, comunicazioni cifrate (ssl) Antivirus + patch E inoltre importante utilizzare a difesa del proprio perimetro dei sistemi di IDS (Intrution Detection System) al fine di essere costantemente avvisati di eventuali attacchi in corso. Inoltre è importantissimo essere costantemente aggiornati sull evoluzione tecnologica dei sistemi per poter migliorare la sicurezza della propria rete. Tali aggiornamenti possono essere realizzati mediante corsi di formazione / aggiornamento e con la costante lettura di documentazione tecnica. Si inizia sempre con il disegno della rete, ecco un esempio semplice:
Wi-fi LAN Switch server 1 server2 server 3 server 4 Il passo successivo consiste nel capire quali sono gli apparati necessari ed effettuare una ricerca per confrontare caratteristiche e costi di ogni apparato al fine di valutare vantaggi e svantaggi per poter effettuare le opportune scelte. Per questo motivo può essere utile una tabella di questo tipo: Apparato Caratteristiche Si/No Marca / Modello Costo Firewall Filtro antispam Si ----. Proxy No ---- VPN Si ---- Nota bene La scelta di un firewall è una scelta delicata che deve essere valutata attentamente. Prima di effettuare la scelta è importantissimo analizzare attentamente la tipologia di rete e il tipo di zone che si dovranno utilizzare (solo rete locale, zona DMZ, ecc.). In base alle esigenze riscontrate all interno della propria azienda, è conveniente tenere presente i seguenti parametri per la scelta del tipo di firewall: - Aggiornamenti di sicurezza - Eventuali limitazioni sul numero max di connessioni - Possibilità di filtrare virus / spam - Report
- Possibilità di inviare i log su un log server - IDS integrato - Proxy server integrato - Numero di schede di rete (importante per poter avere più zone possibili) - VPN Inoltre è importante scegliere un firewall il più modulare possibile ovvero con la possibilità di aggiungere caratteristiche aggiuntive in un secondo momento senza dover cambiare modello. Ad esempio, se al momento attuale la VPN non mi è utile, potrebbe servirmi tra 1 anno, quindi devo avere la possibilità di aggiungere un modulo aggiuntivo senza dover comprare un nuovo apparato. Al fine di completare un piano di sicurezza è assolutamente indispensabile la gestione di - Backup - Log Infine, ma non per questo meno importante, l aggiornamento continuo del personale tecnico mediante: - Corsi di formazione / aggiornamento - Mailing list - Technical Security Alert www.cert.org Strumenti Di seguito vengono segnalati alcuni strumenti utili per la gestione della sicurezza: - Tripwire, necessario per monitorare l integrità dei file (http://sourceforge.net/projects/tripwire/) - Nagios, per avere un controllo centralizzato della propria rete (http://www.nagios.org/) - Netstat, un semplice comando per verificare le porte tcp/udp aperte su un server/client Piano di emergenza Il piano di emergenza è fondamentale per poter reagire ad un incidente informatico. Per spiegare la stesura di un piano di emergenza partiamo da un esempio: Un nostro server è stato compromesso, ovvero ha subito un attacco informatico andato a buon fine e si deve reagire all incidente. Per reagire ad un simile evento si deve realizzare un documento che comprenda tutte le procedure da eseguire per poter ripristinare la situazione - Spegnere brutalmente la macchina (non effettuare la procedura standard di shutdown in quanto l hacker potrebbe aver adottato delle contromisure che cancellino i file di log durante la fase di chiusura - Effettuare una copia esatta del disco o eventualmente sostituire il disco in modo da analizzare con calma le modalità di intrusione - Ripristinare il sistema operativo e i vari applicativi Ogni azione deve essere esplicitata in un documento che descriva i vari passi da eseguire usando un template simile al seguente:
Procedura Spegnimento macchina Copia del disco Ripristino del sistema operativo Azioni Staccare la spina di alimentazione Aprire il case del server Staccare il disco Si ha un disco nuovo? Si attaccare il nuovo disco No attaccare il disco al dispositivo di copia Effettuare la clonazione del disco Scaricare l ultima release del sistema operativo Ecc. Ecc.