La sicurezza interna in una LAN – I

di Anna Fabi

Pubblicato 9 Maggio 2008
Aggiornato 21 Novembre 2018 10:38

logo PMI+ logo PMI+
Quali sono i principali pericoli da tenere d'occhio in una rete locale e quali sono i rimedi per mettersi al riparo da attacchi interni

Le problematiche di sicurezza più rilevanti nell’utilizzo di una LAN aziendale, cablata o wireless, sono rappresentate dal cosiddetto sniffing dei dati e dagli attacchi del tipo "man in the middle", cioè "dell’uomo in mezzo". Gli artefici di tali attacchi sono utenti od agenti software interni alla rete locale stessa.

Poiché i dati scambiati in una rete Ethernet IPv4 sono il più delle volte in chiaro (non cifrati), compresi, ad esempio, nomi utente e password comunemente inviati per scaricare la posta o per fare il login su servizi Web, una volta "sniffati" possono essere letti e riusati senza sforzo alcuno.

Qualora, infatti, la riservatezza di ciò che viene scambiato in rete (locale ed Internet) fosse vincolo stringente, allora sarebbe necessario cifrare i dati ad opera delle applicazioni di livello utente (le quali sovente si appoggiano alle funzionalità di protocolli di livello intermedio): si pensi ad esempio a browser e server Web quando questo espone pagine protette "https".

I dispositivi wireless, dal canto loro, possono portare ad ulteriori rischi inerenti la sicurezza, di cui non si fa però cenno nel presente articolo, potendo essere essi assimilati, per i nostri scopi, a normali dispositivi cablati. Con possibili rischi aggiuntivi.

Lo sniffing in una LAN può essere attuato da chiunque, anche se non in possesso di particolari conoscenze informatiche, dacché esistono potentissimi tool (su piattaforme Linux e Windows), in grado di catturare e visionare il traffico di rete con qualche click di mouse.

Le metodologie di sniffing consistono per lo più:

  • nel porre la scheda di rete del proprio PC in modalità promiscua, di modo che, anziché ricevere i soli dati ad essa destinati, questa "ascolti" e "legga" tutto ciò che passa per il segmento di rete in cui si trova,
  • nell’usare tecniche di ARP cache poisoning, che vedremo brevemente.

La modalità promiscua in dettaglio

In una rete cablata Ethernet, i sistemi che ne fanno parte comunicano tra essi incapsulando i datagrammi IP (inerenti lo stack di protocolli TCP/IP) in altre strutture dati, dette frame. Ogni scheda di rete possiede un suo indirizzo MAC univoco; al fine della spedizione, ogni sistema incapsula i pacchetti IP in frame Ethernet contenenti l’indirizzo MAC del destinatario e li invia sulla rete stessa, la quale rete (attenzione) è fisicamente condivisa tra tutti i sistemi (nei casi più semplici, fatta salva cioè la presenza di switch hardware).

Se una scheda di rete funziona in modalità promiscua, essa è, come abbiamo già accennato, in grado di leggere ogni frame che passa per il segmento di rete in cui la scheda si trovi, esattamente come chi è per la strada è in grado di sentire ciò che le persone vicine dicono, qualora vi ponga la necessaria attenzione.

È possibile "segmentare" una rete attraverso gli switch, dispositivi che fungono da "smistatori" di segnale: nel caso limite di reti a stella, in cui ad ogni PC arriva solo il traffico Ethernet ad esso destinato, una scheda di rete in modalità promiscua non potrà far altro che leggere i dati ad essa stessa riservati e nulla più.

È vero, sono possibili attacchi – e ve ne sono di diverso tipo – verso gli switch, al fine di costringerli a "divulgare" dati a tutti, come fossero hub, ma sono state sviluppate tecniche ben più sofisticate per lo sniffing, tanto da rendere questi attacchi una perdita di tempo ed una seccatura.

Sniffing mediante ARP cache poisoning

L’associazione MAC – IP, una volta ottenuta attraverso le funzionalità del protocollo ARP (uno dei tanti protocolli che le LAN Ethernet utilizzano per il loro funzionamento) è memorizzata in una cache, sia nel computer sorgente che in quello destinazione, per qualche tempo, ad opera del sistema operativo. Un cracker può facilmente avvelenare tali cache inserendo il proprio indirizzo Ethernet: il traffico di rete tra le due macchine viene così dirottato al PC del cracker, facendo però credere agli estremi che l’attaccante sia, invece, il destinatario legittimo.

Oltre allo sniffing in senso stretto, questo potrà dare origine ad una serie piuttosto estesa di attacchi man in the middle:

  • la possibilità di modificare i dati in transito,
  • la possibilità di dirottare il traffico, ad esempio Web, verso un indirizzo a scelta del cracker (fornendo false informazioni durante la query DNS, ciò che avviene quando il sistema operativo "chiede" ai server DNS la traduzione in indirizzo IP del nome host – p.es. www.nomesimbolico.it – digitato sul browser dall’utente),
  • la possibilità di isolare un PC dalla rete, di modo che non riesca più ad inviare o ricevere dati (DoS, denial of service, che indica interruzione del servizio).

Si faccia attenzione che, anche utilizzando il protocollo HTTP su SSL (https), un utente non esperto potrebbe cadere ugualmente vittima dello sniffing. Per maggiori informazioni su questi problemi si rimanda all’articolo sullo sniffing pratico in una LAN pubblicato su Html.it, di cui questa introduzione è un estratto sintetico.

I Rimedi: interventi sulla rete

Per come è stata concepita, una rete Ethernet IPv4 è intrinsecamente debole e vulnerabile verso intercettazioni di dati ed attacchi man in the middle: ai tempi del suo concepimento, le priorità che la tecnologia emergente si poneva non erano rappresentate dalla sicurezza, bensì dalla capacità pura e semplice di riuscire a scambiare dati tra computer connessi, il più velocemente possibile.

Proprio perché non progettate con occhio di riguardo alla sicurezza dei dati trasmessi, le tecnologie di rete attuali devono essere protette e difese mediante adozione di protocolli aggiuntivi, da un lato, e mediante un intenso impiego di tool di ricognizione di attacchi dall’altro. E di molta attenzione da parte degli utenti.

Per reti di piccole dimensioni e di topologia statica, o per lo meno mutabile molto raramente nel tempo, sarebbero sufficienti le precauzioni sotto indicate:

  • impostare staticamente le voci della cache ARP in tutti i computer della LAN, per evitare il pericolo di ARP cache poisoning e derivati (tramite ad esempio il comando arp -s <IP> <MAC> su Linux),
  • segmentare la rete definendone una topologia a stella tramite switch ed impostare conseguentemente le associazioni MAC-porta in tali switch staticamente, ove permesso, ed abilitare le funzionalità che questi dispositivi mettono a disposizione a "difesa dei dati".

Fatte salve le problematiche (qui non trattate) di cracking dei dispositivi wireless, le precedenti rappresentano condizioni pressoché sufficienti a rendere una LAN immune a tutti gli attacchi sopra menzionati. Il discorso, allora, potrebbe dirsi concluso? Non proprio…

Il principale svantaggio di simili metodologie di hardening della LAN è rappresentato, come facilmente intuibile, dalla constatazione che l’aggiunta od il cambio di un qualsiasi dispositivo hardware o software (sistema operativo) in tutta la LAN costringerebbe l’amministratore di rete a riconsiderare ogni configurazione precedentemente fatta; per reti meno che banali ciò diverrebbe un incubo, nella pratica scomodissimo da realizzare e mantenere e foriero di errori.

Chi fa da sé…

Prevenire è meglio che curare: anche in mancanza di interventi radicali da parte dell’amministratore di rete, è possibile che i propri dati rimangano segreti pur in presenza di attacchi del tipo sniffing o man in the middle, preferendo i servizi che operano una cifratura dei dati (a livello applicativo) rispetto ai servizi "plain-text".

La cifratura dei dati avviene infatti, a tutt’oggi, per la maggior parte a livello applicativo, ovvero i pacchetti Ethernet, TCP ed IP rimangono immutati, ma conterranno dati cifrati secondo il programma/protocollo usato: HTTP su SSL (https), S/MIME, PGP, ssh, eccetera, oltre alle più complesse architetture VPN.

Come sempre, la tecnologia va usata essendo consci di ciò che si compie e conoscendone il dominio di utilizzo, nessuno si illuda che i dati scambiati con la propria banca on-line siano sicuri solo perchè Firefox mostra il famoso "lucchetto" nella barra degli indirizzi: un click di troppo dell’utente, un PC infettato da trojan, un browser contenente autorità di certificazioni "fasulle" e via discorrendo potrebbero inficiare tecnologie così ben studiate e, di per sé, sicure.

Nella prossima parte dell’articolo vedremo come evitare che attacchi di tal genere si attuino in una LAN utilizzando alcuni software comuni e di facile utilizzo.