La rete incontrollabile: Cenni per orientarsi nei controlli sui sistemi di networking (Lan, Wan, Internet) Giancarlo Turati Ceo FasterNet soluzioni di Networking S.r.l.
Il Network: Un problema di comunicazione Affrontare le problematiche del controllo in ambito rete in maniera convenzionale, senza cioè tener conto dell ambiente nel quale ci si addentra, sarebbe un errore di valutazione grossolano e letale Il network è sostanzialmente un mezzo di comunicazione sul quale si vanno ad innestare processi di tipo applicativo Essendo un sistema di comunicazione risponde alle sue regole fondamentali e cioè:
La comunicazione globale
Il Network: Un problema di comunicazione Comunicare con chi (l ambito, la topologia, l architettura) Comunicare con che cosa (il mezzo, la tecnologia, le parti passive e attive) Comunicare perchè (I flussi logici, l organizzazione..) Comunicare che cosa (I dati, la voce, le immagini, I suoni) Comunicare velocemente (specifiche, banda) Comunicare economicamente ( le tariffe, I fornitori) Comunicare sempre (disponibilità, affidabilità, SLA) Comunicare sicuramente (integrità, riservatezza, fiducia)
Il Network: Un po di storia
LA COMPARSA DEL PC: PRIMO BREAK EVENT Nasce con il miraggio dell utilizzo personale, ma si rivela vincente solo quando sono disponibili applicazioni appetibili (la sconfitta dell home computer ). Altrimenti e troppo costoso per competere con i terminali
OLD NETWORKING: INSEGUIRE L ESIGENZA Nasce l esigenza di un pool di standard aperti che, nel campo informatico, consentano a piu vendor di poter operare senza dover necessariamente fornire TUTTO. Le reti (modello ISO-OSI) nascono inseguendo l esigenza di connettivita, introducendo uno standard aperto adatto a stazioni paritetiche
CONNETTIVITA : LA PRIMA SFIDA In ambito locale (LAN) le problematiche principali sono: Quale regola d accesso adottare, direttamente collegata alla complessita (e quindi al costo) hardware per realizzarla (Ethernet o Token Ring); Quale infrastruttura adottare (Cavo tipo 1, FTP, UTP) Le reti locali sono progettate in base a distanze e media utilizzati; In ambito geografico le problematiche sono: l affidabilita (che si riflette sulla complessita dei protocolli utilizzati (CDA,CDN,x25,ISDN Frame Relay) i costi di attivazione (lato utente) e di gestione (lato provider)
INTERNET ED IP: IL SECONDO BREAK EVENT L avvento di IP e della relativa suite di protocolli prepara il terreno, ma e ancora una volta l applicazione a forzare i tempi. Vince chi ne ha intuito: le potenzialita ; la penetrazione del messaggio; la forza dell uniformita di accesso (browser) dal punto di vista Client (assenza di Client Software personalizzati). Per molti e sufficiente la mail!
BANDA: LA SECONDA SFIDA La lentezza avvertibile lato utente fornisce la molla per la seconda sfida. In ambito LAN: compare la tecnologia switched vince la tecnologia piu scalabile (10/100/1000) Ethernet In ambito WAN/MAN compare la larga banda: HDSL ADSL DWDM
NEW NETWORKING: LA PROGETTAZIONE DI NUOVI SERVIZI Sicurezza Management IP Telephony Content Delivery Network VideoConferenza VideoSorveglianza Domotica Controllo di processo non sono nient altro che: just another application on the IP network Si presentano con architetture hardware-software che appoggiano direttamente sulla rete, dando per scontato che questa funzioni.
NETWORKING: NON SOLO INFRASTRUTTURA! MANAGEMENT SECURITY CDN IP TELEPHONY VIDEO APP. STORAGE INTELLIGENT NETWORKING (VLAN - L3 switch - QoS - VPN - Multicast) CONNETTIVITA IP Wireless Altre Tecnologie Laser LRE Hub - Switch Cabling
Processo di gestione della sicurezza Processo di gestione della sicurezza. Deve essere continuativo UN SISTEMA DI SICUREZZA BEN REALIZZATO DIVENTA PRESTO OBSOLETO (nuove tipologie di attacco, nuovi virus )
Processo di gestione della sicurezza Deve esistere un AUDITING: Devono essere registrate, in modo permanente e non modificabile, tutte le richieste verso le risorse protette.
Processo di gestione della sicurezza Deve esistere un AUDITING: Deve essere esaminata la topologia e la tipologia della rete. I Sistemisti devono dimostrare di essere padroni della situazione (documentazione, configurazioni, back up)
Processo di gestione della sicurezza Deve esistere un AUDITING: Deve essere esaminata la tecnologia (Switch, wireless ) e le misure adottate Le Vlan vanno esaminate attentamente nel disegno e nelle configurazioni Esistono VPN? (Virtual Private Network)
Processo di gestione della sicurezza Deve esistere un AUDITING: Reti wireless, controllare se implementate le opzioni di sicurezza (Accesso, critto, login), non è sempre scontato Sistemi di accesso per connessioni da remoto (Access Node, RAS) verificare le liste di login, i numeri di telefono e dove è installato il nodo (a valle o a monte di un Firewall) Sistemi di Autenticazione
Internet Modello di un sistema di sicurezza Difesa del perimetro Difesa dei sistemi Difesa delle comunicazioni Firewall, Router, VPN Sistemi operativi, Patch Autenticazione, Cifratura Educazione degli eventi Identificazione delle intrusioni Identificazione delle vulnerabilità Aggiornamento Intrusion detection system, Antivirus Security probe
Difesa del perimetro FIREWALL (packet filtering): Analizza il traffico in entrata e in uscita Blocca quello che non è conforme alle regole di sicurezza impostate Non può fare URL-Filtering (filtrare la navigazione internet) C è la DMZ?
Difesa del perimetro PROXY - Si interpone tra i Client e il Firewall Intercetta le richieste dei client Verifica che il client abbia il permesso per navigare Inoltra ai server internet le richieste consentite dalle policy di sicurezza
Difesa del perimetro NAT Tecnica che consente di mascherare gli indirizzi IP degli host interni di una rete Non è sufficiente a difendere il perimetro
Difesa dei sistemi Alcuni attacchi si basano su: Debolezze intrinseche dei sistemi operativi Debolezze delle applicazioni Corretta configurazione dei programmi e applicazioni Non lasciare porte aperte inutilizzate 2. Minimizzare le vulnerabilità Implementazione delle security patch rilasciate dai produttori del software
Difesa delle comunicazioni CRITTOGRAFIA DEI DATI: Serve per rendere indecifrabili i dati a chi non dispone dell autorizzazione necessaria. Utilizzata nelle transazioni economiche via WEB Utilizzata per realizzare reti VPN (Virtual Private Network) AUTENTICAZIONE: Serve per verificare l identità dichiarata da un soggetto (RADIUS TACACS+)
Identificazione delle intrusioni IDS (Intrusion Detection System) Rappresenta l equivalente di un sistema d allarme che segnala in tempo reale un intrusione non autorizzata. - FIREWALL: porta blindata - IDS: sistema d allarme Gli IDS analizzano il traffico di rete Riconoscono l impronta digitale di un attacco
Identificazione delle intrusioni IDS Dove li mettiamo? Quanto li usiamo? Chi li manutiene Attenzione alla separazione dei ruoli, chi legge, valuta e archivia i log -
Identificazione delle intrusioni VIRUS: E un programma auto-replicante che, senza che l utente se ne accorga, modifica il contenuto del computer. ANTIVIRUS: E un programma che opportunamente installato e aggiornato permette di verificare e testare i files in ingresso (Mail, disco,.), individuando i virus e neutralizzandoli
Test di Penetrazione (Security Probe): una baggianata? Una metodologia di Audit? Il security probe consiste nel "mettersi nei panni dell'hacker" cercare di attaccare la rete in esame usando gli stessi strumenti/metodologie dell'hacker la verifica viene fatta utilizzando appositi prodotti quando opportuno, con alcune verifiche manuali.
Test di Penetrazione (Security Probe): una baggianata? Una metodologia di Audit? Il primo limite consiste nella differenza sostanziale che c'e' fra un hacker e un consulente: il consulente e' autorizzato a svolgere alcune operazioni generalmente non gli sono permesse verifiche che possano bloccare o danneggiare i servizi del cliente; il consulente e' autorizzato ad attaccare i sistemi del cliente, ma non altri
Test di Penetrazione (Security Probe): una baggianata? Una metodologia di Audit? Il primo limite consiste nella differenza sostanziale che c'e' fra un hacker e un consulente: il consulente costa e ci si aspettano risultati in tempi brevi; per questo la maggior parte delle aziende che fanno queste verifiche si limitano a "fare un giro" con i vari prodotti specializzati disponibili sul mercato
Test di Penetrazione (Security Probe): una baggianata? Una metodologia di Audit? Il primo limite consiste nella differenza sostanziale che c'e' fra un hacker e un consulente: l'hacker prova tutto quello che vuole se l'hacker ha bisogno di attaccare preventivamente qualcun'altro (un partner, un provider, un sistema in hosting) non ha problemi; l'hacker non ha problemi di tempo e di costi; puo' impegnare parecchio tempo distribuito nell'arco di mesi
Test di Penetrazione (Security Probe): una baggianata? Una metodologia di Audit? Il primo limite consiste nella differenza sostanziale che c'e' fra un hacker e un consulente: l'hacker puo' fare altri tentativi di contorno: comuni sono ad esempio le telefonate cercando di raccogliere informazioni o simili Questo genere di attivita' difficilmente viene offerto come parte di un probe, che si limita invece agli aspetti puramente tecnici/informatici
Test di Penetrazione (Security Probe): una baggianata? Una metodologia di Audit? Il secondo grosso limite consiste nella validita' dei risultati di un probe. Ogni giorno vengono scoperte nuove vulnerabilita' semplici bachi di programmi sistemi che un giorno sono "sicuri" diventano vulnerabili il giorno successivo. Il probe e' una verifica puntiforme, che non dice niente sulle potenziali debolezze dei sistemi, ma solo su quelle che in quel momento sono note ma non sono ancora state corrette. Un sistema che abbia superato un probe, o di cui siano state corrette le debolezze individuate, puo essere semplicemente in attesa del "baco del giorno dopo".
Concludendo Una verifica diretta dei sistemi e dell'architettura permette invece di dire: "il sistema non e' vulnerabile ma e' mal configurato, per cui nel momento in cui si presenti una vulnerabilita' del tale servizio, l'intera rete puo' essere compromessa" "il tale programma e vulnerabile, ma per come e' stato configurato il sistema l'effetto e limitato".
Concludendo Una verifica ben fatta oggi può voler dire: Approccio metodologico Definizione degli ambiti Conoscenza delle tecnologie Controllo sulle terze parti Molto tempo a disposizione
WWW.Fasternet.it grazie! Q & A