pc-facile.com
http://www.pc-facile.com/guide/sicurezza_aziendale/166.htm



Generale: Dylan666 20 Dicembre 04 @ 00:01 am

4. Usare il protocollo IPSEC per bloccare l'accesso rete ai PC

La maggioranza delle reti è instradata totalmente senza filtri (Firewall) interni; di conseguenza, un worm che riesca a infettare un computer è in grado di attaccare tutte le macchine della rete. E' raro che una workstation debba accedere a tutti i computer della rete; l'uso di un Firewall interno e di una rete segmentata in zone discrete a traffico consentito sarebbe troppo complesso e proibitivo in ambito economico per le società di fascia medio-piccola. Windows 2000 offre integrato a sé un protocollo di nome IPSec, con ottime possibilità di rallentare e prevenire la diffusione di un worm nella rete. Sempre attraverso un GPO si possono implementare politiche IPSec nei computer del dominio in modo semplice ed automatico. Queste politiche possono essere dei filtri di pacchetti che agiscono bloccando le porte sul computer, oppure è possibile formulare una politica più sofisticata che usi l'autenticazione forte, il controllo di integrità e la capacità di crittografia del protocollo IPSec. Questa soluzione è da vedere nell'ottica di protezione di un'intera rete e non del singolo computer.

Sarebbe corretto far sì che ciascun computer accetti unicamente i pacchetti provenienti dai soli computer con cui deve comunicare, ma se la rete è in continua evoluzione ed ampliamento ciò diviene un grande onere; bisogna quindi basare le proprie politiche IPSec su alcune generalizzazioni inerenti il traffico di rete.

A meno di usare NetMeeting o tools di messaggistica istantanea, le workstations ribadisco, non necessitano di comunicare con tutti i computer della rete, altrimenti Nimda e Code Red pascolerebbero senza problemi. Il modo migliore di imporre una simil politica è quello di usare il protocollo IPSec nella modalità AH ( Authenticated Header ), che consente al sistema di ricevere solamente i pacchetti che provengono realmente dal computer che sostiene di averli inviati, questo per evitare ogni tipo di spoofing dei pacchetti. Lo svantaggio che ne proverrebbe è quello di una diminuzione di prestazioni sui server e dal fatto che eventuali analizzatori di rete vedranno il traffico esistente come pacchetti IPSec di tipo AH invece che TCP o UDP.

Alternativa alla modalità AH è l'uso di IPSec in modo da permettere o bloccare il traffico in base all'indirizzo IP. Questo approccio richiede però a monte una pianificazione delle SubNet: ovvero che i server risiedano su sottoreti diverse da quelle dei client in modo da applicare al meglio i filtri IP. Si può specificare l'uso di Kerberos, dell'autenticazione a chiave pre-condivisa o tramite certificato.

Kerberos in un simile scenario non risulterebbe utile, dal momento che ogni computer del dominio o foresta di AD supporta automaticamente questo tipo di autenticazione.
Le altre 2 possibilità citate invece offrono maggiori funzionalità applicabili a questa tipologia di rete.

Il modello di autenticazione a chiave pre-condivisa è più semplice di quello a certificato, che richiede la configurazione di un Authority CA ( Certificate Authority ). Vediamo come si potrebbe utilizzare l'autenticazione a chiave pre-condivisa per impedire le comunicazioni da workstation a workstation. Per ottenere questo risultato, bisogna creare 2 politiche IPSec: una per le workstation e una per i server. La politica workstation vorrà che queste ultime usino delle comunicazioni in modalità AH, autenticate con una chiave pre-condivisa designata; a questa modalità andrà aggiunta un'eccezione per il traffico da workstation a server Web esterno su Internet. La politica server risponderà alle macchine andando a chiedere la modalità H con chiave designata. Per implementare questa soluzione bisogna avere una OU Workstations ed una OU Servers, aggiungere workstations e servers come membri dell'OU specifica, quindi creare gli oggetti GPO collegati alle OU per sviluppare le politiche IPSec.

Limitare il traffico tra workstations è solo uno dei modi attraverso il quale IPSec rallenta o blocca l'infezione da worm. E' possibile customizzare le proprie politiche per limitare il traffico ai soli server designati, oppure specificare il tipo di traffico consentito. È comunque opportuno in ogni tipologia di scenario analizzare l'impatto di un worm nella propria rete e disporre di una completa conoscenza del traffico interno della rete, affinché sia possibile evitare di bloccare o isolare accidentalmente le comunicazioni legittime.





© 2000-2024 pc-facile.com