SICUREZZA DEL
NETWORKING
Analisi del livello di sicurezza
dell’infrastruttura di rete
19 dicembre 2015
1
Obiettivi dell’attività

Ottenere una fotografia che sintetizzi l’attuale
livello di sicurezza della rete.

Ottenere un documento che evidenzi eventuali
lacune e che definisca

le macro-aree sulle quali si consiglia di intervenire

gli eventuali approfondimenti ad integrazione del
presente studio
19 dicembre 2015
2
Metodologia adottata

Raccolta di informazioni mediante interviste e studio
del materiale fornito.


Soluzioni di network security – analisi dell’infrastruttura
di rete e valutazione delle soluzioni di sicurezza
adottate.
Networking – analisi del traffico presente nelle reti RAI
(limitatamente alla sede di Teulada dove si trova il
NOC) e valutazione dei possibili problemi di sicurezza,
performance e/o stabilità delle reti analizzate.
19 dicembre 2015
3
Network Security Summary
Criticità
HIGH
1
10%
LOW
4
40%
MEDIUM
5
50%
HIGH
19 dicembre 2015
MEDIUM
LOW
4
Network Security Matrix
EFFORT TO MITIGATE THE RISK
V
BASSO
LIVELLO DI CRITICITA’
A-B
SINS-9.1
IT4-1
ALTO
SIIT4-2
A-M
NS-9.2
A
L
T
O
fix immediately
RedRed
flag:flag:
fix immediately
B
A
S
S
O
19 dicembre 2015
B-B
NS-2.1
NS-3
NS-8
SI-IT4
Yellow flag: fix at customer’s discretion
M-M
NS-1
NS-5.1
NS-6.2
NS-7
NS-11
Red flag: plan to
Red flag: plan to remediate
remediate
M-A
SI-IT2
NS-4
NS-5.2
NS-6.1
B-M
NS-2.2
NS-10
Green flag: bear risk
5
Network Security Risks 1
N.
STATO
Rischi
Soluzioni
Criticità
Effort
NS-1
Firewall PIX-IVI con regole troppo
permissive. Approccio del tipo “tutto
quello che non è espressamente
negato è permesso”
Diffusione di WORM, Trojan.
Possibilità che la rete venga
utilizzata a scopi non lavorativi
Invertire l’approccio e
definire
i
protocolli
concessi e bloccare il
resto
M
M
1
Attivare
delle
opportune ACL sui
router di frontiera.
B
B
2
Spostare i dispositivi
dietro un firewall PIX.
B
M
Sostituire i sistemi RAS con
VPN SSL o IPSEC già
presenti in RAI.
B
B
NS-2
NS-3
Esposizione su INTERNET diretta e
non filtrata dei sistemi VPN.
Presenza di sistemi di accesso RAS
con meccanismi di autenticazione
debole e trasferimento dati non
cifrati. (usati come backup e in modo
limitato)
19 dicembre 2015
Attacchi di tipo DoS, port scanning
e
in
genere
problemi
di
performance
Intercettazione del traffico, delle
credenziali di autenticazione.
6
Network Security Risks 2
NS-4
NS-5
NS-6
Le sonde di tipo network
sono
passive
ovvero si limitano a
segnalare
intrusioni, non a
bloccarle.
Il prodotto Site Protector
non prevede un
server secondario
per il DR/HA.
Non
esistono
server.
19 dicembre 2015
proxy
Difficoltà o impossibilità di bloccare
attivamente la diffusione di worm,
attacchi informatici, exploit.
Un problema sulla componente Site
Protector rischia di rendere
ingestibili le numerose sonde e
agenti installati.
Impossibilita di autenticare gli utenti,
profilare gruppi e utenze rispetto
a
diritti
di
navigazione,
impossibilità di ottimizzare le
performance di rete con caching
e traffic shaping.
Cambiare il funzionamento delle
sonde in prevention (Dopo
un opportuno periodo di
studio). Attivare le risposte
TCP-reset sulle sonde in
SPAN.
M
A
1
Predisporre sistemi e procedure
per il recovery delle
configurazioni su un server
in stand-by.
M
M
2
Acquistare
la
licenza
SecureSync che consente
di creare un server di
backup.
M
A
1
Installare dei proxy.
M
A
2
Utilizzare dei proxy in
modalità trasparente,
anche solo per
ottimizzare le
performance.
M
M
7
Network Security Risks 3
NS-7
Non esiste un sistema
efficiente
di
log
management e event
correlation
Impossibilità e/o difficoltà di
recuperare informazioni
prodotte dall’infrastruttura
di rete e sicurezza.
Impossibilità di correlare
tra loro le informazioni
provenienti
dai
vari
sistemi IT.
Valutare l’adozione di un
sistema
di
log
management
e
correlation.
NS-8
Best practices utilizzo di
protocollo
SNMP.
Questa vulnerabilità
non è stata verificata
su tutta la rete.
Rischi
di
disclosure
informatici.
Verificare che le best
practices, descritte al
paragrafo 2.2.6, siano
adottate
Non
NS-9
sono
condotte
periodiche attività di
vulnerability
assessment
e/o
penetration test.
19 dicembre 2015
information
e attacchi
Impossibilità di valutare lo
stato di esposizione al
rischio dei sistemi RAI.
M M
M
M
/
B
1
Commissionare
periodiche attività
di PT e/o VA
A
B
2
Completare il
legato a
Scanner
A
M
progetto
Internet
8
Network Security Risks 4
Il
NS-10
NS-11
backup dei
sistemi
firewall
è
effettuato
manualment
e.
Server di mail
relay privo di
sistemi
di
sicurezza
applicativi.
19 dicembre 2015
Un‘attività
di
questo
genere è importante
per mantenere un
backup
delle
configurazioni
aggiornate.
Definire
ed
implementare
una
soluzione
per
il
backup
automatico delle configurazioni.
B
Esposizione ad attacchi
informatici,
SPAM,
VIRUS, difficoltà nella
gestione del patching.
Adottare
una
soluzione
commerciale, magari basata su
appliance
che
fornisca
funzionalità
di
sicurezza
aggiuntive: antivirus, antispam,
compliance, content filtering,
encryption,
intrusion
prevention.
M M
9
M
Network Summary
Criticità
MEDIUM
1
25%
LOW
3
75%
MEDIUM
19 dicembre 2015
LOW
10
Network Matrix
EFFORT TO MITIGATE THE RISK
V
ALTO
BASSO
SIIT4-2
LIVELLO DI CRITICITA’
SIIT4-1
A
L
T
O
fix immediately
fix immediately
flag:flag:
RedRed
B
A
S
S
O
SI-IT4
Yellow flag: fix at customer’s discretion
19 dicembre 2015
M-M
N-4.1
Red flag: plan to
Red flag: plan to remediate
remediate
SI-IT2
M-A
NS-4.2
B-M
N-1
N-2
N-3
Green flag: bear risk
11
Network Risks
N-1
Presenza di traffico STP sulle
porte utenti.
Rischi di performance e di
attacchi di tipo STP mangling
(Questi teorici e non verificati).
Disabilitare l’STP dalle porte
utente.
B
M
N-2
Presenza di traffico CDP sulle
porte utenti.
Rischi
di
performance
information discolosure
Disabilitare l’CDP dalle porte
utente.
B
M
N-3
Presenza di flooding su diversi
segmenti di rete e in particolare
sul segmento di LAN esterna
Problematiche di performance e
rischio di interecettare traffico di
tipo unicast da parte dell’untenza
Indagare sulla causa della
presenza
di
flooding,
in
particolare sul segmento di rete
esterna
B
M
1
Valutare e mettere in atto le
contromisure del paragrafo
“Possibili attacchi diretti al
network 2.3.1”
M
M
2
Valutare
la
possibile
attivazione
del
DHCP
Snooping e del Dynamic
ARP Inspection
M
A
N-4
Esposizione ad attacchi di tipo
man-in-the-middle
volti
a
intercettare
traffico:
ARP
poisoning, DHCP spoofing,
Switch Port Stealing
19 dicembre 2015
e
Rischi di successo in caso di
attacchi degli attacchi citati al
paragrafo “Possibili
attacchi
diretti al network 2.3.1”
12
Sintesi delle attività consigliate

Network Security







Ottimizzazione delle regole di firewalling
Eseguire un tuning IPS e passare da detection a prevention
Implementare un sistema proxy per la navigazione in modalità
bridging
Valutare l’adozione di un sistema di centralizzazione e correlazione
degli eventi
Definire una procedura periodica di security assessment
Aumentare la sicurezza del mail relay
Networking


Eseguire un vulnerability assessment mirato ai devices di rete
Verificare le impostazioni esistenti ed attuare le best practices
consigliate
19 dicembre 2015
13