La sicurezza informatica per l

La sicurezza informatica per l'ufficio
I consigli giusti per proteggere la propria rete aziendale da attacchi esterni

Ogni ufficio che si rispetti ha da tempo connesso i propri computer in una rete locale. Essa può essere una semplice rete di tipo paritetico (peer-to-peer), nel quale ogni personal computer funge da piccolo server, oppure una più complessa LAN aziendale. Analizziamole entrambe per comprenderne le strutture sulle quali applicare gli strumenti hardware e software per la sicurezza.

La rete paritetica
Un piccolo ufficio, che ha sicuramente un ridotto budget annuale, non potrà certamente affrontare una notevole spesa per la costituzione di una rete. La scelta più ovvia (dal punto di vista economico) è la semplice connessione e condivisione di risorse (dischi rigidi, lettori CD-ROM, modem, stampanti, scanner, ecc.) con una rete di tipo paritetico (peer-to-peer), nel quale ogni PC funge da piccolo server, condividendo le proprie risorse con gli altri computer. I sistemi operativi Windows 95/98, Windows NT e, più recentemente, Windows 2000, supportano le reti di tipo paritetico. Esistono in commercio prodotti più sofisticati (e costosi) che aggiungono complesse funzionalità ad una semplice condivisione di risorse. La scelta su questi applicativi dipende certamente da precise scelte aziendali, motivate dal budget essenzialmente disponibile e dalle strategie prossime e future. Costituita la piccola LAN, il passo successivo è la connessione, veloce ed affidabile, ad Internet. Un collegamento ad Internet è, oggigiorno, di vitale importanza. L'infinita banca dati messa a disposizione dalla Rete delle reti è fonte inesauribile di informazioni che possono essere quotidianamente attinte con un semplice clic del mouse. Inoltre il collegamento ad Internet può garantire una comunicazione semplice ed economica (e-mail) con proprie filiali o collaboratori esterni. Per un accesso veloce ad Internet è consigliabile un piccolo router ISDN, sul quale cablare mediante un hub i PC della rete locale. Se il costo di un abbonamento ISDN non è alla portata delle proprie tasche, la scelta più economica è sicuramente un modem analogico da condividere. A tal fine è necessario disporre di almeno due linee telefoniche per non impegnare tutto il giorno l'unica linea disponibile. Qualora si aggiungesse una terza linea (o più), è consigliabile considerare un piccolo commutatore con un risponditore vocale.

La LAN aziendale
Un ufficio che dispone di un maggiore budget economico può sicuramente investire in una LAN aziendale. Innanzitutto è necessario costruire la LAN. Una tipica rete aziendale è costituita da un commutatore (hub) al quale sono connessi i PC client e le risorse di rete (stampanti, scanner, memorie di massa, ecc.). La connessione dei client alle risorse è totalmente trasparente. Ogni richiesta client viene impacchettata in base al protocollo utilizzato (NetBIOS, IP/IPX, ecc.) e

Il firewall è l'elemento chiave necessario a garantire la sicurezza di una LAN aziendale da accessi indesiderati

reindirizzata dall'hub alla giusta periferica, utilizzando appositi programmi di trasporto, propri dei sistemi operativi utilizzati, che veicolano i pacchetti sulla LAN. Comunemente la rete fisica di trasporto può essere costituita da cavetti coassiali compatibili con lo standard Ethernet o più complesse (e costose) fibre ottiche. Il doppino telefonico è sicuramente sconsigliabile, tranne nei casi in cui il cablaggio tra differenti piani (o edifici) comporta delle spese non indifferenti. Più LAN, ad esempio dislocate su differenti piani di uno stesso edificio, possono essere tra di loro connesse attraverso degli switch. Alla suddetta LAN possono essere connessi diversi server (file server, server di posta elettronica, Web server, proxy server, server FTP, server di database) che assolvono a svariate funzioni necessarie alla connessione con Internet, alla comunicazione tra gli utenti, alla gestione di notevoli quantità di dati ed altro ancora. Un'evoluzione della LAN aziendale è l'Intranet. Con questo termine si indica l'applicazione della tecnologia Internet all'interno di una rete. Ogni informazione viene così trattata con le stesse metodologie applicate su Internet, rendendo la loro visualizzazione molto semplice grazie all'impiego di browser. In questo modo vengono abbattuti i costi necessari all'acquisto, all'installazione ed alla manutenzione di applicativi client, limitando la spesa ai soli server che forniscono i servizi Intranet (i browser sono gratuiti!).

La sicurezza
E' stato già detto che l'acceso ad Internet, per una qualsiasi azienda, è di vitale importanza. Ma dietro ad ogni collegamento con il mondo esterno si nascondono mille insidie alla sicurezza aziendale. Usare Internet può sembrare, a prima vista, un'attività del tutto tranquilla e senza rischi. Quando si inserisce l'indirizzo di un sito nel browser, i testi e le immagini iniziano ad apparire sullo schermo. E quando si invia un messaggio e-mail, questo si mette in viaggio per arrivare velocemente a destinazione. Ma dietro le quinte c'è molto altro che forse sfugge. Mentre si visualizza un sito Web, piccoli programmi e script possono essere scaricati ed eseguiti sul PC locale.

I siti inseriscono sul computer di chi si collega una serie di dati (cookie) per poterlo riconoscere in occasione di una visita successiva. E le informazioni che viaggiano sul Web o via e- mail possono essere facile preda per gli hacker. Inoltre la posta elettronica è continuamente bombardata la messaggi pubblicitari non richiesti (spam) o messaggi contenenti pericolosi virus. Una prima protezione, per chi ha un limitato budget a disposizione, è l'installazione di software (possibilmente shareware o freeware) che protegga ogni singola macchina dagli accesi indesiderati. I software da installare assolutamente dovranno proteggere il PC dai virus (antivirus), eliminare la posta indesiderata (anti-spam) ed i cookie dei siti visitati, evitare lo scarico di banner pubblicitari (che rallentano la navigazione on-line), impedire l'accesso indesiderato ai propri file (suite di protezione del sistema). Chi, viceversa, possiede una discreta disponibilità economica, una semplice soluzione informatica come quella appena descritta non è plausibile. Ogni società che intende collegarsi ad Internet deve proteggere sia le informazioni interne di natura riservata sia i file e la sicurezza dei propri dipendenti, clienti e fornitori. Per raggiungere questo scopo è necessario: da un lato proteggere i dati riservati, dall'altro dare libero accesso ai clienti e ai partner commerciali. Per riuscire a trovare l'equilibrio fra questi due estremi, una prima strategia è l'individuazione dei punti di contatto Internet/LAN aziendale ai quali verranno posti dei firewall.

Questi server software specializzati hanno l'impegnativo compito di proteggere la rete aziendale non solo dagli attacchi esterni, ma anche da possibili falle interne di sicurezza. Basandosi sui parametri definiti dall'amministratore, un firewall decide se un determinato utente o un determinato flusso di traffico possa avere accesso alla rete e se un certo tipo di traffico (differenziato tra consultazione di pagine Web, e-mail, ecc.) può essere permesso in uscita. Servirà un firewall ovunque vi sia una connessione ad Internet, così come in quei punti della Intranet dove vengono custodite informazioni particolarmente riservate. La sicurezza di una LAN aziendale agisce su diversi perimetri. L'area di maggior sicurezza contiene i client, le risorse di rete e tutte le applicazioni che devono essere protette dall'esterno garantendo, nel contempo, il massimo delle prestazioni in locale.

Una seconda area che offre una minore sicurezza è garantita per tutte quelle applicazioni che generano traffico con il mondo esterno (Web server, FTP, server e-mail, ecc.). L'ultimo perimetro, infine, è rappresentato dal tratto di linea che unisce il firewall con il router di accesso ad Internet. In questo caso la sicurezza è minima. In aggiunta ai firewall esistono i sistemi anti-intrusione che aiutano a identificare i potenziali attacchi. Questi sistemi si dividono in due categorie, quelli per la rete e quelli basati per gli host. I primi risiedono all'interno della connessione Internet e confrontano i pattern del traffico entrante con una serie di pattern predefiniti potenzialmente dannosi per il network. I sistemi per host invece controllano operazioni come login interrotti o falliti, tentativi di modifica delle password non autorizzati, o cambiamenti repentini nell'utilizzo delle risorse di sistema. Quando si verifica una sospetta intrusione, questi programmi generano immediatamente un allarme. Le problematiche relative alla protezione di una LAN, piccola o grande che sia, sono molteplici. Curarne tutti gli aspetti, quindi, è un'ardua impresa, che un buon amministratore deve tenere in considerazione.

Politica di sicurezza della rete
Per meglio affrontare il tema della sicurezza all'interno di una azienda, compito predominante di un amministratore di rete è l'impostazione ed attuazione di una politica di sicurezza. Il punto di partenza di una buona politica di sicurezza è nello specificare "cosa" proteggere piuttosto che "come" proteggerlo. Ad esempio, per un sistema informativo per il personale di una azienda, il "cosa" proteggere è il database dei dati di ogni impiegato. Definito il "cosa" proteggere, lo step successivo è l'individuazione delle possibili minacce all'oggetto da proteggere, adottando ed implementando tutte quelle misure di protezione efficaci e non particolarmente dispendiose (in termini di denaro, naturalmente). Completata questa prima fase di protezione, l'amministratore di rete non deve assolutamente tralasciare il sistema, ma rivedere continuamente le procedure e migliorare i componenti di sicurezza ogniqualvolta viene riscontrato un punto debole o bug.

La politica di sicurezza non è un fatto a sé stante all'interno di una azienda ma, anzi, deve integrarsi alle rimanenti politiche al fine di concorrere insieme al perseguimento dell'obiettivo finale dello staff dirigenziale. A tal fine, l'amministratore di rete, d'accordo con i responsabili dell'azienda, deve modellare la sua politica tenendo in considerazione gli obiettivi e la direzione intrapresa dall'intera organizzazione, le abitudini, i regolamenti e le leggi a cui l'organizzazione deve sottostare, i collegamenti esterni ed i collegamenti in accesso remoto della rete locale. Certamente la buona riuscita di un piano di sicurezza non dipende soltanto dall'abilità dell'amministratore nell'aver miscelato opportunamente gli aspetti tecnici di una LAN agli obiettivi e regolamenti di una azienda, ma anche dalla volontà del personale che opera all'interno della rete e con essa si interfaccia. Una politica di sicurezza che non può essere (o non vuole essere) rispettata è assolutamente inutile. E' quindi compito dell'amministratore di rete di coinvolgere fin da subito tutto il personale che sarà interessato successivamente dalla sua politica di sicurezza, contribuendo così ad una graduale accettazione di tutte quelle restrizioni (autenticazioni, autorizzazioni, auditing, privacy) che necessariamente dovranno essere implementate. Successivamente alla definizione ed implementazione della politica di sicurezza, l'attenzione dell'amministratore di rete sarà rivolta principalmente nella costante verifica di due particolari fronti: il personale interno all'azienda ed gli hacker. I primi per determinare se la politica da lui adottata è corretta ed abbia prodotto gli esiti sperati, senza creare quei malumori che sono sintomo di possibili falle del sistema (ad esempio l'impiegato infedele ed inappagato che trasmette dei dati riservati ad una azienda concorrente); i secondi per stabilire se la rete è sufficientemente protetta da attacchi esterni condotti con metodologie e strumenti di qualsiasi natura. In conclusione è bene, per ogni tipo di LAN, adottare preventivamente, a qualsiasi installazione hardware e software, una corretta politica di sicurezza che sensibilizzi il personale ad un corretto uso della rete e che protegga l'azienda da qualsiasi violazione.