A B White Paper VPN & Security X A B White Paper Il Programma Cisco SAFE Security per un e-business più sicuro Questo documento riprende i principi generali di SAFE Enterprise riferendoli a reti medie Il principale obiettivo di questo docu- epiccole, includendo filiali d’imprese più grandi, così come realtà indipendenti, e conside- mento è fornire le migliori informa- rando le soluzioni di sicurezza adeguate e raccomandate per questi tipi di reti. Il documento zioni pratiche a chi è interessato alla include anche informazioni sulle reti di utenti remoti, quali telelavoratori, e utenti che si progettazione e all’implementazione spostano frequentemente. di reti sicure. Si tratta di un’introdu- SAFE rappresenta una guida per i progettisti. Esaminando i requisiti di sicurezza delle reti zione al concetto di Cisco SAFE prese in esame, infatti, adotta un approccio di “progettazione” della sicurezza di rete. Questa basata su considerazioni relative a tipologia di progettazione si focalizza sulle minacce prevedibili e sui metodi di contenimento della stessa. reti di medie e piccole dimensioni con utenti remoti. Unprimo insieme SAFE include i prodotti Cisco Systems e quelli dei suoi Partner tecnologici; tuttavia, questo di linee guida, denominato SAFE documento non fa specifici riferimenti ai singoli prodotti. I componenti vengono invece citati in base alla loro specifica funzione anziché in base al codice o al modello. Enterprise, èstato scritto per fornire le medesime informazioni riferite alla Ci concentreremo in particolare sulle minacce a cui devono resistere le reti oggi. I progettisti di rete che sono consapevoli di tali minacce potranno decidere meglio dove e come utiliz- progettazione di reti per grandi aziende. zare le tecnologie di protezione. Senza una completa comprensione dei rischi a cui si va Per considerazioni tecniche più incontro, le protezioni rischiano di essere implementate in maniera errata, di essere troppo approfondite, si consiglia la lettura focalizzate sui dispositivi di sicurezza o troppo deboli per rispondere con efficacia alle anche degli altri whitepaper Cisco minacce. Questo documento fornisce ai progettisti di rete le informazioni per compiere SAFE (www.cisco.com/go/safe): SAFE valide scelte tese al miglior contenimento dei problemi di sicurezza in una rete. Enterprise, SAFE wireless per reti Il termine “hacker” ricorre spesso nelle prossime pagine, e definisce un individuo che cerca che utilizzano accessi wireless, SAFE di ottenere un accesso non autorizzato alle risorse di rete semplicemente spinto dalla curiosità IP Telephony laddove si sfrutti la o in alcuni casi con intenti deliberatamente dolosi. convergenza del traffico voce sulla stessa infrastruttura dati IP (VoIP – Voice over IP) e SAFE VPN, che pone particolare attenzione alle considerazioni di sicurezza per l’utilizzo di VPN nella connessione di siti remoti, o per dare connettività ad utenti remoti. X 1 A B Architettura di rete: la visione d’insieme I fondamenti della progettazione SAFE si basa rigorosamente sui requisiti funzionali delle reti odierne. Le decisioni di imple- mentazione vengono modificate in base alla funzionalità di rete richiesta; tuttavia, i seguenti obiettivi di progettazione, elencati in ordine di priorità, costituiscono una guida per il processo decisionale e le scelte progettuali: • Sicurezza e difesa dagli attacchi basate su una policy di sicurezza • Implementazione della sicurezza distribuita nell’infrastruttura di rete (non solamente attraverso apparecchiature specialistiche per la sicurezza) • Pianificazione dei costi reali • Sicurezza nella gestione e nel reporting • Autenticazione ed autorizzazione degli utenti e degli amministratori delle risorse critiche di rete • Individuazione delle intrusioni nelle risorse critiche e nelle sottoreti Come “architettura di sicurezza”, SAFE deve innanzitutto prevenire il maggior numero possibile degli attacchi diretti alle risorse di rete. Gli attacchi che riescono a superare la prima linea di difesa, o che hanno origine all’interno della rete, devono essere accuratamente rilevati e contenuti velocemente per ridurre il loro effetto dannoso sul resto della rete. La sicurezza, tuttavia, non deve in alcun modo pregiudicare l’erogazione dei servizi fondamen- tali di rete agli utenti. Una sicurezza efficace e una buona funzionalità di rete possono essere fornite allo stesso tempo. L’architettura SAFE non è un metodo rivoluzionario per progettare le reti, ma un modello per renderle sicure. L’architettura SAFE per reti medie e piccole con utenza remota è stata progettata senza presupposti di ridondanza. Gli interessati alla progettazione della sicurezza di rete in un ambiente ridondato e con maggiore resistenza all’impatto di un eventuale attacco possono consultare l’ originale documento SAFE Enterprise, dedicato alle grandi reti (che di seguito verrà citato come “SAFE Enterprise”). In molti punti del processo di progettazione di una rete è necessario scegliere tra l’uso di una funzionalità integrata in un dispositivo e l’adozione di un’apparecchiata dedicata (appliance). La funzionalità integrata rappresenta spesso un’attrattiva convincente in quanto è possibile implementarla in una struttura già esistente, o perché le strutture possono interagire con il resto dei sistemi per fornire una migliore soluzione dal punto di vista funzionale. Le appliance sono spesso utilizzate quando vi è l’esigenza di funzionalità avanzate o di prestazioni elevate che richiedono l’uso di un hardware specializzato. Prendete le vostre decisioni sulla dotazione basandovi sulla capacità e sulla funzionalità delle apparecchiature piuttosto che sul semplice vantaggio che potete ottenere utilizzando dispositivi integrati. In certi casi, per esempio, potete scegliere un router Cisco IOS®sovradimensionato con funzionalità IOS Firewall al posto di un router IOS più piccolo con un firewall separato. X 2 White Paper In questa architettura entrambi vengono presi in considerazione. Quando le richieste di progetto non obbligano ad una specifica scelta, la progettazione si orienta verso una funzionalità integrata in modo da ridurre i costi generali d’implementazione. Modularità Sebbene la maggior parte delle reti evolva con la crescita delle esigenze IT di un’organizza- zione, l’architettura SAFE utilizza un approccio modulare di ampio respiro. La modularità presenta due vantaggi fondamentali: in primo luogo permette che l’architettura richiami il rapporto di sicurezza tra i vari blocchi funzionali della rete. In secondo luogo permette ai progettisti di valutare e implementare la sicurezza modulo per modulo, invece di tentare di completare l’architettura in un’unica fase. La progettazione della sicurezza di ogni singolo modulo è descritta separatamente ma è considerata come parte di un progetto unico. Sebbene la maggior parte delle reti non possano essere facilmente suddivise in moduli ben delineati, questo tipo di approccio fornisce una guida per l’implementazione di funzioni di sicurezza diverse e specifiche in tutta la rete. Gli autori non si aspettano che chi disegna una rete lo faccia in maniera identica all’implementazione SAFE, ma piuttosto che venga utilizzata una combinazione dei moduli descritti, integrandoli nella rete già esistente. Gli assiomi di Cisco SAFE I Router sono bersagli I router controllano l’accesso da qualsiasi rete a qualsiasi rete. Per farlo, pubblicizzano le reti e filtrano gli utenti autorizzati a utilizzarle; per questo, sono potenzialmente il miglior amico di un hacker. La sicurezza dei router è un elemento critico in ogni impostazione di sicurezza. Per loro natura i router forniscono l’accesso, e quindi dovrebbero essere resi sicuri per ridurne l’attrattiva che può essere causa d’attacco. Esistono altri documenti che sono stati scritti a proposito della sicurezza dei router e che forniscono ulteriori indicazioni sui seguenti argomenti: • Rendere sicuro l’accesso Telnet ad un router • Rendere sicuro l’accesso Simple Network Managment Protocol (SNMP) ad unrouter • Controllare l’accesso a un router attraverso l’uso di Terminal Access Controller Access Control System Plus (TACACS+) • Disattivare i servizi non necessari • Logging ai livelli appropriati • Aggiornamenti dell’autenticazione al routing Un documento aggiornato riguardante la sicurezza dei router è disponibile alla seguente URL: http://www.cisco.com/warp/public/707/21.html X 3 A B Gli Switch sono bersagli Così come i router, anche gli switch (sia Layer 2 che Layer 3) meritano appropriate conside- razioni sulla sicurezza. A differenza dei router, non vi è una diffusa informazione circa irischi di sicurezza negli switch e su cosa può essere fatto per indirizzarli. La maggior parte delle tecniche di sicurezza descritte nella precedente sezione “I router sono bersagli” si possono applicare anche agli switch, con le seguenti ulteriori precauzioni: • Le porte che non devono funzionare da trunk (usate per collegare più switch fra loro) vanno impostate in posizione OFF, non AUTO. Questa configurazione impedisce a un host di ricevere così tutto il traffico che normalmente attraverserebbe una trunk port. • Se state usando una versione datata di software per lo switch Ethernet, assicuratevi che le porte trunk usino un numero di LAN virtuale (VLAN) che non venga usato in nessun’altro punto dello switch. Questa configurazione previene che pacchetti etichettati con la stessa VLAN della porta trunk possano raggiungere un’altra VLAN senza dover transitare da un dispositivo Layer 3. • Disabilitare tutte le porte non utilizzate. Questa configurazione impedisce agli hacker di collegarsi a porte non utilizzate e comunicare così con il resto della rete. • Evitare di utilizzare le VLAN come unico metodo di controllo degli accessi tra due subnet. La possibilità di un errore umano, combinata con la consapevolezza che le VLAN ed iprotocolli di marcatura delle VLAN non sono stati progettati con la sicurezza come primo obiettivo, rende inopportuno il loro uso in ambienti sensibili. Quando le VLAN sono necessarie nelle disposizioni di sicurezza, assicuratevi di prestare molta attenzione alle configurazioni ed alle linee guida sopra citate. All’interno di una VLAN esistente, le VLAN private forniscono ulteriore sicurezza per spe- cifiche applicazioni di rete. Le VLAN private lavorano regolamentando quali porte all’in- terno di una VLAN possono comunicare con quali altre porte della stessa VLAN. Le porte isolate all’interno di una VLAN possono comunicare solo con porte promiscue. Le community ports possono comunicare solo con altre porte della stessa comunità e con le porte promiscue. Le porte promiscue possono comunicare con qualsiasi porta. Questo è un metodo efficace per limitare gli effetti di un singolo host compromesso. Considerate ad esempio un segmento di servizi pubblici standard in un server: Web server, File Transfert Protocol (FTP) e Domain Name System (DNS). Se il server DNS è compromesso, un hacker ha connettività verso gli altri due host senza transitare attraverso il firewall. Se sono attive le VLAN private, anche quando un sistema fosse compromesso, questo non potrebbe comunicare con gli altri sistemi e gli unici obiettivi che un hacker potrebbe perseguire sarebbero gli host situati oltre il firewall. Ma poiché restringono la connettività Layer 2, le VLAN private rendono ancora più complessa anche l’individuazione dei problemi di rete. Ricordate che le VLAN private non sono supportate da tutti gli switch Ethernet disponibili sul mercato. In particolare, la maggior parte degli switch di basso costo non supporta ancora questa caratteristica. X 4 White Paper Gli Host sono bersagli L’obiettivo più appetibile durante un attacco è l’host il quale, dal punto di vista della sicurezza, rappresenta uno degli elementi più problematici. Esistono diverse piattaforme hardware, sistemi operativi e applicazioni che presuppongono aggiornamenti, installazioni di patch e fix, disponibili in tempi diversi. Poiché gli host forniscono servizi applicativi ad altri host che li richiedono, sono estremamente visibili sulla rete. Per esempio, molti utenti hanno visitato www.whitehouse.govche è un host, ma pochi hanno tentato di accedere a s2-0.whitehouseisp.net, che è un router. A causa di questa visibilità, gli host sono i più frequentemente attaccati in ogni tentativo d’intrusione in una rete. In parte perché, tra le sfide alla sicurezza menzionate sopra, gli host sono anche i dispositivi che si compromet- tono con maggior successo. Un dato server web su Internet, per esempio, potrebbe utiliz- zare una piattaforma hardware di una certa marca, una scheda di rete di un’altra, un sistema operativo di un altro produttore ancora ed un web server che potrebbe essere sia open source sia provenire da un ulteriore vendor. In più, sullo stesso server web potrebbero girare applicazioni gratuitamente distribuite su Internet, e il server potrebbe comunicare con un database, il che riapre tutte le considerazioni gia fatte. Questo non vuol dire che la vulnerabilità della sicurezza è causata specificatamente dalla sua natura multi-sorgente, ma più in generale va considerato che aumentando la complessità di un sistema aumenta la possibilità di errori. Per rendere sicuri gli host va riposta molta attenzione ai componenti che fanno parte del sistema. Mantenete ogni sistema aggiornato con le ultime patch, fix, ecc. In particolare, prestate attenzione a come queste patch influiscono sull’operatività di altri componenti delsistema stesso. Testate tutti gli aggiornamenti prima di implementarli in ambiente di produzione. Gli errori di valutazione relativi a queste attività potrebbero indurre la patch stessa a causare un malfunzionamento che finisca per creare un Denial of Service (DoS, interruzione di servizio). Le reti sono bersagli Gli attacchi alla rete sono probabilmente fra gli attacchi più difficili da gestire poiché traggono tipicamente vantaggio da una caratteristica intrinseca al modo in cui funziona la vostra rete. Questi attacchi includono quelli di livello 2 basati sull’Address Resolution Protocol(ARP) e il Media Access Control(MAC), sniffers e Distributed Denial of service (DDoS). Alcuni attacchi di livello 2 basati sull’ARP e sul MAC possono essere circoscritti attraverso “best practices” su switch e router. Gli attacchi DDoS, in particolare, hanno una dinamica che merita un approfondimento. Il peggior attacco è quello che non potete fermare. Quando viene organizzato con cura, un DDoS è esattamente così. Un DDoS funziona usando decine ocentinaia di macchine che inviano simultaneamente elevati volumi di dati qualsiasi ad un indirizzo IP. L’obiettivo di questo tipo di attacco non è generalmente quello di disattivare un determinato host, ma piuttosto di rendere tutta la rete inutilizzabile, saturandone l’intera banda e le risorse disponibili. Considerate per esempio un’organizzazione con una connessione ad Internet a 1,5Mbps che fornisce servizi di commercio elettronico ai suoi utenti. Chi gestisce un sito del genere è consapevole delle problematiche relative alla sicurezza e utilizza dispositivi di intrusion detection, sistemi di firewalling, controllo dei log ed un monitoraggio attivo. Sfortunatamente, nessuno di questi dispositivi di sicurezza può fronteggiare con successo un attacco DDoS. X 5 A B Considerate cento apparati nel mondo, ognuno con connessioni ad Internet DSL (500Kbps). Se questi sistemi sono potenzialmente in grado di sommergere di richieste un’interfaccia seriale di un router in un’organizzazione e-commerce su Internet, possono facilmente inta- sare una linea a 1,5Mbps con dati fasulli. Anche se ogni host è in grado di generare solo 100Kbps di traffico (test di laboratorio indicano che un classico PC può facilmente generare 50Mbps attraverso uno strumento DDoS alla portata di tutti), questa dimensione di traffico è già di per sé pari a circa dieci volte l’ammontare di traffico che il sito e-commerce in esame può gestire. Come risultato, le legittime richieste di pagine web sono perse e gli utenti non sono in grado di accedere al sito. Il firewall locale può scartare tutti i dati erronei, ma ormai il danno è fatto. Il traffico ha attraversato la connessione WAN e ha intasato ilcollegamento. Solo attraverso la cooperazione con l’Internet Service Provider (ISP) un azienda può sperare di contrastare un tale attacco. Un ISP può configurare infatti il Rate Limitingdell’interfaccia che collega il sito ad internet. Questa limitazione può scartare la maggior parte del traffico indesiderato quando questo supera un predefinito ammontare di larghezza di banda disponi- bile.Il punto è stabilire con precisione la quantità di traffico da considerare “indesiderato”. Le forme comuni di attacchi DDoS sono ICMP Flood, TCP SYN Floodo UDP Flood, che consistono nell’inondare un host di dati come Internet Control Message Protocol(ICMP), di richieste di connessione TCP (SYN), o di User Datagram Protocol(UDP). In un ambiente e-commerce è abbastanza facile riconoscere questo tipo di traffico. Solo che, limitando un attacco TCP SYN sulla porta 80 (Hypertext Transfer Protocol – HTTP) si corre il rischio, durante l’attacco, di negare l’accesso anche ad utenti legittimi. Ècomunque preferibile bloccare temporaneamente l’accesso a nuovi, legittimi utenti, e mantenere il routing e le connessioni di gestione, piuttosto che avere il router intasato e perdere l’intera connettività. Attacchi più sofisticati usano la porta 80 con il bit ACK pari ad uno in modo che il traffico appaia come una legittima connessione già stabilita. Purtroppo, è improbabile che un amministratore di rete possa riconoscere propriamente questo tipo di attacco, poiché le connessioni di questo tipo sono esattamente come quelle che vogliamo permettere in entrata nella rete. Un approccio per limitare questa tipologia di attacco si concretizza nel seguire linee guida di filtraggio per reti dettate dalle RFC1918 e RFC2827. La RFC 1918 specifica che le reti riservate a un utilizzo privato non dovrebbero mai comparire nella rete pubblica. Per esem- pio, per un router di accesso connesso ad Internet, si possono utilizzare i filtri RFC1918 eRFC2827 per bloccare il traffico non autorizzato verso la rete interna. Quando viene implementato dall’ISP, tale filtraggio blocca i pacchetti di attacchi DDoS che utilizzano tali indirizzi come sorgenti per attraversare il collegamento WAN, risparmiando banda durante l’attacco. Se gli ISP di tutto il mondo implementassero linee guida RFC 2827, lo spoofingdi indirizzi sorgenti diminuirebbe notevolmente. Lo spoofing è una tecnica con la quale gli hacker fingono di provenire da un indirizzo IP che non è quello effettivo, eventualmente sostituendo il proprio con uno appartenente alla rete privata dell’azienda che vogliono attaccare. Sebbene questa strategia non prevenga direttamente gli attacchi DDoS, previene invece la possibilità di mascherare le sorgenti da cui vengono sferrati gli attacchi e renderebbe molto più semplice rintracciare la rete attaccante. Chiedete al vostro ISP quale opzione di limitazione dei DDoS rende disponibile ai propri clienti. X 6 White Paper Le applicazioni sono bersagli Quasi tutte le applicazioni sono create da esseri umani e, per questo, presentano numerosi errori. Questi errori possono essere innocui, per esempio un errore che causa la stampa sbagliata di un vostro documento, o maligni, come un errore che rende il numero della vostra carta di credito disponibile sul vostro database server via FTP anonimo. Sono i problemi maligni, come altre vulnerabilità generiche di sicurezza, che meritano particolare attenzione. È importante assicurarsi che le applicazioni commerciali e di dominio pubblico siano sempre aggiornate con l’ultima fix di sicurezza. Le applicazioni di dominio pubblico, come le applicazioni custom, richiedono la revisione del codice per assicurarsi che non introducano nessun rischio di sicurezza causato da una programmazione approssimativa. Nell’analizzare la programmazione vanno considerati diversi fattori: il metodo con cui un’applicazione fa una chiamata ad altre applicazioni o al sistema operativo stesso; a quale livello di privilegi lavora l’applicazione, quale grado di fiducia l’applicazione attribuisce ai sistemi circostanti e, infine, quale metodo utilizza per trasferire dati in rete. La seguente sezione tratta degli Intrusion Detection Systems(IDS) e di come questi possono costituire un valido aiuto limitando alcuni degli attacchi lanciati contro le applicazioni econtro altre funzioni all’interno della rete. I layer di rete Fino ai primi anni 80, le reti seguivano standard proprietari e gli utenti erano costretti ad acquistare tutti i dispositivi di rete di un’unica marca. La ISO (International Organization for Standardization) ha stabilito una ripartizione universale a livelli (layer) per consentire alle reti di comunicare tra loro anche se con componenti provenienti da diversi produttori. Il risultato è l’Open Systems Interconnect (OSI) Reference Model pubblicato nel 1984. I sette layer sono: • Layer 7 – Application • Layer 6 – Presentation • Layer 5 – Session • Layer 4 – Transport • Layer 3 – Network • Layer 2 – Data Link • Layer 1 – Physical Intrusion Detection Systems Gli Intrusion Detection Systems(IDS) operano come un sistema di allarme fisico, analizzando in tempo reale il contenuto e il contesto dei singoli pacchetti per controllare tentativi di intrusione o attività sospette. Quando un IDS individua qualcosa che considera un attacco o semplicemente una situazione anomala, può intraprendere azioni correttive e avvisare l’amministratore che sono necessarie azioni correttive. Questi sistemi sono più o meno equipaggiati per rispondere e prevenire questi attacchi. Un sistema di intrusion detection host-based (HIDS) può funzionare tramite intercettazione delle chiamate a un’applicazione o al sistema operativo su un singolo host. Può anche operare tramite un’analisi successiva alle azioni di attacco attraverso i file locali di log. Quest’ultimo approccio permette una migliore prevenzione degli attacchi, laddove il precedente ha più un ruolo passivo nella risposta agli attacchi solo dopo che questi sono avvenuti. A causa della specificità del loro ruolo, i sistemi Host-based IDS sono spesso migliori nella prevenzione di attacchi specifici rispetto ai sistemi Network IDS (NIDS), che solitamente generano un allarme solo dopo aver scoperto un attacco. Questa specificità causa, comunque, una perdita di visibilità su X 7 A B tutta la rete, e questo è l’ambito in cui i sistemi NIDS sono eccellenti. Idealmente Cisco racco- manda una combinazione dei due sistemi – HIDS per gli host critici e NIDS per controllare l’intera rete – per avere così un sistema completo di prevenzione dalle intrusioni. Sfortu- natamente, saranno spesso i budget IT a dettare la scelta di una tecnologia piuttosto che di un’altra. In questo caso, particolare attenzione dovrebbe essere prestata al costo totale di ogni tecnologia, al numero dei dispositivi che devono essere monitorati e al personale necessario per rispondere ad un attacco. Quando viene impiegato un IDS occorre ottimizzarne la configurazione per aumentarne l’effi- cacia e rimuovere i “falsi positivi”. I “falsi positivi” sono allarmi causati da traffico o da attività che invece sono perfettamente legittime. I “falsi negativi”, invece, sono attacchi che il sistema IDS non rileva. Quando l’IDS è configurato, è possibile regolarlo più specificata- mente verso il suo ruolo di contenimento delle minacce. È consigliabile soffermarsi sulla corretta configurazione dell’HIDS, piuttosto che del NIDS, per fermare i rischi più gravi a livello di host, poiché è concepito per identificare tutte le attività effettivamente a rischio. Quando si decide il ruolo di contenimento del NIDS si hanno due possibilità. Il primo passo per implementare qualsiasi opzione di risposta al rischio è quello di configurare adeguata- mente il NIDS per assicurare che ogni presunta minaccia sia effettivamente tale. La prima opzione, che è potenzialmente la più pericolosa se usata impropriamente, è quella definita comunemente “shunning”. Questa azione consiste nell’aggiunta di filtri di controllo degli accessi sui router e sui firewall attraverso i quali si blocca il traffico proveniente da una determinata sorgente (dalla quale si è rilevato provenire un attacco). Quando un NIDS individua un attacco da un particolare host su di un certo protocollo, può bloccare a quell’host l’accesso alla rete per un determinato lasso di tempo. Sebbene superficialmente questo possa sembrare un grande aiuto per un amministratore della sicurezza, in realtà deve essere gestito con molta attenzione. Il primo problema è quello degli indirizzi falsificati con lo spoofing. Se il traffico che genera un attacco è individuato da un NIDS, e quell’allarme particolare innesca un’azione di “shunning”, il NIDS inserirà una access-list al dispositivo. Tuttavia, se l’attacco che ha causato l’allarme ha utilizzato un indirizzo falso, evidentemente in quel momento il NIDS ha “chiuso fuori” un indirizzo che non ha nulla a che vedere con l’attacco. Se l’indirizzo IP che l’hacker ha utilizzato fosse in realtà l’indirizzo IP di un outbound HTTP proxy server di un ISP primario, un gran numero di utenti potrebbe finire per vedersi negare l’accesso. E già solo questo potrebbe costituire una minaccia DoS interes- sante per un hacker creativo. Per limitare il rischio di un errato “shunning”, lo si dovrebbe utilizzare solamente sul traffico TCP, la cui sorgente è molto più difficile da falsificare con successo rispetto al traffico UDP. Va utilizzato solo nei casi in cui il rischio è reale e in cui la possibilità che l’attacco sia un falso positivo è molto bassa. Va considerato anche che la durata dello shun va regolata affinché sia molto breve. Questo tipo di configurazione bloccherà l’utente per il tempo necessario affinché l’amministratore possa decidere quale azione, magari permanente, voglia adottare contro quell’indirizzo IP. All’interno di una rete esistono comunque molte altre opzioni. Con un impiego efficace del filtraggio secondo la RFC 2827, il traffico falsificato dovrebbe essere molto limitato. Poiché i clienti non sono generalmente nella rete interna, è possibile anche adottare metodi più restrittivi contro tentativi di attacco dall’interno. Inoltre, spesso le reti interne non hanno lo stesso livello di filtraggio rispetto alle connessioni alle estremità della rete. Per questo motivo, l’IDS deve essere più performante nell’ambiente interno rispetto a quello esterno. La seconda opzione per la difesa NIDS è l’uso del TCP reset. Come indica il nome stesso, il TCP reset opera solo sul traffico TCP e termina un attacco in corso mandando un segnale di reset della connessione sia all’attaccante sia all’attaccato. Poiché il traffico TCP è più difficile da falsificare con lo spoofing, andrebbe considerata la possibilità di utilizzare il reset del TCP più spesso rispetto alla procedura di “shunning”. È bene ricordare che il TCP X reset in una rete dotata di switch è più rischioso rispetto a reti in cui vi sia un hub, perché senza l’uso di un Switched Port Analyzer (SPAN) o di una mirror port, non tutte le porte 8
Description: