Le comunicazioni su Internet sono facilmente intercettabili, le reti aziendali e gli utenti possono subire molti tipi di attacchi.
Spesso, soprattutto nelle piccole aziende, alla domanda “come proteggi la tua azienda dagli attacchi informatici?”, la risposta è quasi sempre “Noi siamo una piccola azienda, a chi interessano i nostri dati?”.
In realtà un basso livello di sicurezza delle piccole aziende permette agli hacker di ottenere risorse per attaccare strutture più grandi e complesse, come banche o siti delle istituzioni governative.
In tutte le aziende esiste un solo punto sul quale il traffico da e verso internet deve essere sottoposto ad un controllo di sicurezza, registrato, scartato o smistato.
Queste operazioni vengono affidate ai firewall, ai sistemi riconoscimento delle intrusione (IDS: Intrusion Detection Systems) e ai sistemi di prevenzione delle intrusioni (IPS: Intrusion Prevention Systems).
Che cos’è un firewall?
Un firewall è un server, dotato di opportuno software, che isola la rete interna di una azienda da Internet, consentendo ad alcuni dati di passare e bloccandone altri.
Il firewall consente all’amministratore di rete di controllare le comunicazioni in transito tra il mondo esterno e le risorse interne alla rete, gestendo tutto il flusso del traffico da e verso queste risorse.
IDS e IPS
E’ importante ricorrere ad un ulteriore sistema che si occupi di individuare pacchetti sospetti e ne blocchi l’accesso alla rete interna. Parliamo di:
- Intrusion Detection System (IDS), un sistema che genera messaggi di avviso associati al traffico potenzialmente pericoloso;
- Intrusion Prevention System (IPS), Un dispositivo che blocca il traffico sospetto.
Un IDS/IPS viene usato per riconoscere un’ampia varietà di attacchi, compreso la mappatura della rete, la scansione delle porte, il DoS (Denial of Service) per saturare la banda, l’introduzione di virus, lo sfruttamento di vulnerabilità dei sistemi operativi e delle applicazioni presenti in rete.
DMZ e PROXY
Altri sistemi per migliorare la sicurezza della propria rete aziendale sono le aree DMZ e i server Proxy.
Una DMZ è un segmento isolato della rete, raggiungibile sia da reti interne sia da quelle esterne, ma caratterizzata dal fatto che i server sulla DMZ hanno possibilità limitate di connessione verso la rete interna.
Qualora uno dei server posto in DMZ venga sottoposto ad un attacco informatico, l’attaccante si ritroverebbe in un’area di rete aziendale senza possibilità di accesso alle risorse interne..
Un server proxy si interpone tra il firewall e i server che forniscono servizi all’esterno (ad esempio un sito web o un sito ftp), fornendo di fatto un ulteriore livello di protezione..
Nella remota possibilità che un attacco al firewall abbia successo, l’intruso si troverebbe un ulteriore barriera.
Come proteggi la tua azienda dagli attacchi informatici?
A questa domanda, Poker ha risposto adottando le seguenti soluzioni:
pfSense
un software open source su sistema operativo FreeBSD.
Ha lo scopo di fornire un sistema di protezione potente, sicuro e completamente configurabile attraverso una interfaccia web, utilizzando l’hardware di un comune PC.
Nel cuore del sistema c’è FreeBSD e il firewall PF (Packet Filter) preso in prestito da OpenBSD da cui deriva appunto il suo nome.
Ha inoltre una notevole quantità di plugin utilizzabili liberamente ed è configurabile in modalità fault tollerance, due macchine identiche, una principale, detta master ed una secondaria, detta slave, che interviene automaticamente in caso di guasto della prima.
Snort
è un IDS/IPS open source di pubblico dominio molto diffuso. Esistono versioni per Linux, UNIX, e Windows e riesce a gestire fino a 100 Mbps di traffico.
Snort è manutenuto da una vasta comunità di utenti ed esperti di sicurezza che tengono sempre aggiornato il suo database di firme. Normalmente, alcune ore dopo un attacco, la comunità Snort scrive e rilascia la firma di un attacco, la quale viene poi scaricata da tutti gli Snort installati in Internet. Ne esiste una versione plugin per il firewall pfSense.
PfBlocker
è un sistema di controllo che permette di bloccare tutto il traffico proveniente da determinate nazioni.
Squid
è un popolare software open source con funzionalità di proxy e web cache. Ha una vasta varietà di usi, da quello di rendere più veloce un server web usando una cache per richieste ripetute, fornisce sia un servizio di cache per il web che per DNS e altri tipi di ricerche all’interno di reti con risorse condivise.
La funzione più importante per la sicurezza della rete interna, è quella di filtrare il traffico in uscita. Usato in abbinamento ad un altro plugin che si chiama SquidGuard, si può impedire o meno ai dipendenti interni, l’accesso ad alcune categorie di siti internet.
Nginx
su sistema operativo FreeBSD. Questa scelta permette di avere un potente e robusto sistema a bassissimo costo. Permette anche di configurare più server che lavorino in Fault Tollerance, limitando così i “Single Point of Failure”
SysLog Server
Data la notevole mole di dati generata dai vari sistemi e la difficile interpretazione che si ha leggendoli direttamente dalla fonte, è stato previsto un server Syslog. Il software utilizzato è anch’esso open source e si chiama Graylog. Attraverso questo data logger, è possibile raccogliere tutti i log forniti dai vari sistemi e rappresentarli graficamente in modo più leggibile. Con il semplice accesso all’interfaccia web di questo sistema, si ha subito sott’occhio la situazione attuale, oltre ad avere anche uno storico.
Manutenzione del sistema
Dopo un breve periodo per la messa a punto di tutte le regole non è quasi necessaria una manutenzione, se non quella all’hardware.
Una semplice occhiata periodica ai log sul server data logger è sufficiente per valutare lo stato attuale dell’intero sistema. Tutte le parti che necessitano di dati aggiornati, lo fanno automaticamente, eccezion fatta per gli aggiornamenti alle nuove versioni di software.
Questo richiede una attenta analisi dei tempi previsti visto che, durante queste attività, viene bloccato l’accesso da e verso l’esterno.
In conclusione
Tu come proteggi la tua azienda dagli attacchi informatici?
Parliamone, chiedi informazioni ai nostri esperti, sapremo trovare la soluzione adatta per la tua azienda!
Se vuoi leggere gli articoli che pubblichiamo visita il nostro blog!
P.S.: Grazie al nostro collega Claudio per il supporto nella stesura di questo articolo!