La pratica migliore prima di poter impiegare una macchina in un ambiente di produzione oppure per collegare la vostra rete ad internet, è quella di determinare i vostri bisogni organizzativi, e su come integrare la sicurezza nel modo più trasparente possibile. Poichè l'obbiettivo principale della Red Hat Enterprise Linux Security Guide è quello di affrontare il modo con il quale poter rendere sicuro Red Hat Enterprise Linux, questo documento va oltre lo scopo di esaminare in modo dettagliato la sicurezza hardware e della rete fisica. Tuttavia, questo capitolo presenta una breve panoramica su come creare delle policy sulla sicurezza nei confronti dell'hardware e delle reti fisiche. Fattori importanti da considerare sono quelli inerenti l'integrazione dei bisogni informatici e dei requisiti di connettività nell'implementazione della strategia di sicurezza. Quanto segue spiega in modo dettagliato alcuni di questi fattori.
Computing implica qualcosa di più che la sola esecuzione del software del desktop da parte della workstation. Organizzazioni moderne richiedono una potenza di elaborazione molto elevata e servizi altamante disponibili, i quali possono includere i mainframe, cluster di applicazione o del computer, potenti workstation e apparecchiature specializzate. Tuttavia con questi requisiti organizzativi, sono venute ad aumentare le problematiche dovute all'hardware, a disastri naturali e alle manomissioni o furto delle apparecchiature.
Connectivity è il metodo con il quale un amministratore collega diverse risorse su di una rete. Un amministratore può usare Ethernet (cablaggio di tipo hubbed o switched CAT-5/RJ-45), token ring, cavo coassiale di tipo 10-base-2, oppure tecnologie wireless (802.11x). A seconda della scelta del mezzo, certi tipi di media e di rete, necessitano di tecnologie supplementari come ad esempio gli hub, i router, gli interruttori, le stazioni di base e punti di accesso. La scelta di una architettura per la funzionalità della rete, faciliterà il processo di gestione nel caso in cui si verifichi un problema riguardante la sicurezza.
Da queste considerazioni generali, gli amministratori possono avere idee più chiare sulla implementazione. La creazione di un ambiente informatico può basarsi su necessità organizzative e considerazioni di sicurezza — una implementazione che valuta entrambi i fattori.
La base di una LAN è rappresentata dalla topologia, o dall'architettura della rete. La topologia è rappresentata dalla struttura fisica e logica di una LAN in termini di risorse fornite, di distanza tra i nodi, e del mezzo di trasmissione. A seconda delle necessità dei servizi della rete di una organizzazione, vi sono diverse opzioni per l'implementazione della rete. Ogni topologia possiede i propri vantaggi e le proprie problematiche di sicurezza, verso le quali gli architetti della rete devono tener conto durante la progettazione dello schema della loro rete.
Come definito dall'Institute of Electrical and Electronics Engineers (IEEE), ci sono tre topologie comuni per il collegamento fisico di una LAN.
La topologia Ring collega ogni nodo esattamente tramite due collegamenti. Questo crea una struttura di tipo ring, dove ogni nodo è accessibile all'altro, sia direttamente tramite i nodi a lui fisicamente più vicini o indirettamente attraverso un ring fisico. Le reti Token Ring, FDDI e SONET, sono collegate in questo modo (con FDDI una tecnica dual-ring); tuttavia, non ci sono collegamenti Ethernet comuni che usano questa topologia tipica, e per questo la tipologia ring non è comunemente usata ad eccezione delle impostazioni di tipo istituzionali o ereditate, con un numero di nodi installati molto grande (per esempio una università).
La topologia del bus lineare consiste in nodi i quali si collegano ad un cavo principale lineare (il backbone). La topologia del bus lineare richiede una quantità di attrezzatura di cablaggio e di networking minima, rendendola così la migliore in termini di costo-efficienza. Tuttavia, il bus lineare dipende dalla disponibilità costante del backbone, trasformandolo così in un single point-of-failure se necessita di essere sostituito o se è danneggiato. Le topologie del bus lineare sono comunemente usate con delle LAN del tipo peer-to-peer, usando cablaggi coassiali e terminator 50-93 ohm su entrambe le estremità del bus.
La topologia Star incorpora un punto centrale dove si collegano i nodi attraverso il quale vengono passate le comunicazioni. Questo punto centrale, chiamato hub può essere sia broadcasted che switched. Questa topologia introduce un punto singolo di errore (single point of failure) nell'hardware di networking centralizzato che collega i nodi. Tuttavia a causa di questa centralità, le problematiche inerenti il networking che coinvolgono i segmenti o l'intera LAN, sono facilmente seguite su questa sorgente.
la Sezione A.1.1.3 ha introdotto il concetto di broadcast networking e switched networking. È necessario considerare diversi fattori durante la valutazione del tipo di hardware per il networking più idoneo e sicuro per il vostro ambiente di rete. Quanto segue evidenzia le differenze tra questi due tipi di networking.
In un broadcast network un nodo invierà un pacchetto, il quale attraversa ogni nodo fino a quando il destinatario non lo riceve. Ogni nodo nella rete può in teoria, ricevere questi dati fino a quando il destinatario non processa il pacchetto. In un broadcast network, tutti i pacchetti sono inviati in questo modo.
In uno switched network i pacchetti non vengono trasmessi, ma vengono processati in una hub di scambio la quale, in ritorno, crea un collegamento diretto tra il nodo che ha effettuato l'invio e il nodo destinatario, usando i principi di trasmissione unicast. Questo elimina il bisogno di trasmettere i pacchetti ad ogni nodo, abbassando così il volume del traffico.
Con lo switched network si è in grado di prevenire l'intercettazione dei pacchetti da nodi o utenti maliziosi. In un broadcast network, dove ogni nodo riceve il pacchetto durante il tragitto al destinatario, gli utenti maliziosi possono impostare il proprio dispositivo Ethernet in modalità promiscuous e accettare tutti i pacchetti senza curarsi se i dati siano destinati a loro. In modalità promiscuous, un'applicazione sniffer può essere utilizzata per filtrare, analizzare e ricostruire i pacchetti per le password, per i dati personali e molto altro. Applicazioni sniffer particolarmente sofisticate possono conservare tali informazioni in file di testo e inviare informazioni a fonti arbitrarie (per esempio, l'indirizzo email di utenti maliziosi).
Uno switched network ha bisogno di un interruttore di rete, un elemento hardware specializzato che sostituisca il ruolo tradizionale dell'hub nel quale tutti i nodi sono collegati su di un LAN. Gli interruttori conservano gli indirizzi MAC di tutti i nodi in un database interno, il quale viene usato per eseguire il proprio routing diretto. Diversi rivenditori, incluso Cisco Systems, D-Link, SMC, e Netgear offrono vari tipi di interruttori con contenuti come ad esempio la compatibilità 10/100-Base-T, il supporto Ethernet gigabit, e l'IPv6 networking.
Un problema emergente per le aziende di oggi è rappresentato dalla mobilità. Gli impiegati remoti, i tecnici e i dirigenti, necessitano di soluzioni portatili come ad esempio i laptop, Personal Digital Assistants (PDA), e accessi di tipo wireless alle risorse della rete. La IEEE ha stabilito degli standard per le comunicazioni dei dati in modo wireless attraverso tutte le industrie. La pratica standard corrente IEEE è rappresentata dalla specificazione 802.11g per il networking di tipo wireless, mentre 802.11a e 802.11b sono standard ereditari. Lo standard 802.11g è compatibile con 802.11b, e non con 802.11a.
Le specificazioni 802.11b e 802.11g non sono altro che un gruppo di comunicazioni wireless standard e di controllo di accesso su di una radio-frequenza (RF) spectrum 2.4GHznon autorizzata 'unlicensed' (802.11a usa lo spectrum 5GHz). Queste specificazioni sono state approvate come standard dall'IEEE, e da diversi rivenditori di prodotti e servizi 802.11x. I consumatori hanno adottato anche uno standard per reti riguardanti gli small-office/home-office (SOHO). La popolarità si è estesa anche dai LAN ai MAN (Metropolitan Area Networks), soprattutto in aree molto popolate dove è disponibile una concentrazione di punti di accesso di tipo wireless (WAP). Vi sono anche degli Internet service provider di tipo wireless (WISP) che servono ai viaggiatori più frequenti che richiedono un accesso internet broadband per lavorare in modo remoto.
Le specificazioni 802.11x permettono delle comunicazioni peer-to-peer dirette tra nodi con NIC wireless. Questo raggruppamento di nodi, chiamato rete ad hoc, è l'ideale per una condivisione veloce del collegamento tra due o più nodi, ma introduce problematiche di scalabilità che non sono adatte al collegamento di tipo wireless.
Una soluzione più idonea per l'accesso di tipo wireless in strutture fisse, è rappresentata dall'installazione di uno o più WAP che si collegano alla rete tradizionale e permettono ai nodi wireless di collegarsi al WAP come se fosse su di una rete basata su Ethernet. WAP agisce effettivamente come un ponte tra i nodi collegati ad esso e al resto della rete.
Anche se il networking wireless è simile in velocità e sicuramente più conveniente ai tradizionali mezzi collegati usati per il networking, vi sono delle limitazioni alla specificazione che implica una considerazione. La limitazione più importante è quella che risiede nell'implementazione della sicurezza.
Dopo aver impiegato con successo una rete 802.11x, molti amministratori non riescono ad esercitare le più semplici precauzioni di base per quanto riguarda la sicurezza. Da quando tutto il networking 802.11x viene eseguito usando segnali RF a banda larga, i dati trasmessi sono facilmente accessibili a qualsiasi utente con un NIC compatibile, con un tool di scansione della rete wireless come ad esempio NetStumbler o Wellenreiter, e tramite tool comuni usati per lo sniffing come ad esmpio dsniff e snort. Per evitare un tale uso di reti wireless private, l'802.11b standard usa il protocollo Wired Equivalency Privacy (WEP), il quale è basato su di un RC4-based 64 o su di una chiave di cifratura a 128-bit condivisa tra ogni nodo o tra il protocollo WAP e il nodo. Questa chiave codifica le trasmissioni e decodifica i pacchetti in entrata in modo dinamico e trasparente. Gli amministratori spesso non usano questo schema di codifica con chiave condivisa, tuttavia capita di dimenticare oppure di scegliere di non usare tale schema a causa di una diminuzione delle prestazioni (specialmente su lunghe distanze). Tuttavia abilitando WEP su di una rete di tipo wireless, si può ridurre ampiamente la possibilità di intercettazione dei dati.
Red Hat Enterprise Linux supporta vari prodotti 802.11x provenienti da diversi rivenditori. Lo Strumento di amministrazione di rete include la possibilità di configurare NIC wireless e la sicurezza del protocollo WEP. Per informazioni sull'uso dello Strumento di amministrazione di rete, consultate Red Hat Enterprise Linux System Administration Guide.
Facendo affidamento su WEP, non significa essere protetti anche contro determinati utenti maliziosi. Ci sono delle determinate utility ideate in modo specifico per neutralizzare l'algoritmo di cifratura RC4 WEP, esponendo la chiave condivisa e proteggendo una rete wireless. AirSnort e WEP Crack sono due applicazioni di questo genere. Per ottenere quindi una protezione idonea, gli amministratori dovrebbero seguire delle policy molto rigorose per quanto riguarda l'accesso a informazioni sensibili con l'uso di metodi wireless. Usando questa policy, un utente malizioso che si trova all'esterno della rete e che riesce a neutralizzare la cifratura WEP, ha bisogno di neutralizzare anche il metodo di cifratura VPN o SSH i quali, a seconda del metodo di cifratura, possono impiegare una cifratura dell'algoritmo 168-bit DES tre volte più resistente (3DES), oppure degli algoritmi privati i quali possono avere una maggiore resistenza. Gli amministratori che usano queste policy dovrebbero limitare i protocolli di testo come ad esempio Telnet o FTP, in quanto le password e i dati possono essere esposti ad attacchi simili a quelli sopra riportati.
Un recente metodo di autenticazione e di sicurezza adottato dai rivenditori di apparecchiatura per il networking di tipo wireless è il Wi-fi Protected Access (WPA). Gli amministratori possono configurare WPA sulle proprie reti utilizzando un server di autenticazione che gestisce le chiavi utilizzzate dai client per l'accesso alla rete wireless. WPA risulta migliore rispetto alla codifica WEP, in quanto esso utilizza ilTemporal Key Integrity Protocol (TKIP), il quale rappresenta un metodo di utilizzo di una chiave condivisa, associandola con l'indirizzo MAC della scheda della rete wireless installata sul sistema client. Il valore della chiave condivisa e dell'indirizzo MAC viene processato da un vettore d'inizializzazione (IV), il quale viene usato per generare una chiave in grado di codificare ogni dato. IV modifica la chiave ogni qualvolta viene trasferito un pacchetto, prevenendo così ogni attacco alla rete wireless.
Tuttavia il WPA che utilizza il TKIP non è altro che una soluzione momentanea. Altre soluzioni che utilizzano metodi di codifica più potenti (come ad esempio AES), sono in fase di sviluppo, e presentano la possibilità di miglioramenti della sicurezza delle reti wireless in enterprise.
Per maggiori informazioni sugli standard 802.11, consultate il seguente URL:
http://standards.ieee.org/getieee802/802.11.html |
Per gli amministratori che vogliono eseguire servizi accessibili dall'esterno, come ad esempio HTTP, email, FTP, e DNS, è consigliato che questi servizi, disponibili pubblicamente, siano segmentati fisicamente e/o logicamente dalla rete interna. I firewall e l'aumento della resistenza degli host e delle applicazioni, rappresentano un metodo effettivo per dissuadere aggressori occasionali. Tuttavia cracker motivati possono sempre trovare il modo di accedere alla rete, se i servizi che sono stati violati risiedono sullo stesso itinerario logico del resto della rete stessa. I servizi accessibili dall'esterno dovrebbero risiedere su ciò che il campo della sicurezza riconosce come demilitarized zone (DMZ), un segmento logico della rete,dove il traffico in entrata da internet sarà solo in grado di accedere quei servizi e non sarà abilitato all'accesso della rete interna. Ciò risulta essere efficace in quanto, anche se un utente malizioso riesce a violare una macchina sulla DMZ, il resto della rete interna giace dietro un firewall su di un segmento separato.
Molti enterprise presentano un gruppo limitato di indirizzi IP routable dai quali possono ospitare servizi esterni, in questo modo gli amministratori possono utilizzare regole firewall elaborate, per accettare, inoltare, rifiutare e negare le trasmissioni dei pacchetti. Le policy firewall implementate con iptables o appositi firewall hardware, permettono il routing complesso e l'inoltro delle regole. L'amministratore è in grado di utilizzare queste policy per segmentare il traffico in entrata per servizi specifici su specifiche porte e indirizzi, ed anche per permettere l'accesso a servizi interni alla sola LAN, la quale previene le violazioni dovute all'azione di spoofing dell'IP. Per maggiori informazioni sull'implementazione di iptables, consultare Capitolo 7.