Le misure di sicurezza di rete sono strumenti e tecnologie come firewall e sistemi di prevenzione delle intrusioni (IPS) che vengono aggiunti a una rete per proteggere dati, voce e video archiviati o trasmessi.
Le misure di sicurezza di rete sono i controlli di sicurezza che si aggiungono alle reti per proteggerne la riservatezza, l'integrità e la disponibilità. Questi controlli continuano a evolversi, ma ci sono molte competenze fondamentali che sono facilmente acquisibili. Per tenere gli aggressori fuori dalla rete è necessario applicarsi. Firewall, proxy e gateway operano a tale scopo.
È pericoloso presumere che questi dispositivi tengano gli aggressori fuori dalla rete in modo assoluto. Gli hacker alla fine trovano un modo per entrare. Un noto hacker, Kevin Mitnick, rivendica il 100% di successo nei test di penetrazione contro aziende che lo hanno assunto per testare la sicurezza della propria rete.
C'è sempre un modo per entrare. La sicurezza richiede un lavoro continuo per apprendere competenze, evolvere e stare al passo con gli hacker. È inoltre fondamentale disporre di piani e team di risposta agli incidenti in atto quando gli hacker entrano nella rete.
Un firewall blocca o consente il passaggio del traffico. Il traffico autorizzato a passare attraverso un firewall è specificato nella sua configurazione in base al tipo di traffico che un'azienda prevede e di cui ha bisogno. La best practice di sicurezza più importante relativamente ai firewall è che questi, per impostazione predefinita, dovrebbero bloccare tutto il traffico. I firewall dovrebbero essere configurati per consentire solo traffico specifico verso servizi noti. La configurazione dei firewall è fondamentale, quindi la competenza dell'amministratore del firewall è essenziale.
I firewall operano a diversi livelli all'interno del modello ISO OSI (International Standards Organization Open System Interconnect). Di solito, qualsiasi entità denominata firewall opera ai livelli 2-5. Se il firewall agisce al livello 7, viene spesso definito proxy o gateway. L'eccezione è il Web Application Firewall (WAF), che utilizza la parola firewall nel nome e opera al livello 7. Un firewall analizza le informazioni trovate al livello del modello OSI in cui opera.
Ecco alcuni esempi di come un firewall potrebbe funzionare a diversi livelli:
Un firewall è configurato con un elenco di regole chiamate a volte policy. Il firewall utilizza questo elenco di regole per determinare cosa fare con il traffico una volta che questo raggiunge il firewall. Le regole funzionano secondo una prospettiva dall'alto verso il basso.
Il firewall confronta il frame o il pacchetto appena ricevuto con la prima regola nell'elenco. Se corrisponde al tipo di traffico di quella regola, segue le relative istruzioni. Una regola potrebbe dire che il traffico può passare o che dovrebbe essere bloccato e scartato.
Se il frame o il pacchetto non corrisponde al tipo di traffico della prima regola, il firewall lo confronta con la seconda e così via. Se il traffico non corrisponde a nessuna delle regole definite in modo esplicito, il firewall seguirà la regola finale che dovrebbe essere quella di scartare il traffico.
Un firewall proxy risiede al livello 7 del modello OSI. Quando un proxy riceve il traffico, elabora il frame o il pacchetto attraverso i livelli. Ad esempio, se il frame viene rimosso al livello 2, le intestazioni dei pacchetti vengono rimosse al livello 3 e così via fino a quando non rimangono solo i dati al livello 7.
La connessione TLS (Transport Layer Security) viene terminata al livello 4 e, da quel punto in avanti, i dati sono in testo non crittografato all'interno del proxy. Il proxy analizza quindi i dati trasmessi, cosa che sarebbe stata impossibile ai livelli inferiori a causa della crittografia. Ciò consente al dispositivo di analizzare molti più dati rispetto a un firewall standard. Questo di solito richiede più tempo o potenza di elaborazione rispetto a un firewall, ma offre un maggiore controllo sul traffico degli utenti.
Il termine gateway ha significati diversi a seconda dell'interlocutore con cui si parla. Un gateway era tradizionalmente un pezzo di hardware che si trovava tra due reti. Il gateway medio odierno contiene un elemento firewall. Ad esempio, Microsoft Azure offre un WAF integrato nel suo gateway. Quindi, un gateway può eventualmente essere considerato oggi un tipo di firewall.
La preoccupazione successiva è rilevare le intrusioni in una rete utilizzando i sistemi di riconoscimento delle intrusioni (IDS). Questi dispositivi sono passivi. Osservano il traffico di rete e registrano il traffico sospetto. Un IDS potrebbe trovarsi sulla rete o sul dispositivo finale. A seconda di dove si trova, viene chiamato IDS basato sulla rete (NIDS) o IDS basato sull'host (HIDS).
Un NIDS è solitamente collegato a una porta tap o span di uno switch. Ciò significa che il traffico viene trasferito a destinazione senza interferenze e una copia viene inviata alla porta span del NIDS per l'analisi. Se è un HIDS, risiede su laptop, tablet, server, ecc. La maggior parte degli HIDS non analizza il traffico in tempo reale, ma analizza i log di traffico dopo il fatto.
A un certo punto, i produttori hanno fatto evolvere questi dispositivi al livello successivo. Se sono in grado di rilevare un attacco, perché non eliminare semplicemente frame o pacchetti sospetti sul dispositivo invece di limitarsi a inviare una segnalazione. È così che sono nati i sistemi di prevenzione delle intrusioni (IPS). Anche gli IPS possono essere basati su rete (NIPS) o su host (HIPS).
Si tratta di un'idea meravigliosa, ma c'è un aspetto negativo. L'IPS deve sapere quale è il traffico buono e quale non lo è. Tale operazione viene eseguita utilizzando i file di firma oppure tramite un addestramento.
La successiva preoccupazione da affrontare è come proteggere dati, voce o video trasmessi in qualsiasi luogo in cui qualcuno possa essere in grado di intercettarli. Ciò include l'interno di una rete aziendale o domestica e l'esterno di tali reti, come ad esempio su Internet o sulla rete di un fornitore di servizi.
La crittografia risolve questo problema rendendo i dati illeggibili senza la chiave. Per i dati in transito, ci sono diverse alternative di crittografia. Sono le seguenti:
SSL/TLS è in uso dal 1995 per proteggere le connessioni basate su browser. SSL è stato inventato da Netscape. Le versioni 2.0 e 3.0 sono state in uso fino a quando l'Internet Engineering Task Force (IETF) l'ha adottato e ribattezzato. Ciò si è verificato nel 1999 quando America Online (AOL) ha acquistato Netscape. Ora TLS 1.3 (RFC 8446) è l'ultima versione. TLS non viene utilizzato solo per le connessioni basate su browser. Viene anche utilizzato dalle connessioni VPN utente per collegarsi all'ufficio.
SSL/TLS è un protocollo a livello di trasporto che utilizza la porta TCP 443 quando applicato alle connessioni del browser.
SSH è il metodo di crittografia più comunemente utilizzato per la funzionalità di accesso remoto. Gli amministratori di rete utilizzano SSH per accedere in remoto e amministrare dispositivi di rete come router e switch. È generalmente considerato un sostituto di Telnet, che è un protocollo di accesso remoto di livello 7 non crittografato, sebbene possa essere utilizzato anche per le connessioni VPN. SSH è specificato in IETF RFC 4253. Utilizza la porta TCP 22.
IPsec è un protocollo a livello di rete che fornisce funzionalità di crittografia e controllo dell'integrità a qualsiasi tipo di connessione. Esistono molti documenti RFC IETF diversi che specificano le diverse parti che compongono IPsec. RFC 6071 offre una roadmap che mostra come questi documenti si relazionano tra loro.
IPsec fornisce due protocolli di sicurezza: Authentication Header (AH) ed Encapsulating Security Payload (ESP).
La protezione della proprietà intellettuale (IP) continua a destare preoccupazione. La proprietà intellettuale include manuali, processi, documenti di progettazione, dati di ricerca e sviluppo, ecc. Sono presenti due importanti questioni. La prima è mantenere riservate le informazioni contenute mentre la seconda è garantire che le informazioni possano essere viste solo dai destinatari previsti. La classificazione dei dati e il controllo degli accessi sono due delle molte funzionalità utilizzate per controllare in modo appropriato l'accesso.
Le preoccupazioni per i dati che fluiscono fuori dalla propria azienda in modo inappropriato possono essere controllate dalla tecnologia di prevenzione della fuga di dati (DLP). Controlla la presenza di informazioni sensibili nei flussi di dati come email o trasferimenti di file.
Se il software DLP individua informazioni sensibili come il numero di una carta di credito, blocca o interrompe la trasmissione. Può anche crittografare tali dati se questa è un'azione più appropriata. La domanda è cosa vuole controllare un'azienda e come vuole che la rete risponda quando il software DLP rileva tali dati.
DRM utilizza la tecnologia per controllare l'accesso alla proprietà intellettuale. Chi utilizza Kindle, iTunes, Spotify, Netflix o Amazon Prime Video ha avuto a che fare con il software DRM. Il software consente di vedere il video, leggere il libro o ascoltare la musica una volta acquistati dal venditore. Un esempio in ambito aziendale è Cisco che controlla l'accesso ai manuali dei corsi una volta che il cliente li acquista.
Javelin e LockLizard sono altri esempi di tecnologia DRM che le aziende possono utilizzare per controllare la distribuzione dei contenuti. La tecnologia DRM utilizza il controllo degli accessi che determina per quanto tempo qualcuno può utilizzare il contenuto, se questo può essere stampato, se può essere condiviso, ecc. I parametri si basano sui desideri del proprietario della proprietà intellettuale.
Forse le misure di sicurezza più critiche che un'azienda può mettere in atto riguardano il rilevamento e la correzione dei problemi di sicurezza. Il punto di partenza è il logging. Praticamente tutti i sistemi che si affacciano o sono collegati a una rete dovrebbero generare dei log.
Ogni azienda determina esattamente gli eventi di cui tenere traccia. Ciò potrebbe includere tentativi di accesso, flussi di traffico, pacchetti, azioni intraprese o persino ogni sequenza di tasti premuta da un utente. La decisione sugli eventi da tracciare dovrebbe essere basata sulla propensione al rischio dell'azienda, sulla sensibilità delle risorse e sulle vulnerabilità dei sistemi.
Tutti questi sistemi dovrebbero generare log:
Sistemi in rete
Sistemi connessi alla rete
Ciò si traduce in un numero enorme di eventi registrati. Per dare un senso a tutti questi dati, è necessario inviare i log, che sono anche tracciamenti di controllo, a una posizione centrale come un server syslog. Una volta che i log si trovano su un server syslog, un Security Information Event Manager (SIEM) li analizza.
Un SIEM è uno strumento che analizza i log di tutti i sistemi e mette in correlazione gli eventi. Va alla ricerca degli Indicatori di compromissione (IOC) Un IOC non sempre si traduce in prova di un evento reale, quindi deve essere analizzato da un essere umano. È qui che un centro operativo di sicurezza (Security Operation Center, SOC) e un team di risposta agli incidenti (Incident Response Team, IRT) devono determinare le successive azioni da intraprendere.