La pratica migliore prima di poter impiegare una macchina in un ambiente di produzione oppure di collegare la vostra rete ad internet, è quella di determinare i vostri bisogni organizzativi, ecome il fattore sicurezza possa essere intergrato nel modo più trasparente possibile. Dato che l'obbiettivo principale del Red Hat Enterprise Linux Security Guide è quello di spiegare come rendere sicuro Red Hat Enterprise Linux, questo documento va oltre lo scopo di esaminare in modo dettagliato la sicurezza hardware e della rete fisica. Tuttavia, questo capitolo presenta una breve panoramica su come creare delle policy sulla sicurezza nei confronti dell'hardware e delle reti fisiche. Fattori importanti da considerare sono quelli inerenti l'integrazione dei bisogni informatici e dei requisiti di connettività nell'implementazione della strategia di sicurezza. Quanto segue spiega in modo dettagliato, alcuni di questi fattori.
Computing implica qualcosa di più che la sola esecuzione del software del desktop da parte della workstation. Organizzazioni moderne richiedono una potenza di elaborazione molto elevata e servizi altamante disponibili, i quali possono includere i mainframe, cluster di applicazione o del computer, potenti workstation e apparecchiature specializzate. Tuttavia con questi requisiti organizzativi, sono venute ad aumentare le problematiche dovute all'hardware, a disastri naturali e alle manomissioni o furto delle apparecchiature.
Connectivity è il metodo con il quale un amministratore collega diverse risorse su di una rete. Un amministratore può usare Ethernet (cablaggio di tipo hubbed o switched CAT-5/RJ-45), token ring, cavo coassiale di tipo 10-base-2, oppure tecnologie wireless (802.11x). A seconda della scelta del mezzo, certe topologie media e di rete, necessitano di tecnologie supplementari come ad esempio hub router, interruttori, stazioni di base e punti di accesso. La scelta di una architettura di funzionalità della rete, faciliterà il processo di gestione nel caso del verificarsi di un problema riguardante la sicurezza.
Da queste considerazioni generali, gli amministratori possono avere idee più chiare sulla implementazione. La creazione di un ambiente informatico può basarsi su necessità organizzative e considerazioni sulla sicurezza — una implementazione che valuta entrambi i fattori.
La base di una LAN è rappresentata dalla topologia, o dall'architettura della rete. Una topologia è il layout fisico e logico di una LAN in termini di risorse fornite, di distanza tra i nodi, e del mezzo di trasmissione. A seconda delle necessità dei servizi della rete di una organizzazione, vi sono diverse opzioni per l'implementazione della rete. Ogni topologia possiede i propri vantaggi e le proprie problematiche di sicurezza, verso i quali gli architetti della rete devono tener conto durante la progettazione del layout della loro rete.
Come definito dall'Institute of Electrical and Electronics Engineers (IEEE), ci sono tre topologie comuni per il collegamento fisico di una LAN.
La topologia Ring collega ogni nodo esattamente tramite due collegamenti. Questo crea una struttura di tipo ring, dove ogni nodo è accessibile all'altro, sia direttamente tramite i nodi a lui fisicamente più vicini o indirettamente attraverso un ring fisico. Le reti Token Ring, FDDI e SONET, sono collegate in questo modo (con FDDI una tecnica dual-ring); tuttavia, non ci sono collegamenti Ethernet comuni che usano questa topologia tipica, e per questo la tipologia ring non è comunemente usata ad eccezione delle impostazioni di tipo istituzionali o ereditate, con un numero di nodi installati molto grande (per esempio una università).
La topologia del bus lineare consiste in nodi i quali si collegano ad un cavo principale lineare (il backbone). La topologia del bus lineare richiede una quantità di attrezzatura di cablaggio e di networking minima, rendendola così la migliore in termini di costo-efficienza. Tuttavia, il bus lineare dipende dalla disponibilità costante del backbone, trasformandolo così in un single point-of-failure se necessita di essere sostituito o se è danneggiato. Le topologie del bus lineare sono comunemente usate con delle LAN del tipo peer-to-peer, usando cablaggi coassiali e terminator 50-93 ohm su entrambe le estremità del bus.
La topologia Star incorpora un punto centrale dove si collegano i nodi attraverso il quale vengono passate le comunicazioni. Questo punto centrale, chiamato hub può essere sia trasmesso che scambiato. Questa topologia introduce un punto singolo di errore (single point of failure) nell'hardware di networking centralizzato che collega i nodi. Tuttavia a causa di questa centralità, le problematiche inerenti il networking che coinvolgono i segmenti o l'intera LAN, sono facilmente seguite da questa fonte.
In una rete di trasmissione un nodo invierà un pacchetto, il quale attraversa ogni nodo fino a quando il destinatario non lo riceve. Ogni nodo nella rete può in teoria, ricevere questi dati fino a quando il destinatario non processa il pacchetto. In una rete di trasmissione, tutti i pacchetti sono inviati in questo modo.
In un switched network i pacchetti non vengono trasmessi, ma vengono processati in una hub di scambio il quale, in ritorno, crea un collegamento diretto tra il nodo che ha effettuato l'invio e il nodo destinatario, usando i principi di trasmissione unicast. Questo elimina il bisogno di trasmettere i pacchetti ad ogni nodo, abbassando così il volume del traffico.
La rete di tipo switched network è in grado di prevenire l'intercettazione dei pacchetti da nodi o utenti malizionsi. In una rete di trasmissione, dove ogni nodo riceve il pacchetto durante il tragitto al destinatario, utenti maliziosi possono impostare il proprio dispositivo Ethernet in modalità promiscuous e accettare tutti i pacchetti senza curarsi se i dati sono destinati a loro. In modalità promiscuous, un'applicazione sniffer può essere utilizzata per filtrare, analizzare e ricostruire i pacchetti per le password, per i dati personali e molto altro. Applicazioni sniffer particolarmente sofisticate possono conservare tali informazioni in file di testo e inviare informazioni a fonti arbitrarie (per esempio, l'indirizzo email di utenti maliziosi).
Un switched network necessita di un interruttore di rete, un elemento hardware specializzato che sostituisce il ruolo tradizionale dell'hub nel quale tutti i nodi sono collegati su di un LAN. Gli interruttori conservano gli indirizzi MAC di tutti i nodi in un database interno, il quale viene usato per effettuare il proprio routing diretto. Diversi produttori, incluso Cisco Systems, Linksys, e Netgear offrono vari tipi di interruttori con contenuti come ad esempio la compatibilità 10/100-Base-T, il supporto Ethernet gigabit, e il supporto per il Carrier Sensing Multiple Access and Collision Detection (CSMA/CD) il quale è ideale per reti con alto traffico in quanto incolonna i collegamenti e rileva lo scontro tra pacchettidurante il transito.
Un problema emergente per gli enterprise di oggi è rappresentato dalla mobilità. Impiegati, tecnici e dirigenti necessitano di soluzioni portatili come ad esempio i computer portatili, Personal Digital Assistants (PDA), e accessi di tipo wireless alle risorse della rete. La IEEE ha stabilito degli standard per le comunicazioni dei dati in modo wireless attraverso tutte le industrie. La pratica standard corrente oggi è rappresentata dalla specificazione 802.11b.
Le specificazioni 802.11b e 802.11g non sono altro che un gruppo di comunicazioni wireless standard e di controllo di accesso su di una radio-frequenza (RF) spectrum 2.4GHznon autorizzata 'unlicensed' (802.11a usa lo spectrum 5GHz). Queste specificazioni sono state approvate come standard dall'IEEE, e da diversi rivenditori di prodotti e servizi 802.11x. I consumatori hanno adottato anche uno standard per reti riguardanti gli small-office/home-office (SOHO). La popolarità si è estesa anche dai LAN ai MAN (Metropolitan Area Networks), soprattutto in aree molto popolate dove è disponibile una concentrazione di punti di accesso di tipo wireless (WAP). Vi sono anche degli Internet service provider di tipo wireless (WISP) che servono ai viaggiatori più frequenti che richiedono un accesso internet broadband per lavorare in modo remoto.
Le specificazioni 802.11x permettono delle comunicazioni peer-to-peer dirette tra nodi con NIC wireless. Questo raggruppamento di nodi, chiamato rete ad hoc, è l'ideale per una condivisione veloce del collegamento tra due o più nodi, ma introduce problematiche di scalabilità che non sono adatte al collegamento di tipo wireless.
Una soluzione più idonea per l'accesso di tipo wireless in strutture fisse, è rappresentata dall'installazione di uno o più WAP che si collegano alla rete tradizionale e permettono ai nodi wireless di collegarsi al WAP come se fosse su di una rete mediatica-Ethernet. Il WAP agisce effettivamente come un ponte tra i nodi collegati ad esso e al resto della rete.
Anche se il networking wireless è simile in velocità e sicuramente più conveniente ai tradizionali mezzi collegati usati per il networking, vi sono delle limitazioni allaspecificazione che implica una considerazione. La limitazione più importante è quella che risiede nell'implementazione della sicurezza.
Dopo aver dispiegato con successo una rete 802.11x, molti amministratori non riescono ad esercitare le più semplici precauzioni di base per quanto riguarda la sicurezza. Da quando tutto il networking 802.11x viene eseguito usando segnali RF a banda larga, i dati trasmessi sono facilmente accessibili a qualsiasi utente con un NIC compatibile, con un tool di scansione della rete wireless come ad esempio NetStumbler o Wellenreiter, e tramite dei tool comuni usati per lo sniffing come ad esmpio dsniff e snort. Per evitare un tale uso di reti wireless private, l'802.11b standard usa il protocollo Wired Equivalency Privacy (WEP), il quale è un 64 basato su RC4 oppure una chiave di cifratura a 128-bit condivisa tra ogni nodo o tra l'AP e il nodo. Questa chiave codifica le trasmissioni e decodifica i pacchetti in entrata in modo dinamico e trasparente. Alcuni amministratori non usano questo schema di codifica con chiave condivisa, tuttavia capita di dimenticare oppure di scegliere di non usare tale schema a causa di una diminuzione delle prestazioni (specialmente su lunghe distanze). Abilitando WEP su di una rete di tipo wireless, si può ridurre ampiamente la possibilità di intercettazione dei dati.
Red Hat Enterprise Linux supporta vari prodotti 802.11x provenienti da diversi rivenditori. La Strumento di amministrazione di rete include la possibilità di configurare NIC wireless e la sicurezza di WEP. Per informazioni sull'uso di Strumento di amministrazione di rete, consultare il capitolo intitolato Configurazione della rete nel Red Hat Enterprise Linux System Administration Guide.
Facendo affidamento su WEP, non significa essere protetti anche contro determinati utenti maliziosi. Ci sono delle determinate utility progettate specificamente per neutralizzare l'algoritmo di cifratura WEP RC4, esponendo la chiave condivisa e proteggendo una rete wireless. AirSnort e WEP Crack sono due applicazioni di questo genere. Per ottenere quindi una protezione idonea, gli amministratori dovrebbero seguire delle policy molto rigorose per quanto riguarda l'accesso a informazioni sensibili con l'uso di metodi wireless per l'accesso a informazioni sensibili. Gli amministratori possono scegliere di aumentare la sicurezza del collegamento wireless, limitandolo solo a collegamenti SSH o VPN, il quali introducono un livello di cifratura aggiuntivo alla cifratura WEP. Usando questa policy, un utente malizioso che si trova all'esterno della rete e che riesce a neutralizzare la cifratura WEP, ha bisogno di neutralizzare anche il metodo di cifratura VPN o SSH i quali, a seconda del metodo di cifratura, possono impiegare una cifratura dell'algoritmo DES 168-bit tre volte più resistente (3DES), oppure degli algoritmi riservati i quali possono avere una maggiore resistenza. Gli amministratori che usano queste policy dovrebbero limitare i protocolli di testo come ad esempio Telnet o FTP, in quanto le password e i dati possono essere esposti ad attacchi simili a quelli sopra riportati.
Per gli amministratori che vogliono eseguire servizi accessibili esternamente, come ad esempio HTTP, email, FTP, e DNS, è consigliato che questi servizi disponibili pubblicamente siano segmentati fisicamente e/o logicamente dalla rete interna. I firewall e l'aumento della resistenza degli host e delle applicazioni, rappresentano un metodo effettivo per dissuadere aggressori occasionali. Tuttavia cracker motivati possono sempre trovare il modo di accedere alla rete, se i servizi che sono stati violati risiedono sullo stesso itinerario logico del resto della rete stessa. I servizi accessibili esternamente dovrebbero risiedere su ciò che il campo della sicurezza riconosce come demilitarized zone (DMZ), un segmento logico della rete,dove il traffico in entrata da internet sarà solo in grado di accedere quei servizi e non sarà abilitato all'accesso della rete interna. Ciò risulta essere efficace in quanto, anche se un utente malizioso riesce a violare una macchina sul DMZ, il resto della rete interna giace dietro un firewall su di un segmento separato.
Molti Enterprise hanno un gruppo limitato di indirizzi IP routable dai quali possono ospitare servizi esterni, in questo modo gli amministratori possono utilizzare regole del firewall elaborate, per accettare, inoltare, rifiutare e negare le trasmissioni dei pacchetti. Le policy dei firewall implementate con iptables o appositi firewall dell'hardware, permettono il routing complesso e l'inoltro delle regole, le quali possono essere usate dall'amministratore per segmentare il traffico in entrata per servizi specifici su specifiche porte e indirizzi, ed anche per permettere l'accesso a servizi interni alla sola LAN, la quale previene le violazioni dovute all'azione di spoofing dell'IP. Per maggiori informazioni sull'implementazione di iptables, consultare Capitolo 7.