| |
|
Governance
Compliance
Gestione della conformità rispetto a standard e norme
|
| |
Risk Management
Calcolo del rischio e determinazione dei criteri di gestione
|
| |
|
|
|
| |
| |
|
|
Firewalling telefonico |
| |
Sintesi
Le aziende sono generalmente dotate di due reti progettate per essere
trusted: la rete dati
interna e la rete
telefonica interna. Inoltre le reti delle aziende sono
allacciate generalmente ad almeno due reti pubbliche, per definizione
not trusted: Internet
e la rete telefonica
esterna raggiunta attraverso il fornitore di fonia.
Sebbene si stia diffondendo una crescente attenzione per il tema della
security, che sino ad un recente passato era in gran parte trascurato,
solo in rarissimi casi viene prestata sufficiente attenzione a quanto
non strettamente riconducibile alla rete dati. Il risultato
è quello di concentrare gli investimenti esclusivamente
sulla parte dati, trascurando il fatto che essa non è
affatto separata o agevolmente separabile da quella voce e che la prima
può essere raggiunta con estrema facilità
attraverso la seconda, sfruttando modem e fax che rappresentano punti
di interconnessione difficilmente eliminabili tra le due reti.
Il problema è oggi complicato da un altro fattore: la
migrazione dalle tradizionali reti PSTN a quelle VoIP, che sfruttano
le linee utilizzate per il transito dati. Questo lento processo di
transizione, già in atto da qualche anno e favorito dalla
crescente disponibilità di connessioni a larga banda a costi
accessibili, porterà alla sostituzione quasi completa delle
linee tradizionali, che verranno relegate a svolgere compiti di
backdoor alle reti dati/VoIP. L’introduzione di un
“anello di giunzione” ideale fra la rete dati e
fonia genera nuove vulnerabilità e minacce che necessitano
di protezioni ad hoc e costringono i Security Manager a rivedere ed
integrare le politiche di sicurezza voce/dati. L’unica
soluzione praticabile per risolvere il problema ricalca i concetti di
sicurezza delle reti IP (firewall,
autenticazione forte, VPN e sistemi
di intrusion detection)
e consiste nell’installazione e manutenzione di sistemi atti
al controllo dell’utilizzo della rete telefonica e alla
difesa dalle intrusioni dalla rete stessa. Tutte queste applicazioni
sono attualmente messe a disposizione da Communication Valley e la loro
adozione può risolvere efficacemente le problematiche di
sicurezza, nonché apportare notevoli benefici economici in
termini di riduzione di costi, due fattori che globalmente lasciano
pochi dubbi sull’utilità e la convenienza di
questo tipo di investimento.
Dettaglio
Introduzione
Minacce
provenienti dalla rete telefonica
Modem non autorizzati
Modem
autorizzati ma non sicuri
Attacchi al sistema
voce
Minacce
provenienti dalla rete VoIP
Nuove soluzioni
tecnologiche
Telecom firewalling
Scanning integrato
Autenticazione forte
Voice Encryption
Voice intrusion
detection
Ritorno
sull’investimento
Introduzione
Il traffico da e per la rete dati può transitare attraverso
un numero elevato e variabile di punti privi delle tecnologie di
protezione, le quali operano solamente in quelli noti e presidiati
tramite firewall, sistemi di autenticazione, soluzioni di content
filtering, ecc.. Recentemente, proprio la diffusione di tecnologie URL
filtering ha accresciuto drammaticamente il problema: i singoli utenti,
per evitarne le conseguenze in termini di restrizioni
all’uso, hanno cominciato a collegarsi ad Internet dalla
propria postazione di lavoro utilizzando un modem, la rete telefonica
aziendale e un account presso un qualunque Internet Service Provider.
Oltre ad accrescere le possibilità di intrusione
dall’esterno, questo tipo di attività accresce
anche le possibilità di diffusione all’interno
della rete di virus e malicious code in generale. In aggiunta,
l’integrazione
voce/dati tramite VoIP oltre a presentare gli stessi
problemi di una rete PSTN sopra descritti, rende vulnerabili le reti
fonia ad attacchi dati esterni, del tutto simili a quelli portati
contro le reti dati tradizionali.
I modem non sono una tecnologia recente e da sempre comportano problemi
di sicurezza: l’approccio tradizionale a tali problemi si
basa essenzialmente sul rilascio di policy che ne vietano
l’utilizzo non autorizzato. Come spesso accade quando le
regole non vengono accompagnate da adeguati mezzi in termini di
enforcement, la loro efficacia risulta estremamente limitata.
L’unica possibilità per verificare eventuali
violazioni alle regole era costituita, sino ad un recente passato,
dagli strumenti per effettuare lo scan automatizzato di tutte le linee
telefoniche interne, alla ricerca di una portante che segnalasse la
presenza di questo tipo di apparati. L’assessment periodico
fornisce tuttavia solo una fotografia della situazione al momento
dell’esecuzione del test, finendo per costituire un
meccanismo di enforcement costoso e di utilità estremamente
limitata.
Nel caso di reti fonia basate su IP (IP Telephony), affidarsi al
tradizionale firewall utilizzato per il traffico dati non è
sufficiente, poiché sono apparati ideati senza tenere conto
delle necessità real-time peculiari delle applicazioni VoIP.
La mancanza di meccanismi di QoS può introdurre ritardi ed
aumenti di jitter significativi ed inaccettabili per questi tipi di
applicazioni, fenomeno che tanto più si accentua quanto
più il firewall è sovraccarico.
Minacce
provenienti dalla rete telefonica
I problemi di sicurezza legati alla rete telefonica aziendale sono di
diverso tipo:
- un utente interno può collegare un modem al
proprio PC ed attivarne la risposta automatica, realizzando un punto
d’accesso non autorizzato che può essere sfruttato
dall’utente stesso o da un attaccante;
- un utente interno può accedere via modem a reti
esterne all’azienda evitando in questo modo le tecnologie di
protezione e controllo previsti nei punti di accesso noti;
- i punti d’accesso autorizzati
dall’azienda, come modem per la tele-gestione, fax ufficiali
e RAS possono essere soggetti ad attacco e ad abuso da parte di
malintenzionati;
- i centralini aziendali possono essere attaccati
dall’esterno e condurre ad abusi e frodi;
- gli utenti della rete telefonica aziendale possono fare un
uso scorretto e contrario alle policy delle linee telefoniche messe a
loro disposizione;
- le comunicazioni basate sulla rete telefonica pubblica sono
facilmente intercettabili (voce, modem, fax).
Come si vede ci sono molti aspetti dell’utilizzo della rete
telefonica che rendono vulnerabile l’azienda, assoggettandola
a possibili attacchi ed abusi, effettuati sia dall’interno
che dall’esterno. Buona parte di questi problemi sono legati
alla difficoltà del controllo dell’utilizzo di
modem, autorizzati o meno.
Modem non
autorizzati
- Traffico dati
non autorizzato. Gli utenti possono installare un modem
sulla propria postazione di lavoro e renderla raggiungibile
dall’esterno attraverso un software per l’accesso
remoto. Benché queste installazioni spesso vengano eseguite
in buona fede (per lavorare da remoto in maniera più
semplice) piuttosto che con l’intento di nuocere
all’azienda, esse finiscono per compromettere la sicurezza.
Queste involontarie “back door” sono spesso mal
configurate, a causa dell’inesperienza dell’utente
e della sua scarsa sensibilità alle problematiche di
sicurezza. Un attaccante può scoprirle (ad esempio tramite
war dialing) ed utilizzarle per i suoi scopi.
- Traffico
Internet non autorizzato. Gli impiegati che usano modem
non autorizzati per accedere ad Internet costituiscono un grave
pericolo per la sicurezza della rete aziendale. Molti utilizzano
Internet per motivi che non hanno niente a che fare con il lavoro:
divertimento, shopping, aste, chat, accesso a informazioni censurabili,
ecc.. Le aziende hanno la possibilità tecnologica di
bloccare l’accesso a questi siti e a questi contenuti solo se
il traffico attraversa i collegamenti ad Internet forniti
dall’azienda stessa. Molti utenti dispongono invece account
Internet personali che utilizzano per accedere ad Internet anche dal
posto di lavoro. Sebbene queste connessioni non autorizzate possano
essere lente se paragonate a quelle generalmente disponibili via LAN,
hanno il vantaggio di superare ogni forma di controllo e/o divieto,
sfuggendo ai controlli, alle policy e alla messa in sicurezza garantita
dal firewall. Quando un utente accede ad Internet attraverso un ISP
esterno, egli di fatto crea una connessione che può
intenzionalmente o inavvertitamente permettere di: dare la
possibilità ad un attaccante di sfruttare la connessione
aperta, all’insaputa dell’utente stesso; trasferire
proprietà o dati riservati dell’azienda; scaricare
tramite posta elettronica virus, worm o altro codice pericoloso per
l’intera rete; accedere a materiale censurabile e scaricarlo
sulla rete aziendale; occupare a lungo un canale voce; spendere tempo
produttivo utilizzando Internet per attività non lavorative.
Inoltre questi modem non possono essere individuati
dall’azienda tramite l’utilizzo di un war dialer,
perché sono normalmente configurati in modo tale da non
rispondere alle chiamate in ingresso.
Modem
autorizzati ma non sicuri
Le reti aziendali hanno un certo numero di modem autorizzati che
vengono comunemente utilizzati per fornire accesso remoto ai
manutentori, siano essi tecnici interni o fornitori di un servizio.
Quando è presente, la figura del security manager si oppone
strenuamente all’utilizzo dei modem con queste
finalità poiché, per motivi tecnologici, assai di
rado essi possono essere messi in sicurezza in maniera soddisfacente.
Tuttavia, in assenza di policy rigorose e adeguati meccanismi di
enforcement, la facilità e comodità della
soluzione conduce a situazioni in cui il confine tra modem autorizzati
e non autorizzati diviene decisamente poco chiaro. I modem autorizzati,
ma non sufficientemente sicuri, rappresentano un problema non solo per
la loro quantità, ma anche per la criticità dei
sistemi che li utilizzano, cosicché ogni accesso non
autorizzato può provocare seri danni a tutti i sistemi ad
esso collegati.
Attacchi al
sistema voce
Questo non è un problema nuovo: si tratta di fenomeni spesso
del tutto ignoti, che possono arrivare ad incidere significativamente
sui budget aziendali. Attraverso la compromissione del centralino
è possibile:
- effettuare chiamate a lunga distanza dall’esterno;
- accedere alle caselle di messaggeria vocale con la
possibilità di ascolto e contraffazione dei messaggi;
- effettuare chiamate non autorizzate di tipo internazionale
o verso servizi a pagamento.
Minacce
provenienti dalla rete VoIP
Rendere sicure le reti VoIP è un processo complesso e arduo,
poiché comprende l’interazione di più
componenti, molte delle quali software, rispetto ad una rete PSTN
tradizionale. Le applicazioni basate su VoIP, come IP Telephony, si
basano sull’uso di numerosi protocolli di comunicazione
– H.323, SIP, MGCP, H.248 senza considerare quelli
proprietari dei singoli vendor – spesso affetti da
vulnerabilità dovute a
frettolosa implementazione e/o continue correzioni e
modifche agli stessi. Di frequente queste vulnerabilità sono
di tipo “trasversale”, dovute a difettose pratiche
implementative comuni a più vendor oppure perché
molti prodotti adottano librerie VoIP acquistate da terze parti.
Inoltre le applicazioni VoIP come gli IP PBX si reggono su strumenti e
funzionalità di diffusi sistemi operativi, come Windows e
Linux, e come tali possono risentire delle vulnerabilità che
possono affliggere tali sistemi. Un altro fattore da considerare
è la natura
real-time dell’applicazione in sé,
che rende inaccettabili tempi di risposta superiori ai 300 msec pena
l’interattività peculiare della conversazione
telefonica. I tipi di attacco che si possono perpetrare ai
danni delle reti VoIP sono numerosi e del tutto simili a quelli
attuabili sulle reti puramente dati. Alcuni di questi attacchi sono
già stati sperimentati sulla maggior parte delle
implementazioni dei vari vendor e sono riportati di seguito.
- Denial-of-service: attuabile su diverse componenti: sui
sistemi SIP, sulla segnalazione (flooding di richieste call setup, ad
esempio), sulla sessione attiva (flooding di pacchetti ad alta
priorità) o sulle applicazioni client (i cosiddetti IP
Phones o Soft Phones)
- Intercettazione: poiché spesso le conversazioni
non sono né criptate né autenticate, diventa
più semplice, tramite un attacco Man-In-The-Middle,
registrare e convertire le conversazioni. A seguito di intercettazioni,
è possibile anche alterare il contenuto del messaggio, dando
luogo a possibili frodi dovute a falsi addebiti di chiamata o
alterazione di tariffe, oppure terminare o ridirezionare le chiamate
- Data tunneling: altre applicazioni, così come
avviene già per SOAP e HTTP, potranno veicolare dati
qualsiasi spacciandosi per applicazioni VoIP
- Registration hijacking: questo tipo di attacco al
protocollo SIP causa la ridirezione delle chiamate ad un utente
definito verso l’attaccante
- Accesso non autorizzato a piattaforme web di gestione dei
sistemi IP PBX
Non è infrequente l’adozione di tecnologie ibride
– VoIP all’interno e PSTN verso la rete pubblica
– tramite la conversione di segnale effettuata per mezzo di
voice gateways. In tale caso, anche le tipologie di attacco sono
ibride.
Nuove
soluzioni tecnologiche
La soluzione consiste nell’utilizzo di tecnologie che mettano
a disposizione adeguati meccanismi di enforcement delle policy che
riguardano le risorse telefoniche aziendali, attraverso
l’impiego degli stessi concetti di sicurezza applicati in
ambito IP: firewalling, intrusion detection, autenticazione (anche
forte), encryption, ecc.
Telecom firewalling
Le funzionalità di firewalling consentono di applicare delle
limitazioni al traffico tramite policy costituite da regole; le regole
possono essere specificate in base a:
- direzione della chiamata (entrante o uscente);
- tipo della chiamata (voce, modem o fax);
- numeri sorgente e destinazione;
- durata e orario della chiamata.
Le caratteristiche delle singole chiamate vengono confrontate con le
regole impostate: al verificarsi di una corrispondenza, si possono
intraprendere azioni primarie (permetti o nega) e/o secondarie (e-mail
di notifica, allarme in tempo reale, logging); una regola di default
sarà inoltre applicata a alle chiamate per le quali non
è stata trovata corrispondenza con le regole precedenti. Una
semplice policy di esempio
potrebbe contenere le quattro regole seguenti:
- permettere chiamate modem entranti ad un gruppo di numeri
telefonici per il RAS e registrare tutte le caratteristiche di ciascuna
chiamata;
- permettere chiamate modem entranti da determinati numeri,
in un determinato periodo e per una durata fissa, ad una lista di modem
autorizzati usati per accesso remoto (come quelli interni al centralino
telefonico);
- permettere chiamate modem uscenti, da numeri noti, in un
determinato periodo e per una durata fissa, ad una lista di numeri.;
- terminare ogni chiamata modem non esplicitamente
autorizzata dalle regole precedenti.
Questa policy è semplice da gestire. Anche se un utente
aggiunge un modem non autorizzato, il firewall bloccherà
ogni tentativo di chiamata finché l’utente non
completa la procedura di richiesta del modem per l’aggiunta
alla lista dei modem ufficialmente autorizzati. Nonostante la policy
d’esempio si concentri sui modem, la capacità nel
determinare il tipo di chiamata (locale, a lunga distanza, cellulari,
ecc.) permette lo sviluppo di regole di applicazione più
generale, incluse quelle per il controllo delle chiamate voce o fax.
Per quanto concerne il traffico
VoIP non ci sono differenze dal punto di vista di
applicazione delle policies, con regole identiche in forma e
significato, sebbene sia diverso l’hardware che si
interfaccia verso le due tecnologie. Stante la maggiore
complessità di VoIP, le regole costruite con i soli
parametri di cui sopra non sono sufficienti a individuare gli attacchi
perpetrabili ad applicazioni VoIP; a questo scopo è stato
introdotto un ulteriore parametro di composizione delle regole, che
abilita al riconoscimento di una serie di anomalie dei protocolli VoIP
che potrebbero essere sintomo di attacco. Esempi di questi anomalie
sono:
- codec sconosciuto - può indicare un apparecchio
VoIP non autorizzato o non VoIP collegato alla rete
- anomalie sul protocollo di segnalazione - potrebbe essere
sintomo di pacchetti malformati atti a sfruttare possibili
vulnerabilità di protocollo o applicazione VoIP
- media rate eccessivo - significa che una
quantità di traffico VoIP superiore alla norma sta
attraversando l’apparato, indicatore di un probabile
tentativo di Denial-of-Service
E’ importante sottolineare che le regole, anche se di diversa
natura (applicabili solo a linee VoIP, solo a linee PSTN o ad entrambe
le tecnologie) vengono gestite tramite una policy unica, di
più facile gestione e lettura.
Scanning integrato
L’utilizzo del firewall elimina la necessità di
eseguire un assessment per cercare i modem. Tuttavia è utile
effettuare periodicamente uno scan di vulnerabilità sui
modem autorizzati.
Se l’attività di assessment riscontra una
vulnerabilità su uno di questi modem ciò implica
– per esempio – che il modem ha una password
debole, e il telecom firewall può immediatamente negare
tutti gli accessi a quel modem.
Autenticazione forte
In talune situazioni può risultare necessario prevedere la
possibilità di superare le regole generali definite sul
firewall: si pensi a chiamate in situazioni d’emergenza o da
una locazione non specificata. In questo caso, il firewall
può richiedere un’autenticazione supplementare
prima di consentire l’accesso alla linea. Per esempio, prima
di permettere una connessione modem, il firewall può
richiedere all’utente di introdurre un PIN (Personal
Identification Number) aggiuntivo. Un ulteriore livello di sicurezza
può essere implementato utilizzando uno schema di
autenticazione di tipo forte, che preveda l’utilizzo di un
token per generare una password
OTP (One Time Password) da inserire insieme al PIN.
Voice Encryption
Uno dei punti di maggior debolezza delle reti telefoniche pubbliche
è costituito dall’intercettazione e dalla
registrazione delle chiamate. Finora la soluzione a questo problema
consisteva nell’utilizzo di dispositivi di cifratura
punto-punto chiamati Secure Telephone Units (STU) e Secure Telephone
Equipment (STE). Gli STU e STE sono efficaci, ma ogni persona che deve
effettuare una chiamata riservata deve avere accesso a uno di questi
dispositivi. Esistono inoltre versioni commerciali di questi telefoni
per la cifratura delle comunicazioni aziendali, che garantiscono
comunicazione sicure su chiamate internazionali, fax e videoconferenze.
Queste soluzioni sono tuttavia molto costose e richiedono che ciascun
partecipante alle comunicazioni disponga di apparati con queste
funzionalità.
Analogamente a quanto si verifica per le VPN di tipo gateway-to-gateway
su reti IP, è invece estremamente comodo affidare ad un
dispositivo perimetrale il compito di assicurare la
confidenzialità della comunicazione attraverso opportuni
algoritmi di encryption. La soluzione
proposta non è un cifratore
“all’ingrosso”, che cripta in maniera
indiscriminata tutto il traffico sulla linea ma una soluzione cifra le
chiamate singolarmente, classificandole in base al tipo di chiamata e
alle policy predefinite. La selettività della cifratura
è un requisito essenziale, dato che il dispositivo non deve
cifrare le chiamate verso destinazioni che non dispongono di strumenti
di voice encryption. L’encryption è completamente
trasparente all’utente; non obbliga all’utilizzo di
apparecchi specifici, non ha impatto evidente sulla qualità
della voce e non richiede interazione da parte dell’utente
per la codifica della chiamata.
Voice intrusion
detection
Un voice intrusion detection system (IDS) monitorizza possibili
chiamate sospette, come war dialing, frodi telefoniche e
password-guessing.
I tentativi di war
dialing sono visibili quando un attaccante effettua
chiamate brevi a molti numeri della stessa azienda alla ricerca di
modem; tentativi di frode
telefonica si riconoscono da utilizzi anomali o non
autorizzati di servizi per chiamate a lunga distanza, spesso da/per
nuove sorgenti e/o destinazioni; strategie di tipo password-guessing si
manifestano quando un attaccante tenta di accedere un modem
autorizzato, ma il sistema termina la connessione dopo un breve periodo
nel quale vengono provate diverse password. Il voice IDS
monitorizza tutte le sessioni modem, al contrario del voice firewall
che blocca chiamate a modem non autorizzati ma deve permettere le
sessioni dei modem autorizzati; il voice IDS registra i dati
caratteristici di tutte le chiamate, rendendo possibili le analisi a
posteriori. In altri casi il sistema di intrusion detection agisce in
tempo reale, controllando l’uso di comandi illegali ed
eventuali aumenti anomali dei privilegi dell’utente,
nonché inoltrando il traffico IP delle sessioni modem
all’IDS sulla rete dati. Infine, il voice IDS controlla le
chiamate vocali e segnala l’utilizzo di DTMF abusivi, come
toni o sequenze di toni simili a password note, e avverte gli
amministratori di sistema quando un attaccante tenta di accedere ad un
sistema vocale cruciale.
Ritorno
sull’investimento
Ultimo ma non meno importante beneficio conseguibile tramite questa
tecnologia è quello economico: controllando il traffico
voce, dentro e fuori dall’azienda, si rendono disponibili
dati utili ad amministrare ed ottimizzare l’utilizzo delle
linee, controllare i costi addebitati dal fornitore di fonia, ridurre
le spese per comunicazioni non connesse
all’attività lavorativa.
Questi aspetti provano come la tecnologia proposta possa fornire un
tangibile e significativo ritorno sull’investimento (ROI), in
aggiunta al rafforzamento della sicurezza stessa.
|
| |
|
|
