La rete aziendale protetta
In un’azienda di medie e grandi dimensioni, la tipica rete protetta è costruita attorno a una ricetta di un router perimetrale, un dispositivo firewall e un router interno.
Router perimetrale Il router perimetrale è il valico di frontiera o il punto di demarcazione tra le risorse della rete aziendale e la rete pubblica, come Internet. Pertanto, il traffico proveniente dall’esterno destinato alla rete fidata o alla DMZ deve passare attraverso il router perimetrale. Questo router dovrebbe fornire protezione di base e filtro del traffico sia per la DMZ che per la rete fidata.
Firewall Il firewall può essere un router che esegue il set di funzionalità firewall Cisco IOS o un dispositivo separato come Cisco Adaptive Security Applinace (ASA). Il firewall può essere configurato per fornire controlli sofisticati sul flusso di traffico tra la rete attendibile, DMZ e la rete non attendibile.
Rete sicura è la rete aziendale interna o la LAN (Corporate Local Area Network).
Rete non attendibile La rete non attendibile si riferisce all’universo oltre il router perimetrale. In genere, Internet è la rete non attendibile ed è considerata altamente ostile.
Demilitarized Zone (DMZ) Il termine DMZ, come molti altri termini di sicurezza della rete, è stato preso in prestito dalla terminologia militare. In termini militari, una zona di smilitarizzazione (DMZ) è un’area, di solito la frontiera o il confine tra due o più potenze militari, in cui l’attività militare non è consentita, di solito mediante un trattato di pace o altri accordi simili. Nella rete di computer, anche la DMZ fornisce una zona buffer che separa una rete fidata interna dal territorio ostile non fidato di Internet. DMZ non è sicuro come la rete interna, ma poiché è protetto da un firewall, non è nemmeno insicuro come Internet. In genere, DMZ ospita servizi a cui è richiesto l’accesso dalla rete non attendibile. Ciò include Web, DNS, e-mail e altri server aziendali che devono essere raggiungibili da Internet.
Vulnerabilità , minacce ed exploit
Gli attacchi alla sicurezza variano considerevolmente in termini di raffinatezza e capacità di causare danni. Man mano che impari di più sui protocolli che gestiscono le reti odierne, ti renderesti conto che la maggior parte delle minacce alla sicurezza sono il risultato di qualche debolezza o inadeguatezza nella progettazione del protocollo stesso. Quando è stata creata Internet, ha collegato tra loro varie entità governative e università con il solo scopo di facilitare l’apprendimento e la ricerca. Gli architetti originali di Internet non avevano mai anticipato il tipo di adozione diffusa che Internet ha raggiunto oggi. Di conseguenza, nei primi tempi del networking, la sicurezza non era progettata nelle specifiche del protocollo di rete. Per questo motivo la maggior parte delle implementazioni di TCP/IP sono intrinsecamente insicure. Questo è un grande motivo per cui la sicurezza è un problema così oggi e in assenza di meccanismi di sicurezza integrati, dobbiamo fare affidamento su misure di sicurezza aggiuntive per rendere sicure le comunicazioni.
Vulnerabilità  è una debolezza in un sistema o nella sua progettazione che può essere sfruttata da una minaccia . Le vulnerabilità si trovano nei sistemi operativi, nelle applicazioni e persino nei protocolli di rete stessi.
Classi di attaccanti
Un utente malintenzionato si riferisce a qualcuno che tenta di ottenere un accesso non autorizzato a una rete o a un sistema informatico. È utile identificare diversi tipi di attaccanti e comprenderne le motivazioni per poter caratterizzare gli attacchi e rintracciare tali individui. Esiste una varietà di gruppi in cui gli aggressori sono classificati e talvolta i membri della comunità della rete hanno opinioni contrastanti sulle definizioni di queste classificazioni. Qui, vorrei citare tre grandi categorie:
Gli hacker sono quegli individui che entrano nei sistemi e nelle reti di computer per conoscerli o semplicemente per dimostrare la loro abilità . Alcuni hacker di solito non significano danni e non cercano guadagni finanziari.
Cracker
I cracker sono hacker criminali che intendono danneggiare i sistemi di informazione. I cracker di solito lavorano per guadagno finanziario e sono anche conosciuti come hacker black hat.
Script Kiddies
Gli script kiddies si considerano hacker ma non hanno le conoscenze e le competenze necessarie. Non possono scrivere il proprio codice; invece, eseguono script scritti da altri per attaccare sistemi e reti. È un dato di fatto, strumenti software molto sofisticati sono diventati liberamente disponibili su Internet che consentono ai principianti di eseguire attacchi con facilità punta e clicca. Oggi, una percentuale molto elevata di aspiranti hacker rientra in questa categoria.
Minaccia
Una minaccia è un pericolo esterno per il sistema che ha una vulnerabilità .
Exploit Si dice che esiste un exploit quando il codice del computer viene effettivamente sviluppato per sfruttare una vulnerabilità . Supponiamo che esista una vulnerabilità in un software, ma nessuno ha ancora sviluppato un codice per abusarne. Poiché non esiste alcun exploit, non esiste ancora alcun problema reale, sebbene la vulnerabilità esista in teoria.
Classi di attacchi
I tre principali tipi di attacchi di rete, ciascuno con il proprio obiettivo specifico, sono i seguenti:
Attacchi di ricognizione
Ricognizione significa letteralmente l’osservazione militare di una regione per localizzare un nemico o per stabilire caratteristiche strategiche della regione. Un attacco di ricognizione non ha lo scopo di infliggere danni immediati a un sistema o una rete, ma solo di raccogliere informazioni sulla rete per prepararsi a un attacco successivo. Viene utilizzato per mappare la rete e scoprire quali intervalli di indirizzi IP vengono utilizzati, quali sistemi sono in esecuzione e quali servizi o applicazioni risiedono su tali sistemi. L’attaccante deve essere in grado di raggiungere un sistema o una rete in una certa misura per eseguire la ricognizione, ma normalmente nessun danno è causato in quel momento. Gli attacchi di ricognizione più comuni includono sweep ping, scansioni delle porte e query DNS. Ecco alcuni esempi di attacchi di ricognizione:
Ricerca delle informazioni Un intruso in rete può utilizzare strumenti come nslookup e whois per determinare lo spazio degli indirizzi IP assegnato a un’organizzazione. Trovare un indirizzo IP di destinazione è uno dei primi passi nella ricognizione. Una volta che un intervallo di indirizzi IP è noto, un intruso può cercare host che sono attivi utilizzando le analisi del ping. Infine, è possibile utilizzare la scansione delle porte per scoprire quali servizi o applicazioni sono in esecuzione su tali host attivi.
Ping sweep Un ping sweep è una tecnica di scansione utilizzata nella fase di ricognizione dell’attacco, per determinare host o computer attivi in ​​una rete. Una scansione del ping invia richieste di eco ICMP a più host uno dopo l’altro. Se un determinato indirizzo è attivo, verrà restituita una risposta dell’eco ICMP a conferma della sua esistenza.
Scansioni delle porte
La scansione delle porte è un metodo utilizzato per enumerare quali servizi e applicazioni sono in esecuzione su un sistema. Un intruso invia richieste casuali su porte diverse e se l’host risponde alla richiesta, l’intruso ottiene la conferma che la porta è attiva e il servizio o l’applicazione associati sono in ascolto. L’attaccante può quindi procedere allo sfruttamento di eventuali vulnerabilità prendendo di mira i servizi attivi. Uno scanner di porte è un software progettato per cercare porte aperte in un host di rete. I ping sweep e le scansioni delle porte sono due tecniche di ricognizione principali utilizzate per scoprire host e servizi che possono essere sfruttati.
Sniffer di pacchetti
Uno sniffer di pacchetti è un programma software che utilizza una scheda di interfaccia di rete cablata o wireless (NIC) in modalità promiscua per acquisire tutti i pacchetti di rete inviati attraverso un determinato dominio di collisione. La modalità promiscua è una modalità in cui la scheda di rete invia tutti i pacchetti ricevuti sulla rete a un’applicazione per l’elaborazione. Si può ricordare che, una scheda di interfaccia di rete normalmente invierebbe solo frame indirizzati all’indirizzo MAC della scheda o frame broadcast/multicast a un’applicazione mentre tutti gli altri frame vengono semplicemente ignorati. Esistono applicazioni legittime degli sniffer di rete nella risoluzione dei problemi e nell’analisi del traffico di rete. Tuttavia, esistono diverse applicazioni di rete come Telnet, FTP, SMTP e HTTP che inviano dati in chiaro. Uno sniffer di pacchetti può acquisire tutti i dati inviati da queste applicazioni, comprese informazioni riservate, come nomi utente e passowrds. Lo sniffing dei pacchetti è essenzialmente intercettare le informazioni raccolte che possono essere utilizzate per eseguire altri attacchi.
About Author
