Sicurezza rete dei sistemi informativi aziendali

 

La nostra assistenza informatica per la sicurezza rete considera le diverse componenti responsabili di proteggere all’interno di una infrastruttura informatica, per realizzare un sistema che abbia un livello di affidabilità maggiore della somma delle singole parti.

Il firewall garantisce la sicurezza perimetrale, e il supporto ai collegamenti sicuri in WAN (Wide Area Network) tramite tunnel VPN con crittografia, per esempio utilizzando una chiave 3DES (150 Mbps 3DES performance).

Il sistema IDS con risposta attiva è in grado di evitare eventuali attacchi tesi a compromettere i servizi e la sicurezza rete, ad esempio quelli di tipo Denial of Services, e tutti i tentativi di intrusione che sfruttano i servizi di rete supportati dai sistemi Server.

Il protocollo 802.1Q (VLan tagging) ed il bridging Layer-2 delle VLan, unitamente alla tecnologia di virtualizzazione del firewall, consentono di applicare del le policy al traffico di rete in modalità granulare.

Oltre alle policy tradizionalmente definibili, l’infrastruttura di rete deve proteggere da intrusioni e attacchi alla sicurezza rete di vario genere, tramite una serie di tecnologie avanzate:

  • Generalized flood protection
  • SYN flood protection
  • Strict TCP Validation
  • Rejection of bad TCP flag combinations Initial Sequence Number (ISN)
  • Rewriting for weak TCP stack implementations
  • Fragment flood protection with Robust Fragment Reassembly
  • Generalized IP Packet Validation

Il firewall permette di limitare i rischi di danni e disservizi sui sistemi nella LAN aziendale (che comprende diverse sottoreti) nella sfortunata eventualità di intrusioni sui sistemi di front-end o di accessi non autorizzati provenienti dalla rete esterna.

 

La separazione logica della rete dei sistemi informativi aziendali

 

Il disegno infrastrutturale della piattaforma deve separare logicamente tre aree:

  • LAN Interna: è composta da diverse sottoreti o VLAN (Application, Data Base, Rete di Gestione), protetta internamente dal firewall perimetrale. In particolare la VLAN Application è attestata sul firewall per garantire un maggior livello di sicurezza rete interna limitando i rischi di intrusione.
    La LAN è anche controllata e protetta in tutte le sue sottoreti dal sistema Intrusion Detection al fine di verificare eventuali attacchi verso macchine interne alla rete anche da parte di nodi della stessa rete lan intranet
  • Rete Esterna: segmente di rete protetta esternamente dal firewall perimetrale che in grado di bloccare accessi indesiderati ed offrire sicurezza VPN per le comunicazioni remote verso la rete lan intranet
  • DMZ: segmento di rete utilizzata per il posizionamento di server quali ad esempio il web server, dedicato alla pubblicazione di pagine web sia statiche che dinamiche, e server per l'erogazione dei servizi standard di Internet (quali server Mail, news, DNS etc). Per questo segmento il firewall perimetrale esterno svolge la sua funzione di garanzia della sicurezza rete e blocco degli accessi indesiderati anche avvalendosi delle funzionalità di un sistema di Intrusion Detection

 

I sistemi di rilevamento delle intrusioni nella rete lan intranet

 

L’Intrusion Detection System con risposta attiva è un sistema mirato al rilevamento intrusioni e tentativi di attacco informatici gestendo gli incidenti tramite la registrazione di informazioni di log e reagendo automaticamente con risposte attive, quali ad esempio TCP Reset su di una connessione ostile.
Il principale obiettivo è minimizzare di una serie di eventi catalogati come falsi positivi o falsi negativi tramite i seguenti criteri:

  • Metodi di inspection multipli
  • Fingerprinting con supporto di Regular Expression
  • Validazione protocollo
  • Controllo anomalie protocollo con istanze multiple
  • Correlazione eventi nel tempo (sequenze) e nello spazio (gruppi)
  • Controllo tecniche di IDS evasion esaminando non solamente i pacchetti trasmessi ma anche le connessioni

L’introduzione di un sistema IDS con risposta attiva è consigliato a causa del numero e della tecnologia raggiunta oggi dagli attacchi di rete.
Il filtro operato dai firewall si rivela essere infatti appena sufficiente a garantire una protezione efficace: le architetture di rete basate su protocolli Internet sono infatti soggette a vulnerabilità e debolezze che la sola protezione offerta dai firewall non é in grado oggi di arginare.

Ad esempio il firewall dovrebbe essere configurato per lasciar transitare trasparentemente il protocollo HTTP (utilizzato per il traffico dei siti Web), ma sfortunatamente alcune configurazioni o particolari bug o sviluppi applicativi custom della componente Web Server sui sistemi Server, potrebbero essere sfruttate dagli hacker per controllare, assumendo il ruolo di amministratori, tali sistemi o causare danni e malfunzionamenti.

La tecnologia introdotta dai sistemi di Intrusion Detection permette di intercettare situazioni simili allo scenario descritto.

Tali sistemi operano attraverso un’analisi dettagliata dei messaggi di comunicazione sulla rete IP ed un controllo accurato di tali sessioni, eseguendo una comparazione con un elenco di sequenze note in letteratura come possibili intrusioni od attacchi e potendo così identificare le minaccie informatiche, sopratutto quelle dirette alla rete lan intranet.

Successivamente alla fase di rilevamento, il sistema ha diversi metodi di risposta, quali:

  • Log
  • Alert, con escalation progressiva e rule-based
  • Record connection per analisi forense
  • IP Blacklist
  • TCP Reset