Come valutare correttamente la sicurezza delle vostre reti

I suggerimenti dell’esperto

Come valutare correttamente la sicurezza delle vostre reti

Una periodica verifica delle vulnerabilità del perimetro è fondamentale per qualsiasi azienda interessata a mantenere una buona sicurezza delle proprie reti. Ecco alcuni degli esercizi da compiere.

06 Maggio 2013

Una periodica verifica delle vulnerabilità del perimetro della rete aziendale è fondamentale per qualsiasi organizzazione interessata a mantenere un buon livello di protezione delle proprie reti.

Mentre alcuni attacchi sono lanciati da addetti ai lavori che operano all’interno dell’azienda, molti hanno origine al di fuori delle organizzazioni. Questo significa che le aziende devono essere in grado di verificare i dispositivi del perimetro e assicurare che i sistemi siano correttamente aggiornati e patchati.

I test perimetrali in genere comportano la scansione della rete, l’esame dei sistemi di rilevamento delle intrusioni (IDS) e di quelli di prevenzione delle intrusioni (IPS), i test condotti sui firewall, il deployment e il test degli honeypot.

Come proteggere la rete
La scansione della rete è una delle prime attività che si dovrebbero condurre durante un test di penetrazione. Dopo tutto, bisognerebbe cercare di vedere la rete allo stesso modo in cui la vedrebbe un utente malintenzionato.
La visualizzazione della rete è, in questi casi, dall’interno verso l’esterno, ma questo non è quello che vedrebbe un attacker.
Eseguire una scansione del perimetro potrebbe aiutarvi a comprendere qual è il sistema operativo in dotazione sui dispositivi edge e qual è la loro situazione a livello di patch, vi permetterebbe di avere una miglior visibilità dei dispositivi accessibili dall’esterno della rete e anche di comprendere meglio quali sono le vulnerabilità dei certificati SSL (Secure Sockets Layer) e TLS (Transport Layer Security). Inoltre, la scansione della rete aiuta a determinare se i dispositivi accessibili dall’esterno sono adeguatamente protetti contro le vulnerabilità scoperte dal momento in cui è avvenuto il deployment del device in poi.

Soluzioni quali NMAP, uno scanner di sicurezza open source gratuito, potranno essere utilizzate per monitorare la rete: lo strumento supporta una vasta gamma di switch ed è utile per identificare le porte aperte, i servizi e i sistemi operativi vulnerabili.

Il deployment di IDS e IPS corrisponde a un altro metodo diffuso per rilevare attività sospette. La maggior parte delle aziende utilizza gli IDS o gli IPS sul perimetro della propria rete, ma si discute ancora parecchio sul fatto che questi dispositivi rappresentino dei veri e propri deterrenti ai probabili attacchi.

Ci sono diversi modi per testare le soluzioni IDS e IPS:

• Attacchi “insertion”. Si verificano quando un utente malintenzionato invia pacchetti a un sistema finale che vengono, da quest’ultimo, respinti anche se il sistema IDS ritiene siano validi. Questa situazione permette al malintenzionato di inserire dati nell’IDS, visto che nessun altro sistema si cura di controllarne la liceità e la provenienza.

• Attacchi “evasion”. Questa tecnica permette a un attaccante di ottenere che gli IDS rifiutino un pacchetto che il sistema finale, invece, accetta.

• Attacchi denial-of-service. Si verificano quando un utente malintenzionato invia così tanti dati all’IDS che il software non è più in grado di elaborarli tutti. Questo “allagamento” può favorire il traffico di file dannosi in azienda.

• Generazione di falsi positivi. Ricordate il ragazzo che gridava “al lupo, al lupo”? Questo tipo di attacco è progettato per inviare una grande quantità di dati di alert. Questi falsi positivi possono rendere più difficile l’identificazione di un vero e proprio attacco.

• Offuscamento. Un IDS deve rilevare tutte le firme maligne, indipendentemente dal loro formato. Per confondere gli IDS, gli aggressori potrebbero codificare il traffico, cifrarlo o frammentarlo in diverse parti, nel tentativo di oscurarne la presenza.

• Disaccoppiamento. Tecniche come la pre-sincronizzazione o la post-connessione possono essere utilizzate anche per nascondere il traffico dannoso.

Le aziende devono essere in grado di verificare i dispositivi che stanno sul perimetro della rete e garantire che i sistemi siano sempre aggiornati e correttamente patchati.

firewall sono un altro dispositivo perimetrale comunemente utilizzato per controllare il traffico in ingresso e in uscita.
I firewall possono essere sia stateful (se tengono traccia di alcune relazioni esistenti tra i pacchetti che lo attraversano) che stateless (se il pacchetto viene analizzato unicamente sulla base di regole preconfigurate). Entrambi possono essere testati in diversi modi.

Alcune comuni tecniche di test sono le seguenti:

• Identificazione del firewall. Le porte aperte possono contribuire a identificare quali specifiche tecnologie firewall vengono utilizzate.

• Determinare se il firewall è stateful o stateless. Tecniche semplici come la scansione ACK potrebbero aiutare a individuare il tipo di firewall in uso. La scansione ACK è una tipologia di scansione delle porte il cui scopo è scoprire quali porte sono aperte e quali filtrate su un firewall che si interpone tra la sorgente della scansione e il target. Il risultato di questa scansione non è “porta aperta” o “porta chiusa” bensì “porta filtrata” o “porta non filtrata”.

• Banner-grabbing dal firewall. Anche se non sempre efficace, alcuni firewall più vetusti possono effettivamente offrire informazioni sulla versione nel banner in uso.

Infine, ci sono gli honeypot. Questi dispositivi possono essere utilizzati per stanare e intrappolare gli aggressori o per saperne potenzialmente di più sulle loro attività. Gli honeypot si dividono in due categorie: a bassa e ad alta interazione. Gli honeypot possono essere rilevati osservando la loro funzionalità. Un buon esempio di honeypot a bassa interazione può essere visto con Netcat, un programma di utilità di rete che legge e scrive dati attraverso le connessioni di rete.

Mentre tutti quelli elencati sono i modi in cui è possibile mappare il perimetro della rete per come lo potrebbe vedere un attaccante, occorre tenere presente che molti attaccanti bypassano i dispositivi e i comandi edge agendo dall’interno verso l’esterno.

Se l’attaccante è in grado di ottenere che un utente finale arrivi a installare qualcosa dentro la rete, cliccare su un link o visitare un sito dannoso, l’utente malintenzionato potrà, quindi, instradare il traffico dall’interno verso l’esterno, cosa che è intrinsecamente più facile che non attaccare procedendo dall’esterno verso l’interno.

Fonte: http://searchsecurity.techtarget.it/