lunedì 26 ottobre 2015

La Sicurezza nelle Reti IT

Per un adeguato progetto di Rete Enterprise è necessario includere delle misure di Sicurezza al fine di evitare attacchi fraudolenti. Ad ogni modo qualora come nel nostro caso si utilizzino apparati CISCO, è da ricordare che ogni modulo fisico dell’apparato di Rete può implementare dei meccanismi di sicurezza per definendo il “Cisco Self Defending Network”. Per sicurezza di Rete, difatti, non s’intende solo il controllo degli accessi ma anche prevenire furti di dati.  Di seguito le possibili minacce di una Rete Enterprise:


  • Attacco sulla base del riconoscimento in particolare delle porte e dei servizi che vengono utilizzati dagli utenti della Rete, attraverso comandi od applicativi che eseguono appunto un “port scanning”
  • Un approccio detto di “social engineering” in cui si convince un utente ad ottenere delle credenziali o semplicemente analizzando delle semplici vulnerabilità del sistema
  • Il Denial Of Service (o DoS) che consiste nel saturare il Sistema di Rete attraverso un continuo invio di pacchetti informativi o semplicemente di richieste. Questo consente all’hacker in questione di andare a rendere il Sistema stesso non utilizzabile




Di seguito, invece, i rischi che un progettista deve tenere in considerazione:

  • La cura di d’informazioni confidenziali
  • Mantenimento dei dati integri senza che alcuna persona possa eseguire la modifica dei dati stessi (oppure che vengano modificati solo da chi è effettivamente autorizzato)
  • Adottare il principio d’integrità del sistema, ossia fare in modo che i dati comunque siano recuperati o quantomeno rimangano integri nel sistema

E’ importante notare come un sistema d’attacco e quindi di penalizzazione della Rete Enterprise, non è legata solo al singolo utente (o Workstation) presente ma anche a tutti gli elementi del sistema sia a livello software che a livello hardware. E quindi si parla di:

  • Router
  • Switch
  • Server DNS e soprattutto DHCP
  • IP Phones
  • Dispositivi che si occupano di IDS/IPS

Cosa è previsto che allora il progettista faccia? Semplicemente andare a creare una sorta di documentazione che possa riassumere tutte le regole che di Policy per la Sicurezza, come ad esempio come gli utenti che accedono ad una Rete possono accedere o no alla stessa Infrastruttura. Ma oltre ad una politica di accessi documentata, è importante che il progettista faccia vedere come il Cliente possa affrontare e valutare determinate situazioni di rischio prendendo delle contromisure attraverso delle regole. Quest’insieme di regole vengono classificate come:

  • Quali sono i permessi per accedere alla Rete ma soprattutto quali tipi di dati posso essere utilizzati dall’utente
  • Come viene gestito questo meccanismo di prevenzione al rischio e da chi all’interno della Rete
  • Quali azioni vengono intraprese in caso d’attacco immediato dall’esterno.

Ma chiaramente questo documento non può essere universale ed anzi si deve ben adattare ai requisiti ed alle situazioni nella Rete del Cliente. Quindi per costruire una ragionamento flessibile e documentabile, il progettista deve ragionare per punti:

  • Adottare tutte le misure di sicurezza che si conoscono come fornire delle autenticazioni nell’accesso per gli utenti, adottare un ACL per il filtraggio del traffico indesiderato, criptare se possibile i dati, utilizzare una rete privata non accessibile dall’esterno (come la VPN in MPLS)
  • Adottare i meccanismi conosciuti come IDS ed IPS che consentono di controllare e notificare delle anomalie sulla sicurezzaTestare la qualità della Rete in termini di sicurezza andando periodicamente a scovare eventuali vulnerabilità del sistema stesso
  • Sulla base dei punti precedenti, andare sempre a cercare il miglioramento della Rete per ridurre i fenomeni di attacco e quindi di rischio.

CISCO si è focalizzato per migliorare ciò ed in particolare:

  • Definire in che modo delle qualsiasi entità di Rete possano ed in che modo comunicare
  • Come associare valore all’identità dell’utente nella Rete, ad esempio fornendo password o certificati
  • Definire, che poi era uno dei 4 punti sui quali un progettista deve basarsi, i principi di autenticazione (come identificare l’utente) e di autorizzazione (quali sono i reali permessi per l’utente nella Rete)
  • A livello propriamente fisico fare in modo che i singoli apparati di Rete siano controllati nell’accesso e talvolta anche che certe porte e funzioni siano disabilitate
  • Proteggere gli apparati ed i sistemi di Rete di modo che non siano alterati in un accesso fraudolento da parte di un hacker
  • Fornire un’immediata notifica attraverso i meccanismi di IDS/IPS descritti per identificare un sospetto accesso ed attacco
  • Utilizzare meccanismi di Criptaggio per mantenere i dati inaccessibili come ad esempio modificare il formato del dato al fine di renderlo illeggibile. E’ necessario un meccanismo di De-Criptaggio da chi inizialmente è stato Autorizzato ed Identificato in Rete come utente
  • Far uso di algoritmi e firme digitali per proteggere nel migliore dei modi il vero contenuto dei dati

Quindi il concetto di Cisco Self Defending Network, non è altro che andare a fornire tutti gli elementi necessari, come Switch o applicativi come Adaptive Security Appliance che permettano quindi di giustificare la definizione del SONA in cui ad alto livello compaiono tutti quei servizi ed applicazioni per il corretto monitoraggio e controllo di Rete. Si ricorda sempre che la base per una corretta sicurezza è quella di andare a pianificare e documentare, come detto prima, tutti quei rischi ma soprattutto quelle misure atte alla definizione di Regole per la sicurezza. Considerando quindi l’architettura SONA ad alto livello e guardando ai livelli di gestione della sicurezza, le soluzioni che CISCO offre sono:

  • Router & Security Device Manager (SDM), ossia un’applicativo con GUI per controllare funzionalità e meccanismi di un Router (QoS, definizione e stato VPN e Firewall)
  • Adaptive Security Device Manager (ASDM), che offre un applicativo per il monitoraggio di apparati come CISCO Catalyst 6500, presentando il modulo di Firewall (Firewall Service Module) o ASA 5500
  • Intrusion Prevention System Device Manager (IDM), che sfrutta un’interfaccia WEB al fine di lavorare sul meccanismo di IPS
  • Cisco Security Agents, programma in grado di lavorare sulle singole postazioni Cliente che consentono di suddividere ed associare i differenti utenti in gruppi che presentano differenti liste di regole per l’accesso o per i permessi
  • Access Control Server (ACS), applicativo utilizzato da Switch, Router e Firewall per mantenere tutte le informazioni sull’identità degli apparati in questione evitando la creazione di ogni account di Rete. Quest’applicativo fa uso di vari Record in database provenienti dall’ACS Server
  • Cisco Security Manager (CSM), un applicativo GUI che consente di aiutare nella configurazione di Firewall, di VPN, di regole per IPS su apparati di Rete.



Riassumendo, il progettista può ancora una volta far uso dell’architettura SONA per andare a definire la soluzione Cisco Self Defending Network. In particolare, questo prevede che il CSDN possa far parte dell’Architettura stessa fornendo rispettivamente:

  • Sistemi e meccanismi di Sicurezza integrata in ogni singolo apparato di Rete (Router, Switch ed AP) 
  • Degli elementi (sopra descritti) che possano aiutare ad incontrare gli obiettivi più importanti in termini di sicurezza
  • Applicativi che possano immediatamente riconoscere la situazione attuale della Rete e quindi fornire tutte quelle misure per evitare Virus, Worms ma soprattutto attacchi alla Rete tramite DoS

Avendo visto bene gli applicativi ed i meccanismi, è importante altresì notare anche tutti gli apparati di Rete e le soluzioni integrate per la sicurezza. In particolare:

  • Il Router che fornisce soluzioni come AAA, Public Key Infrastructure (PKI), Secure Shell Protocol (SSH) e Secure Sockets Layer (SSL) consentendo di definire addirittura il Router come Firewall o IPS
  • Il VPN 3000 che è un concentratore di VPN con lo scopo di fornire connettività sicure tra Sedi Periferiche del Cliente verso una Sede Principale
  • Il PIX Security Appliance, un Firewall che può fornire applicazioni e protocolli per l’analisi del traffico che transita da/verso gli apparati di Rete
  • Adaptive Security Appliance (ASA), molto simile al PIX ma come dispositivo di Firewall consente anche d’integrare moduli fisici per la gestione della sicurezza nelle VPN
  • IPS 4215 o 4260, consente di fornire servizi IPS/IDS fermando il traffico sospetto prima che arrivi alla destinazione. Questo lavora in concomitanza ad altri apparati di Rete. 
  • Catalyst 6500 con moduli integrati avanzati, che forniscono funzionalità di Firewalling, IDS e Servizi di comunicazione nell’accesso SSL

Sponstandoci dagli apparati fino alla Rete, quello che veramente ora una Rete Enteprise necessita sono delle misure di sicurezza attraverso le quali può beneficiare. In particolare:

  • Nella Rete di Campus è fondamentale la gestione delle Identità e dei Controlli d’Accesso. Questo significa, in sostanza, andare a lavorare su meccanismi di Network Access Control, ACL e Firewalling. Una volta che ci sono delle possibili minacce, è importante utilizzare applicativi e sistemi che possano monitorare il traffico e trovare le possibili minacce, evitando che compromettano lo stato della Rete. Possono essere utilizzati Syslog, Netflow ed SNMP. Inoltre per garantire sempre una Rete protetta e chiusa contro minacce esterne è importante far uso di protocolli come IGP, EGP ed algoritmi di controllo come MD5
  • Nel Data Center, invece, si deve far uso di meccanismi di controllo ed identificazione degli accessi, come ACL e Firewall, di applicativi simili alla Rete di Campus per il monitoraggio del traffico, della protezione di Rete e per la chiusura contro attacchi esterni.