Sicurezza di rete - Panoramica
In questa era moderna, le organizzazioni fanno molto affidamento sulle reti di computer per condividere le informazioni in tutta l'organizzazione in modo efficiente e produttivo. Le reti informatiche organizzative stanno diventando grandi e onnipresenti. Supponendo che ogni membro del personale abbia una workstation dedicata, un'azienda di grandi dimensioni avrebbe poche migliaia di workstation e molti server sulla rete.
È probabile che queste workstation potrebbero non essere gestite centralmente, né avrebbero una protezione perimetrale. Possono avere una varietà di sistemi operativi, hardware, software e protocolli, con diversi livelli di consapevolezza informatica tra gli utenti. Ora immagina, queste migliaia di postazioni di lavoro sulla rete aziendale sono collegate direttamente a Internet. Questo tipo di rete non protetta diventa un obiettivo per un attacco che contiene informazioni preziose e mostra le vulnerabilità.
In questo capitolo vengono descritte le principali vulnerabilità della rete e il significato della sicurezza della rete. Nei capitoli successivi, discuteremo i metodi per ottenere lo stesso risultato.
Rete fisica
Una rete è definita come due o più dispositivi informatici collegati insieme per condividere le risorse in modo efficiente. Inoltre, il collegamento di due o più reti insieme è noto comeinternetworking. Pertanto, Internet è solo una internetwork, una raccolta di reti interconnesse.
Per configurare la propria rete interna, un'organizzazione ha diverse opzioni. Può utilizzare una rete cablata o una rete wireless per connettere tutte le workstation. Al giorno d'oggi, le organizzazioni utilizzano principalmente una combinazione di reti cablate e wireless.
Reti cablate e wireless
In una rete cablata, i dispositivi sono collegati tra loro tramite cavi. In genere, le reti cablate si basano sul protocollo Ethernet in cui i dispositivi sono collegati utilizzando i cavi UTP (Unshielded Twisted Pair) ai diversi switch. Questi interruttori sono ulteriormente collegati al router di rete per l'accesso a Internet.
Nella rete wireless, il dispositivo è connesso a un punto di accesso tramite trasmissioni radio. I punti di accesso sono inoltre collegati tramite cavi a switch / router per l'accesso alla rete esterna.
Le reti wireless hanno guadagnato popolarità grazie alla mobilità offerta da loro. I dispositivi mobili non devono essere collegati a un cavo e possono muoversi liberamente all'interno della portata della rete wireless. Ciò garantisce una condivisione efficiente delle informazioni e aumenta la produttività.
Vulnerabilità e attacchi
La vulnerabilità comune che esiste nelle reti cablate e wireless è un "accesso non autorizzato" a una rete. Un utente malintenzionato può collegare il suo dispositivo a una rete tramite una porta hub / switch non sicura. A questo proposito, le reti wireless sono considerate meno sicure della rete cablata, poiché è possibile accedere facilmente alla rete wireless senza alcuna connessione fisica.
Dopo l'accesso, un utente malintenzionato può sfruttare questa vulnerabilità per lanciare attacchi come:
Annusare i dati del pacchetto per rubare informazioni preziose.
Denial of service agli utenti legittimi su una rete inondando il supporto di rete con pacchetti spuri.
Spoofing delle identità fisiche (MAC) di host legittimi e quindi furto di dati o ulteriore lancio di un attacco "man-in-the-middle".
Protocollo di rete
Il protocollo di rete è un insieme di regole che regolano le comunicazioni tra i dispositivi connessi su una rete. Includono meccanismi per effettuare connessioni, nonché regole di formattazione per il confezionamento dei dati per i messaggi inviati e ricevuti.
Sono stati sviluppati diversi protocolli di rete di computer, ciascuno progettato per scopi specifici. I protocolli popolari e ampiamente utilizzati sono TCP / IP con i protocolli associati di livello superiore e inferiore.
Protocollo TCP / IP
Transmission Control Protocol (TCP) e Internet Protocol(IP) sono due distinti protocolli di rete di computer utilizzati principalmente insieme. A causa della loro popolarità e dell'ampia adozione, sono integrati in tutti i sistemi operativi dei dispositivi in rete.
L'IP corrisponde al livello di rete (livello 3) mentre il protocollo TCP corrisponde al livello di trasporto (livello 4) in OSI. TCP / IP si applica alle comunicazioni di rete in cui il trasporto TCP viene utilizzato per fornire dati su reti IP.
I protocolli TCP / IP sono comunemente usati con altri protocolli come HTTP, FTP, SSH a livello di applicazione ed Ethernet a livello di collegamento dati / fisico.
La suite di protocolli TCP / IP è stata creata nel 1980 come soluzione di internetworking con pochissime preoccupazioni per gli aspetti di sicurezza.
È stato sviluppato per una comunicazione nella rete fidata limitata. Tuttavia, per un periodo, questo protocollo è diventato lo standard de facto per le comunicazioni Internet non protette.
Alcune delle vulnerabilità di sicurezza comuni delle tute del protocollo TCP / IP sono:
HTTP è un protocollo a livello di applicazione nella suite TCP / IP utilizzato per trasferire i file che compongono le pagine web dai server web. Questi trasferimenti vengono eseguiti in testo normale e un intruso può leggere facilmente i pacchetti di dati scambiati tra il server e un client.
Un'altra vulnerabilità HTTP è un'autenticazione debole tra il client e il server Web durante l'inizializzazione della sessione. Questa vulnerabilità può portare a un attacco di dirottamento della sessione in cui l'autore dell'attacco ruba una sessione HTTP dell'utente legittimo.
La vulnerabilità del protocollo TCP è l'handshake a tre vie per la creazione della connessione. Un utente malintenzionato può lanciare un attacco Denial of Service "SYN-flooding" per sfruttare questa vulnerabilità. Stabilisce molte sessioni semiaperte non completando la stretta di mano. Ciò porta al sovraccarico del server e alla fine a un arresto anomalo.
Il livello IP è suscettibile a molte vulnerabilità. Attraverso una modifica dell'intestazione del protocollo IP, un utente malintenzionato può lanciare un attacco di spoofing IP.
Oltre a quanto sopra menzionato, esistono molte altre vulnerabilità di sicurezza nella famiglia di protocolli TCP / IP nella progettazione e nella sua implementazione.
Per inciso, nella comunicazione di rete basata su TCP / IP, se un livello viene violato, gli altri livelli non vengono a conoscenza dell'hacking e l'intera comunicazione viene compromessa. Quindi, è necessario impiegare controlli di sicurezza a ogni livello per garantire una sicurezza infallibile.
Protocollo DNS
Domain Name System(DNS) viene utilizzato per risolvere i nomi di dominio host in indirizzi IP. Gli utenti della rete dipendono dalla funzionalità DNS principalmente durante la navigazione in Internet digitando un URL nel browser web.
In un attacco al DNS, l'obiettivo di un utente malintenzionato è modificare un record DNS legittimo in modo che venga risolto in un indirizzo IP errato. Può indirizzare tutto il traffico per quell'IP al computer sbagliato. Un utente malintenzionato può sfruttare la vulnerabilità del protocollo DNS o compromettere il server DNS per materializzare un attacco.
DNS cache poisoningè un attacco che sfrutta una vulnerabilità rilevata nel protocollo DNS. Un utente malintenzionato può avvelenare la cache falsificando una risposta a una query DNS ricorsiva inviata da un risolutore a un server autorevole. Una volta che la cache del resolver DNS viene avvelenata, l'host verrà indirizzato a un sito Web dannoso e potrebbe compromettere le informazioni sulle credenziali tramite la comunicazione a questo sito.
Protocollo ICMP
Internet Control Management Protocol(ICMP) è un protocollo di gestione della rete di base delle reti TCP / IP. Viene utilizzato per inviare messaggi di errore e di controllo relativi allo stato dei dispositivi collegati in rete.
ICMP è parte integrante dell'implementazione della rete IP e quindi è presente nella configurazione della rete stessa. L'ICMP ha le sue vulnerabilità e può essere utilizzato in modo improprio per lanciare un attacco a una rete.
Gli attacchi comuni che possono verificarsi su una rete a causa delle vulnerabilità ICMP sono:
ICMP consente a un utente malintenzionato di eseguire la ricognizione della rete per determinare la topologia di rete e i percorsi nella rete. La scansione ICMP implica la scoperta di tutti gli indirizzi IP host che sono attivi nell'intera rete di destinazione.
Trace route è una popolare utility ICMP utilizzata per mappare la rete di destinazione descrivendo il percorso in tempo reale dal client all'host remoto.
Un utente malintenzionato può lanciare un attacco Denial of Service utilizzando la vulnerabilità ICMP. Questo attacco comporta l'invio di pacchetti ping IPMP che superano i 65.535 byte al dispositivo di destinazione. Il computer di destinazione non riesce a gestire correttamente questo pacchetto e può causare il blocco del sistema operativo.
Anche altri protocolli come ARP, DHCP, SMTP, ecc. Hanno le loro vulnerabilità che possono essere sfruttate dall'aggressore per compromettere la sicurezza della rete. Discuteremo alcune di queste vulnerabilità nei capitoli successivi.
La minima preoccupazione per l'aspetto della sicurezza durante la progettazione e l'implementazione dei protocolli si è trasformata in una delle principali cause di minacce alla sicurezza della rete.
Obiettivi della sicurezza di rete
Come discusso nelle sezioni precedenti, esiste un gran numero di vulnerabilità nella rete. Pertanto, durante la trasmissione, i dati sono altamente vulnerabili agli attacchi. Un malintenzionato può prendere di mira il canale di comunicazione, ottenere i dati e leggere gli stessi o reinserire un falso messaggio per raggiungere i suoi nefandi scopi.
La sicurezza della rete non riguarda solo la sicurezza dei computer a ciascuna estremità della catena di comunicazione; tuttavia, mira a garantire che l'intera rete sia sicura.
La sicurezza della rete implica la protezione dell'usabilità, dell'affidabilità, dell'integrità e della sicurezza della rete e dei dati. Una sicurezza di rete efficace sconfigge una varietà di minacce dall'ingresso o dalla diffusione su una rete.
L'obiettivo principale della sicurezza di rete sono la riservatezza, l'integrità e la disponibilità. Questi tre pilastri della sicurezza di rete sono spesso rappresentati comeCIA triangle.
Confidentiality- La funzione della riservatezza è proteggere i preziosi dati aziendali da persone non autorizzate. La parte riservata alla sicurezza della rete garantisce che i dati siano disponibili solo per le persone designate e autorizzate.
Integrity- Questo obiettivo significa mantenere e garantire l'accuratezza e la coerenza dei dati. La funzione dell'integrità è garantire che i dati siano affidabili e non vengano modificati da persone non autorizzate.
Availability - La funzione di disponibilità in Network Security è di garantire che i dati, le risorse / servizi di rete siano continuamente disponibili agli utenti legittimi, ogni volta che lo richiedono.
Raggiungere la sicurezza della rete
Garantire la sicurezza della rete può sembrare molto semplice. Gli obiettivi da raggiungere sembrano essere semplici. Ma in realtà, i meccanismi utilizzati per raggiungere questi obiettivi sono molto complessi e comprenderli richiede un ragionamento valido.
International Telecommunication Union(ITU), nella sua raccomandazione sull'architettura di sicurezza X.800, ha definito alcuni meccanismi per portare la standardizzazione nei metodi per ottenere la sicurezza della rete. Alcuni di questi meccanismi sono:
En-cipherment- Questo meccanismo fornisce servizi di riservatezza dei dati trasformando i dati in forme non leggibili per le persone non autorizzate. Questo meccanismo utilizza l'algoritmo di crittografia-decrittografia con chiavi segrete.
Digital signatures- Questo meccanismo è l'equivalente elettronico delle firme ordinarie nei dati elettronici. Fornisce l'autenticità dei dati.
Access control- Questo meccanismo viene utilizzato per fornire servizi di controllo degli accessi. Questi meccanismi possono utilizzare l'identificazione e l'autenticazione di un'entità per determinare e applicare i diritti di accesso dell'entità.
Avendo sviluppato e identificato vari meccanismi di sicurezza per ottenere la sicurezza della rete, è essenziale decidere dove applicarli; sia fisicamente (in quale posizione) che logicamente (a quale livello di un'architettura come TCP / IP).
Meccanismi di sicurezza a livello di rete
Diversi meccanismi di sicurezza sono stati sviluppati in modo tale da poter essere sviluppati a un livello specifico del modello del livello di rete OSI.
Security at Application Layer- Le misure di sicurezza utilizzate a questo livello sono specifiche dell'applicazione. Diversi tipi di applicazione richiederebbero misure di sicurezza separate. Per garantire la sicurezza a livello di applicazione, le applicazioni devono essere modificate.
Si ritiene che progettare un protocollo applicativo crittograficamente valido sia molto difficile e implementarlo correttamente è ancora più impegnativo. Pertanto, si preferisce che i meccanismi di sicurezza a livello di applicazione per proteggere le comunicazioni di rete siano solo soluzioni basate su standard che sono in uso da tempo.
Un esempio di protocollo di sicurezza a livello di applicazione è S / MIME (Secure Multipurpose Internet Mail Extensions), comunemente utilizzato per crittografare i messaggi di posta elettronica. DNSSEC è un altro protocollo a questo livello utilizzato per lo scambio sicuro di messaggi di query DNS.
Security at Transport Layer- Le misure di sicurezza a questo livello possono essere utilizzate per proteggere i dati in una singola sessione di comunicazione tra due host. L'utilizzo più comune dei protocolli di sicurezza del livello di trasporto è la protezione del traffico delle sessioni HTTP e FTP. I protocolli Transport Layer Security (TLS) e Secure Socket Layer (SSL) sono i più comuni utilizzati a questo scopo.
Network Layer- Le misure di sicurezza a questo livello possono essere applicate a tutte le applicazioni; quindi, non sono specifici dell'applicazione. Tutte le comunicazioni di rete tra due host o reti possono essere protette a questo livello senza modificare alcuna applicazione. In alcuni ambienti, il protocollo di sicurezza a livello di rete come IPsec (Internet Protocol Security) fornisce una soluzione molto migliore rispetto ai controlli a livello di trasporto o applicazione a causa delle difficoltà nell'aggiunta di controlli alle singole applicazioni. Tuttavia, i protocolli di sicurezza a questo livello forniscono una minore flessibilità di comunicazione che potrebbe essere richiesta da alcune applicazioni.
Per inciso, un meccanismo di sicurezza progettato per operare a un livello superiore non può fornire protezione per i dati a livelli inferiori, perché i livelli inferiori svolgono funzioni di cui i livelli superiori non sono consapevoli. Pertanto, potrebbe essere necessario implementare più meccanismi di sicurezza per migliorare la sicurezza della rete.
Nei seguenti capitoli del tutorial, discuteremo i meccanismi di sicurezza impiegati a diversi livelli dell'architettura di rete OSI per ottenere la sicurezza di rete.