Numerosi incidenti di sicurezza emergono dall’interno dell’impresa causati dai dipendenti deliberatamente o inconsapevolmente. Le misure di sicurezza amministrativa basate su politiche e procedure possono essere efficaci contro queste minacce.
Questi controlli amministrativi che aiutano con la sicurezza delle informazioni sono generalmente documentati nel dipartimento risorse umane (HR). Alcune di queste misure sono: •Formazione sulla consapevolezza della sicurezza •Politiche e standard di sicurezza •Meccanismi di controllo del cambiamento •Audit e test di sicurezza •Migliori pratiche di protezione (best praticse) •Controlli in background per dipendenti e appaltatori •
Ad esempio, se un’organizzazione ha rigorose pratiche di assunzione che richiedono test antidroga e controlli sui precedenti penali per tutti i dipendenti, l’organizzazione probabilmente assumerà un minor numero di individui di carattere dubbioso.
Con meno persone di carattere dubbioso che lavorano per l’azienda, è probabile che ci saranno meno incidenti di sicurezza interna. Queste misure amministrative non assicurano che non si verifichino incidenti di sicurezza, ma sono una parte importante di un programma di sicurezza delle informazioni che vengono spesso utilizzate soprattutto da grandi organizzazioni.
Port-security
È possibile utilizzare la funzione port-security sugli switch Cisco per limitare chi può accedere alla rete connettendosi a una porta dello switch. Questa funzione viene utilizzata per limitare e identificare gli indirizzi MAC dei sistemi autorizzati ad accedere alla porta. È possibile configurare una porta dello switch in modo che sia sicura e anche specificare quali indirizzi MAC possono accedere alla porta. Port-security non inoltra i frame con indirizzi MAC di origine al di fuori del gruppo di indirizzi MAC definiti per quella porta.
Port-security consente di specificare manualmente gli indirizzi MAC per una porta o consentire allo switch di apprendere in modo dinamico un numero limitato di indirizzi MAC dai frame in arrivo. Limitando il numero di indirizzi MAC consentiti su una porta sola, è possibile assicurarsi che solo un sistema possa connettersi alla porta, impedendo l’eventuale espansione non autorizzata della rete collegando un hub o uno switch.
Quando una porta protetta riceve un frame, l’indirizzo MAC di origine del frame viene confrontato con l’elenco degli indirizzi MAC sicuri associati alla porta. Questi indirizzi MAC sicuri sono configurati manualmente o configurati automaticamente o appresi sulla porta. Se l’indirizzo MAC di origine di un frame differisce dall’elenco di indirizzi sicuri, la porta si spegne o la porta elimina i frame in arrivo da host non autorizzato. Il comportamento predefinito di una porta protetta è l’arresto fino a quando non viene abilitato a livello amministrativo. Il comportamento della porta dipende da come viene configurata per rispondere a una violazione della sicurezza.
la porta dello switch Fa0/1 consentirà solo quei frame in entrata che hanno un indirizzo MAC di origine MAC A. Questa porta bloccherà il traffico con l’indirizzo MAC di origine di MAC C o qualsiasi altro frame con un indirizzo MAC di origine diverso da MAC A. Allo stesso modo, la porta Fa0/2 consentirà il traffico solo con l’indirizzo MAC di origine di MAC B.Â
Consiglio vivamente di configurare la funzione port-security per chiudere una porta invece di eliminare i pacchetti dagli host con indirizzi non autorizzati. Se la sicurezza della porta non arresta una porta, è ancora possibile che la porta venga disabilitata a causa dell’eccessivo carico di traffico derivante da un attacco.
VLAN Hopping
Le VLAN semplificano la manutenzione della rete, migliorano le prestazioni e forniscono sicurezza isolando il traffico da diverse VLAN. È possibile ricordare che la comunicazione tra VLAN non è possibile senza passare attraverso un router. Tuttavia, una tecnica nota come hopping della VLAN consente al traffico proveniente da una VLAN di essere visto da un’altra VLAN senza prima attraversare un router. In alcune situazioni, gli aggressori possono persino intercettare i dati e ottenere password e altre informazioni sensibili. L’attacco funziona sfruttando erroneamente una porta trunk configurata in modo errato. Le porte trunk passano il traffico da tutte le VLAN (1 – 4094) attraverso lo stesso collegamento fisico, generalmente tra switch. I frame di dati che si spostano attraverso questi collegamenti trunk sono incapsulati con IEEE 802.1Q o ISL per identificare a quale VLAN appartiene un frame.
Discuteremo un attacco di hopping VLAN di base che utilizza un collegamento trunk non autorizzato, come mostrato nella figura. In questo attacco, l’attaccante sfrutta la configurazione di trunking automatica predefinita presente sulla maggior parte degli switch. L’aggressore ottiene prima l’accesso a una porta libera su uno switch e quindi configura un sistema, molto probabilmente un computer portatile, che si presenta come uno switch. È possibile farlo se il sistema è dotato di una scheda di rete compatibile con 802.1Q o ISL, utilizzando un software appropriato che di solito viene fornito con la scheda di rete stessa.
L’attaccante comunica con lo switch con i messaggi DTP (Dynamic Trunking Protocol), cercando di indurre lo switch a pensare che sia un altro switch che deve essere collegato. Se viene stabilito correttamente un trunk tra il sistema dell’aggressore e lo switch, l’attaccante può ottenere l’accesso a tutte le VLAN consentite sulla porta del trunk. Per avere successo, questo attacco richiede una porta switch che supporti il ​​trunking come desiderabile o automatico. Il risultato finale è che l’attaccante è un membro di tutte le VLAN trunking sullo switch e può saltare in tutte quelle VLAN, inviando e ricevendo traffico.
Questo tipo di attacco di hopping VLAN semplice ma efficace può essere lanciato in due modi: •Generazione di messaggi DTP dall’host attaccante per fare in modo che lo switch stabilisca un trunk con l’host. Una volta stabilito un trunk, l’aggressore può inviare e ricevere il traffico taggato con la VLAN di destinazione per raggiungere qualsiasi altro host come un server in quella VLAN, poiché lo switch consegna i pacchetti alla destinazione. • •L’introduzione di uno switch malevole e l’attivazione del trunking possono anche stabilire un trunk con switch vittima. L’aggressore può quindi accedere a tutte le VLAN sullo switch di destinazione dallo switch malevolo.
Il modo migliore per prevenire un attacco di hopping VLAN di base è disattivare il trunking di tutte le porte dello switch tranne quelle che richiedono specificamente il trunking. Tutte le porte utente devono essere configurate con i seguenti comandi:
Switchport mode access: questo comando imposta in modo permanente la porta dello switch su una modalità non-trunking ed è abbastanza buono per tutte le porte dello switch che dovrebbero essere collegate ai PC degli utenti.
switchport nonegotiate Questo comando può essere utilizzato anche per disabilitare la generazione di messaggi DTP. Tuttavia, una porta configurata con switchport mode access non può mai diventare trunk, tuttavia la disabilitazione di DTP riduce i frame DTP indesiderati sul collegamento. Sulle porte dello switch che richiedono il trunking, il DTP deve essere disabilitato usando il comando switchport nonegotiate e il trunking deve essere configurato manualmente usando il comando switchport mode trunk nella modalità di configurazione dell’interfaccia.
About Author
