Rendere sicuro il sistema di sicurezza

della Redazione

Una rete IP, a livello fisico, comprende sia apparecchiature attive che passive, ove con attivi si definiscono gli apparati che richiedono un’alimentazione elettrica, al contrario di quelli passivi (cavi, connettori e armadi). Qui ci concentreremo soprattutto sugli switch Ethernet Layer 2 nel modello di riferimento OSI (Open Systems Interconnection), basati quindi su Mac Address e facenti parte di reti informatiche locali. Gli switch Ethernet agiscono come concentratori, riunendo i segnali provenienti da dispositivi periferici e trasmettendoli ad altri dispositivi, in base alle informazioni di destinazione allegate al segnale stesso. Possono possedere connessioni (porte) elettriche e/o ottiche con combinazioni a diversa ”densità”. A questo livello, la possibile minaccia alla sicurezza della rete consiste nella possibilità che un malintenzionato si colleghi fisicamente allo switch, oppure che rimuova un dispositivo periferico dalla rete collegando al suo posto un’apparecchiatura non autorizzata. Per ragioni di semplicità operativa, il collegamento tende ad avvenire tramite un’interfaccia elettrica. Le porte Ethernet elettriche sono basate su uno standard, quindi connettersi ad esse è relativamente semplice e poiché ogni laptop ha una connessione di questo tipo, la probabile arma d’attacco è facilmente disponibile.

Quale può essere una risposta specifica per evitare un accesso non autorizzato tramite le procedure di Mac Address spoofing?

Risponde Marco Grasselli, Regional Sales Manager South Eastern Europe presso Comnet Europe Limited.

Una volta stabilito un collegamento tra due unità attive nella rete, viene generato un riconoscimento del link (normalmente con un’indicazione LED); questo potrebbe essere immediatamente interrotto se la connessione viene fisicamente persa. Questo semplice trigger, che monitora la continuità della connessione al dispositivo IP, può essere utilizzato per disattivare a livello hardware (Layer 1) una porta partendo dal presupposto che una perdita di collegamento fisico sia segno di un potenziale attacco. La procedura di Cyber Security può essere ulteriormente ampliata spegnendo tutte le porte nel caso in cui venga persa l’alimentazione. Questo per evitare che l’aggressore possa modificare il cablaggio dopo aver spento lo switch. Prima che la connessione interrotta possa essere riattivata, deve essere esaminata e validata dal responsabile della rete. Se anche i dispositivi attivi remoti (e non solo gli apparati periferici) sono installati in posizioni non protette, questa funzione deve essere abilitata sulla porta dell’apparato di centro stella che riceve le comunicazioni, per evitare tentativi di accesso non autorizzato da queste aree.  

Gli switch Ethernet possono essere managed o unmanaged, dove la piattaforma gestita ha molte più funzionalità e soprattutto consente all’utente di configurare e monitorare il dispositivo da remoto. Gli switch non gestiti fanno semplicemente il lavoro basato sulla propria configurazione di fabbrica. Dal punto di vista della sicurezza informatica, solamente i dispositivi gestiti offrono una serie di funzionalità per impedire l’accesso non autorizzato alla rete. Ne consegue che è sempre buona norma utilizzare solo switch Ethernet managed nella propria infrastruttura di rete.

LE FUNZIONALITÀ DI SICUREZZA DEGLI SWITCH MANAGED

Normalmente gli accorgimenti più semplici offrono la maggior protezione e la sicurezza degli switch gestiti Ethernet non fa eccezione. La possibilità di disabilitare, attraverso l’interfaccia di gestione, una porta non utilizzata, potrebbe sembrare una funzione di sicurezza banale, ma in realtà molti operatori del settore, a volte, non ne conoscono neppure l’esistenza. La regola è semplice; se la porta non viene utilizzata, va disabilitata. Se si prevede che possa essere utilizzata in futuro, sarà sufficiente abilitarla al bisogno. A proposito di accorgimenti semplici e sicuri, è bene sottolineare che, in fase installativa, il nome utente e la password predefiniti di ogni switch devono essere immediatamente cambiati, in base alla politica di sicurezza dell’utente. Non ha senso parlare di sistema di sicurezza, se un attacco può essere effettuato collegandosi alla porta seriale dello switch, guadagnando l’accesso semplicemente leggendo il manuale. Qualsiasi dispositivo periferico IP, come ad esempio una telecamera o un terminale di controllo accessi, ha sempre un indirizzo MAC. Questo può essere usato per associare a livello logico la porta dello switch Ethernet solo a quel particolare MAC address. Con questa procedura, generalmente identificata come “port security”, è quindi possibile implementare una sicurezza di base delle porte per impedire a un intruso di rimuovere il dispositivo originale e sostituirlo con un diverso dispositivo. Se un indirizzo MAC non registrato tenta di collegarsi tramite quella porta, lo switch semplicemente impedirà l’accesso. Bisogna tuttavia ricordare che gli hacker possono utilizzare SW di spoofing (creazione di pacchetti IP con un indirizzo origine falso) per copiare il MAC address del dispositivo periferico. Ciò consente l’accesso all’hacker e di conseguenza questa funzionalità può far guadagnare tempo prezioso ma non garantisce una protezione completa. Conoscendo l’indirizzo IP dei dispositivi periferici collegati, lo switch dovrebbe impostare una routine di polling e eseguire una procedura preprogrammata nel caso non vi sia alcuna risposta. A seconda dello switch, potrebbe essere impostata una serie di risposte differenti in base ai protocolli di sicurezza. Fra queste, si potrebbe chiudere immediatamente la porta generando un trap SNMP. Questo è un messaggio di avviso che indica al sistema di gestione che qualcosa è accaduto al dispositivo remoto e, se necessario, genera un allarme. Altri tipi di azione potrebbero inviare immediatamente il trap mantenendo la porta aperta oppure, se lo switch fornisce alimentazione PoE al dispositivo in campo, eseguire una procedura di reboot se si ritiene che il dispositivo sia semplicemente in stallo. L’autenticazione 802.1x è uno standard che definisce una procedura di autenticazione per i dispositivi che desiderino connettersi alla rete. All’interno del sistema, lo switch Ethernet agisce per proteggere la rete finché il server non ha verificato le credenziali del dispositivo che richiede di connettersi e ne ha accettato o negato l’accesso. Queste solo alcune delle più semplici funzioni di Cyber Security degli switch Managed, che però rappresentano i fondamenti per rendere sicuro un sistema di sicurezza.