Router

In generale i router standard delle principali case costruttrici integrano alcune soluzioni di sicurezza di base quali NAT e PAT. Ultimamente si è assistito alla proliferazione di soluzioni basate sullo standard IPV6 le quali permettono ai router di stabilire connessioni VPN attraverso la rete pubblica in modo trasparente.

Eco alcune possibilità offerte dal software dei router Cisco (IOS).

• Controllo CBAC (Context-Based Access Control).Il motore CBAC di Cisco Secure IS fornisce controlli di accesso in base all'applicazione attraverso i perimetri della rete. CBAC migliora la sicurezza per le applicazioni di protocollo TCP e UDP che utilizzano porte conosciute, come FTP (File Transfer Protocol) e il traffico di posta elettronica, esaminando gli indirizzi di origine e di destinazione. Tale controllo consente agli amministratori di rete di implementare il firewall come parte di una soluzione unica integrata. Ad esempio, non sarà più necessario, per le sessioni in extranet che utilizzano applicazioni Internet, applicazioni multimediali o database Oracle, aprire una porta nella rete a cui è possibile accedere tramite punti deboli. Il controllo CBAC consente alle reti di eseguire il traffico applicativo di base attuale, così come le applicazioni avanzate, quali le applicazioni multimediali o le videoconferenze, attraverso un router, in maniera estremamente sicura. La verifica avviene su pacchetti TCP e UDP registrando lo stato degli stessi e della connessione. Durante l'inizializzazione della connessione, TCP passa attraverso diversi stati, o fasi, che sono facilmente identificabili tramite le intestazioni dei pacchetti-fase di triplo handshake, vedi pag. -. Gli elenchi ACL (Access Control List) standard ed estesi leggono gli stati dalle intestazione dei pacchetti per determinare se il traffico attraverso un determinato collegamento è autorizzato. Il controllo CBAC aggiunge alle funzionalità degli elenchi ACL una capacità di ispezione, leggendo l'intero pacchetto per esaminare le informazioni sullo stato dell'applicazione. Utilizzando queste informazioni, Esso crea una specifica voce ACL di sessione provvisoria, che consente il traffico di ritorno. Questo elenco ACL provvisorio apre una porta nel firewall. Quando una sessione scade o termina, la voce ACL sarà cancellata e la porta verrà chiusa ad ogni ulteriore traffico. Gli elenchi ACL non possono creare voci di elenco temporanee, per cui sinora gli amministratori di rete sono stati costretti a soppesare il rapporto tra i rischi e l'esigenza di accesso alle informazioni. In passato, rendere sicure le applicazioni avanzate capaci di effettuare la selezione tra più canali per il traffico di ritorno usando gli elenchi ACL standard o estesi non si rivelava un'impresa facile. Prima dell'applicazione del controllo CBAC, gli amministratori potevano autorizzare il traffico applicativo avanzato solo redigendo degli elenchi ACL permanenti, il che, a conti fatti, equivaleva a lasciare le porte firewall aperte. Per questo la maggioranza degli amministratori in genere preferiva rifiutare questo tipo di traffico applicativo. Ora gli amministratori possono finalmente ammettere, senza rischi, il traffico multimediale e gli altri tipi di traffico applicativo, aprendo il firewall quando è necessario e tenendolo chiuso negli altri casi poiché è possibile valutare il tipo di applicazione per decidere se consentire una sessione attraverso il firewall adeguandosi alle selezioni di molteplici canali per il traffico di ritorno. Ad esempio, se CBAC è configurato per supportare Microsoft NetMeeting, quando un utente interno avvia una connessione, il firewall ammette il traffico di ritorno. Tuttavia, se una fonte NetMeeting esterna avvia una connessione con un utente interno, CBAC nega l'accesso e scarta i pacchetti.
• Rilevamento delle intrusioni. I sistemi IDS (Intrusion Detection Systems) forniscono un livello di protezione che va oltre il firewall, poiché protegge la rete da attacchi e minacce sia esterni che interni. La tecnologia IDS di Cisco Secure Integrated Software migliora la protezione firewall del perimetro intervenendo adeguatamente sui pacchetti e sui flussi che violano i criteri di sicurezza o costituiscono un'attività di rete ambigua.
• Rilevamento e risposta. La tecnologia IDS di Cisco Secure IS identifica i 59 più comuni attacchi per rilevare i motivi degli abusi nel traffico di rete assegnandogli una signature -o sigla-. Le sigle rappresentano importanti varchi nella sicurezza, i più comuni attacchi in rete e le scansioni della raccolta di informazioni. Cisco Secure IS opera come un sensore di rilevamento delle intrusioni in linea, controllando i pacchetti e le sessioni non appena questi fuoriescono dal router, analizzandone uno ad uno alla ricerca di sigle IDS. Quando rileva un'attività sospetta, reagisce prima che venga compromessa la sicurezza della rete e registra l'evento su syslog Cisco IOS. L'amministratore di rete può configurare il sistema IDS per scegliere il tipo di risposta adeguata alle minacce.Cisco ha sviluppato il software IOS basato sulle caratteristiche di rilevamento delle intrusioni nel Cisco Secure IS in maniera flessibile, in modo da consentire la disabilitazione di eventuali sigle individuali contraffatte. Inoltre, pur essendo preferibile abilitare entrambe le funzioni di firewall e di rilevamento delle intrusioni del motore CBAC di sicurezza per supportare correttamente i criteri di sicurezza di rete, ciascuna di queste funzioni può essere abilitata indipendentemente e su interfacce di router differenti. Tutte le piattaforme di router con Cisco Secure IS rilevano cinque tra i più comuni attacchi SMTP. Quando i pacchetti di una sessione identificano una sigla, il sistema ISD può essere configurato per:
  • Inviare un allarme a un server syslog o a un sistema Cisco Secure Intrusion Detection System (NetRanger) Director (interfaccia di gestione centralizzata)
  • Abbandonare il pacchetto
  • Riavviare la connessione TCP
• Proxy di autenticazione. Gli amministratori di rete possono creare specifiche regole di sicurezza per ciascun utente mediante l'autenticazione e l'autorizzazione dinamica, basata su LAN di Cisco Secure IS. In precedenza, l'identità e l'autorizzazione di accesso erano determinate da un dato indirizzo IP dell'utente oppure era necessario applicare un singolo criterio di sicurezza ad un intero gruppo di utenti o ad una rete secondaria. Oggi è possibile scaricare il criterio per l'utente nel router da un server di autenticazione TACACS+ o RADIUS utilizzando il software di autenticazione, autorizzazione e valutazione (AAA, Authentication, Authorization, and Accounting) Cisco IOS. Gli utenti possono effettuare la registrazione nella rete o su Internet mediante HTTP e i loro specifici profili d'accesso saranno scaricati automaticamente. I privilegi derivanti dall'accesso individuale dinamico proteggono la rete dai criteri più comunemente applicati ad un gruppo di utenti. L'autenticazione e l'autorizzazione possono essere applicate sul router in entrambe le direzioni per garantire la sicurezza delle extranet e delle intranet in entrata e in uscita, nonché dell'utilizzo di Internet.
• Rilevamento e prevenzione della negazione di servizio. Una migliorata capacità di rilevamento e prevenzione della negazione di servizi consente di difendere le reti dalle più comuni modalità di attacco, quali SYN (SYNchronize/start), scansioni della porta e infezioni dei pacchetti, ispezionando le sequenze numeriche dei pacchetti nelle connessioni TCP. Se i numeri non rientrano nella gamma prevista, il router scarta i pacchetti sospetti. Quando il router rileva un'inusuale quantità di nuove connessioni, invia un messaggio di allarme, quindi scarta la connessione TCP attiva per prevenire l'esaurimento delle risorse di sistema. Quando Cisco Secure IS rileva un eventuale attacco, traccia l'accesso utente in base all'indirizzo di origine e di destinazione e le coppie di porte. Inoltre esegue il dettaglio della transazione, creando un procedimento di verifica.
• Mappatura dinamica di porta. La mappatura di porta flessibile, per applicazione, consente di eseguire le applicazioni supportate da CBAC su porte non standard. Questa funzione permette agli amministratori di rete di personalizzare il controllo per applicazioni e servizi specifici al fine di soddisfare le esigenze locali delle proprie reti.
• Bloccaggio delle applet Java. Con il proliferare delle applet Java disponibili su Internet, la protezione della rete contro i pericoli eventualmente associati a queste applicazioni è diventata una grossa preoccupazione per i responsabili di rete. Il bloccaggio Java può essere configurato in modo da filtrare o rifiutare completamente l'accesso alle applet Java che non siano memorizzate in un archivio o compresse in file.
• VPN, Cifratura IPSec e supporto QoS -Quality of Service-. Combinato con la tecnologia IPSec di Cisco, Cisco Secure IS fornisce funzioni integrate VPN (vedi figura 4.7). Le VPN si stanno sviluppando velocemente per eseguire il trasferimento di dati sicuro sulle linee pubbliche (come Internet); riducono i costi relativi alle telecomunicazioni e di gestione per gli utenti remoti, le filiali e le extranet; inoltre, stanno potenziando l'affidabilità. Per garantire la sicurezza delle VPN, Cisco Secure IS interagisce con la cifratura e il tunneling del software Cisco IOS. Le caratteristiche di cifratura in rete consentono di prevenire l'intercettazione o la corruzione dei dati durante la trasmissione. Cisco Secure IS consente di cifrare dati per comunicazioni private su reti non conosciute mediante gli standard di cifratura del protocollo di sicurezza di Internet (IPSec, Internet Protocol Security), sia a 56 bit (DES) che a 168 bit (3DES). Per la massima interazione, il software Cisco IOS supporta vari protocolli di tunneling standard che lavorano con incapsulamento di instradamento generico (GRE, Generic Routing Encapsulation), invio Layer 2 (L2F) e protocollo di tunneling Layer 2 (L2TP). Le funzioni QoS classificano il traffico, gestiscono la congestione e distribuiscono le applicazioni secondo la priorità richiesta. Cisco Secure IS può essere implementato con piattaforme VPN Cisco, in particolare i router Cisco serie 1720, 2600, 3600 e 7100, che estendono una rete esistente a livello di rete privata virtuale. Le soluzioni VPN devono fornire tunnel di cifratura assolutamente sicuri sulle strutture delle reti pubbliche. Devono inoltre garantire una consegna dei dati tempestiva ed affidabile, nonché fornire un elevato livello di sicurezza perimetrale per il portale delle aziende sulla rete pubblica.

Figura 4.7: Rete privata virtuale (VPN)

• Allarmi in tempo reale, controllo e registrazione degli eventi. Gli allarmi in tempo reale inviano messaggi di errore syslog alla console di gestione centrale dopo il rilevamento di attività sospette, consentendo ai gestori della rete di rispondere immediatamente alle intrusioni. Le migliorate funzioni di controllo utilizzano syslog per tenere traccia di tutte le transazioni, la registrazione di data e ora, l'host di origine, l'host di destinazione, le porte utilizzate, la durata della sessione ed il numero totale dei byte trasmessi per un reporting avanzato della sessione. Ora è possibile configurare gli allarmi e le funzioni di verifica di Cisco Secure IS, consentendo in questo modo un reporting più flessibile e la traccia degli errori. Le funzioni di controllo configurabili supportano tracce modulari di specifiche applicazioni supportate da CBAC e bloccaggio Java. Sia la funzione di allarmi in tempo reale che quella di controllo sono supportate da una serie di strumenti di reporting. Quando si verifica un evento di rete, invia un allarme all'host di registrazione mediante il meccanismo syslog del software Cisco IOS. Consente agli amministratori di individuare in tempo reale eventuali intrusioni o altre attività non standard, registrando i messaggi di errore di sistema su un terminale di consolle o un server syslog, impostando il livello di gravità della violazione e registrando anche altri parametri.

Hosted by www.Geocities.ws