Firewall, segmentazione
e isolamento

Una tecnica di base per il miglioramento della sicurezza in reti aziendali è suddividerle in segmenti più piccoli in funzione dei reparti. La comunicazione tra queste due sottoreti viene monitorata, controllata e protocollata tramite router firewall. Eventuali hacker e malintenzionati che dovessero essere riuscire a insinuarsi in una delle sottoreti, verrebbero bloccati e non potrebbero diffondersi grazie a filtri pacchetto. Un modo per incrementare ulteriormente la sicurezza è l’isolamento mirato di singoli sistemi e unità funzionali in un segmento di rete dedicato. In questo modo si possono proteggere efficacemente anche apparecchi particolarmente minacciati.

Segmentazione: Suddivisione in sottoreti sicure

Il protocollo internet (IP) permette di scambiarsi dati oltre i confini della rete. Le informazioni incapsulate in pacchetti IP vengono trasportate a destinazione attraverso diversi router.

Gli amministratori di rete si avvalgono di questa proprietà di indirizzamento, per suddividere le reti aziendali in sottoreti collegate fra loro. I computer dell’Amministrazione vengono assegnati alla sottorete dell’Amministrazione ed anche le macchine in produzione ricevono un segmento di rete proprio, come i computer di lavoro nel reparto Ricerca e Sviluppo.

Ognuno di questi segmenti viene collegato tramite router alla rete aziendale circostante. Qualsiasi comunicazione tra le sottoreti viene convogliata attraverso i router.

Filtri pacchetto per maggiore sicurezza

È possibile per esempio analizzare i pacchetti di dati indirizzati al router e inviare solo quelli ammessi.

Potrebbe essere interesse della direzione aziendale che i dipendenti del reparto Amministrazione possano accedere liberamente a siti internet, ma allo stesso tempo i dati sensibili sui loro PC come buste paga o contratti, siano inaccessibili all’interno della rete aziendale e in internet. Questi vengono messi a disposizione nella rete Windows attraverso l’abilitazione di file e stampanti.

Un filtro pacchetto installato sul router analizza ora se il traffico di rete trasportato contiene collegamenti utilizzati dall’abilitazione file e stampanti. Si tratta di collegamenti TCP sulle porte 139 e 445. Se il filtro pacchetto riconosce pacchetti IP che contengono una comunicazione TCP con queste porte, essi non vengono inoltrati bensì rifiutati. Mentre l’abilitazione di file e stampanti all’interno della sottorete continua a funzionare per l’Amministrazione, essa non può superare i limiti della segmentazione. Dunque da altri segmenti della rete non è possibile accedere a file come buste paga.

Un router che filtra il flusso di dati in questo modo viene denominato router firewall o per brevità firewall.

Isolamento: Segmentazione mirata di singoli sistemi

Le regole del firewall per grosse sottoreti possono diventare rapidamente caotiche. Se sono troppo generose, possono essere sfruttate dagli hacker. Se sono troppo rigide, possono presentarsi limitazioni delle funzionalità. Ogni terminale in un segmento, inoltre, è una possibile fonde di accessi indesiderati.

In particolare gli apparecchi e i sistemi che necessitano di un’elevata protezione, per es. macchine utensili, apparecchi medicali, ma anche computer di controllo vecchi o computer contenenti software obsoleto presentano note falle per la sicurezza di cui i malintenzionati potrebbero approfittare, che non sono più raggiunte dalle regole.

Isolamento significa che Identificare questi sistemi particolarmente vulnerabili nella rete e isolarli in un segmento di rete dedicato, in un’isola sicura, con l’aiuto di piccoli firewall come Microwall. I necessari collegamenti tra sistemi sull’isola e la rete circostante vengono registrati prima e descritti attraverso una lista positiva di regole. Solo pacchetti di dati espressamente ammessi vengono inoltrati, tutti gli altri vengono rifiutati e, all’occorrenza, protocollati. I sistemi isolati vengono così protetti efficacemente da attacchi di hacker o malware e da errori umani.

In queste isole sicure vi sono solo pochi sistemi. Dal momento che questi vengono protetti mediante un corpus di regole limitato e specifico per la rispettiva funzione, l’isolamento assicura una sicurezza notevolmente maggiore.

L’isolamento con Microwall è facile da realizzare ed incrementa efficacemente il livello di sicurezza nella rete aziendale. Di questo sistema ne beneficiano soprattutto le aziende più piccole, per le quali non vale la pena una complessa segmentazione per reparti.