Per alcuni, parlare di reti locali in tempi nei quali affrontiamo la migrazione delle nostre piattaforme in ambito cloud, può dare l’impressione di voler trattare argomentazioni vecchie: tuttavia, la rete locale è molto più attuale di quello che si può pensare e sigle come DNS, DHCP e IPAM continuano ad essere ancora all’ordine del giorno.
Non dimentichiamoci che, sottoscrivendo un servizio cloud, in realtà noi stiamo utilizzando l’hardware di qualcun altro. Tale hardware fa parte di una infrastruttura datacenter dove c’è stata una oculata progettazione e realizzazione.
Progettare in maniera efficiente significa ottimizzare il flusso dei dati che vengono scambiati a tutto vantaggio delle performance complessive e della sicurezza. A tal proposito, ci sono molti strumenti che si hanno a disposizione “per default” per implementare la sicurezza della propria local network.
Indice degli argomenti
Il ruolo del DNS nella sicurezza delle reti locali
I Domain Name System (DNS) è uno dei protocolli fondamentali alla base di Internet. La sua funzione è risolvere un nome facilmente ricordabile e gestibile da una persona, in un indirizzo IP associato alla risorsa informatica da raggiungere. Per fare un esempio, è molto più facile per noi ricordare google.it piuttosto che il relativo indirizzo IP. In più, la separazione tra “nome” e “indirizzo IP” permette anche di risolvere un nome in più indirizzi e di modificare gli indirizzi in maniera trasparente agli utenti.
Tutti noi utilizziamo la risoluzione dei nomi tramite il DNS ogni qualvolta accediamo a risorse in internet, ed anche in reti private aziendali. In questi ultimi contesti, la funzione dei DNS è la stessa e la sua adozione nell’ambito di una rete locale fa intendere che essa è gestita in maniera strutturata ed efficiente.
Recentemente vari aspetti dell’integrità, disponibilità e riservatezza del DNS sono stati messi a dura prova anche in realtà aziendali dove la manomissione dei server DNS ha creato alcuni problemi di sicurezza.
La presenza di un servizio DNS locale permette, tra le altre cose, di velocizzare le performance della propria rete e, all’interno di essa, di rendere visibile o meno un host.
Qualcuno si ricorderà, infatti, che in passato spesso si ricorreva al file Hosts quando si era nella necessità o di raggiungere un determinato host oppure di “accelerare” le performance, soprattutto quando si implementavano in rete piattaforme eterogenee che, molte volte, non riuscivano a comunicare in autonomia ma necessitavano qualche “spintarella”. E sono, in sostanza, le funzionalità del servizio DNS locale che, in più, è sottoposto a minacce che un amministratore di sistema non deve assolutamente trascurare.
Ad ogni modo, per appurare l’appartenenza o meno in un contesto strutturato nel perimetro di una rete locale, un host generico ed “isolato” presenta, per fare un esempio, un nome che potrebbe essere “postazione01”. Quando esso diventa membro di un contesto strutturato dove c’è la presenza di un servizio DNS, tale nome diventa “postazione01.domain.com”.
Se, quindi, andiamo a tralasciare le eventuali minacce che potrebbero insistervi, l’adozione di un servizio DNS locale ha degli indubbi vantaggi che si traducono essenzialmente in primo luogo nella risoluzione dei nomi host locale, quindi più veloce e che genera meno traffico inutile. In più, posso determinare le eventuali redirezioni su risorse disponibili e frammentate, ad esempio, su più contesti geografici. Per non considerare che proprio tramite i DNS posso decidere che una risorsa scompaia dalla rete temporaneamente o a tempo illimitato.
Il DHCP e la corretta gestione delle reti locali
Il secondo protocollo che è importante per la gestione di una rete locale è il Dynamic Host Configuration Protocol. Il servizio DHCP ha il compito di assegnare ad un dispositivo che si connette alla rete il primo indirizzo IP valido disponibile tra quelli che sono stati definiti nei parametri di configurazione.
Per restare costantemente attivo, il servizio DHCP viene solitamente attivato sulla macchina server oppure sul router.
Una volta l’indirizzo IP andava digitato carattere per carattere e inserito manualmente nei diversi sistemi: oggi, invece, la gestione degli indirizzi avviene in maniera del tutto automatica cosa che risulta molto utile in caso di reti con molti dispositivi connessi, dove attribuire l’IP in maniera manuale avrebbe come conseguenza una gestione complicata anche dal punto di vista documentale.
L’assegnazione automatica dell’indirizzo tramite il Dynamic Host Configuration Protocol avviene in quattro passaggi in successione:
- Per cominciare il client invia un pacchetto DHCPDISCOVER con l’indirizzo di destinazione 255.255.255.255 e l’indirizzo sorgente 0.0.0.0. Con questo cosiddetto “broadcast”, il client contatta tutti i partecipanti alla rete per poter localizzare i server DHCP disponibili e per informarli della richiesta di indirizzo.
- Il server DCHP raggiunto, attivo sulla porta 67 in attesa di richieste in entrata, risponde al broadcast con un pacchetto DHCPOFFER. Lo stesso contiene un possibile indirizzo IP libero e l’indirizzo MAC del client, oltre che la subnet mask e l’indirizzo IP e l’ID del server.
- Il client DHCP sceglie poi i dati di indirizzo desiderati tra quelli ottenuti e informa il server corrispondente tramite DHCPREQUEST. Il DHCPREQUEST serve anche per confermare i parametri ottenuti già in un momento precedente.
- Per finire il server conferma i parametri TCP/IP e li trasmette un’altra volta al client, anche se lo fa per mezzo di un pacchetto DHCPACK. Questo contiene indicazioni aggiuntive, come ad esempio riguardo al server DNS, SMTP o POP3. Il client DHCP salva quindi tutti i dati ottenuti a livello locale e si connette a tutte le reti. Se il server non ha più alcun indirizzo a disposizione o se il rispettivo indirizzo IP è stato assegnato a un altro client, allora risponderà con DHCPNAK (DHCP not acknowledged, “non riconosciuto”).
L’indirizzo assegnato automaticamente viene salvato in combinazione con l’indirizzo MAC all’interno del database del server, facendo in modo che la configurazione rimanga costantemente attiva. Il dispositivo stabilisce la connessione con la rete sempre con l’indirizzo che gli è stato assegnato, il quale è bloccato per gli altri client.
IPAM: l’importanza della gestione degli IP
La gestione degli IP (IP Address Management), che forse qualcuno non avrà mai sentito parlarne prima d’ora, è diventata la metodologia trasversale di tutte le tecnologie interconnesse.
La crescita e la complessità delle reti è cresciuta a livello esponenziale creando non poche difficoltà di gestione: prima dell’esplosione dei dispositivi connessi tramite IP, la rete in genere cresceva con il numero di utenti connessi.
Invece, ora le reti devono scalare da tre a cinque volte per ogni dipendente in base al numero di dispositivi IP che utilizziamo per svolgere il nostro lavoro.
Ciò significa che anche la sfida della gestione e della protezione degli endpoint è diventata molto ardua. Senza dubbio, la sinergia che deriva da una maggiore connettività crea anche maggiori sfide per gli IT manager e per i Risk Manager.
Con un software IPAM e gli strumenti IP, gli amministratori possono garantire che l’inventario degli indirizzi IP assegnabili rimanga aggiornato.
Quindi la gestione indirizzi IP semplifica e automatizza l’amministrazione di molte attività coinvolte nella gestione dello spazio IP, inclusa la scrittura di record DNS e la configurazione delle impostazioni DHCP. Funzionalità aggiuntive, come il controllo delle prenotazioni in DHCP e altre funzionalità di aggregazione e reporting dei dati, sono comuni anche con IPAM di rete.
DNS, DHCP, IPAM: e la sicurezza?
Certamente a questa domanda non ci sarebbe bisogno di risposta. Tuttavia, occorre una piccola precisazione necessaria per il protocollo DHCP.
Un punto debole del protocollo, purtroppo, è quello di essere facilmente manipolabile: siccome il client contatta tutti i potenziali server DHCP che sono presenti, se un hacker dovesse avere possibilità di accesso alla vostra rete locale potrebbe mettere un ulteriore server DHCP, che opportunamente dovrà essere più veloce del vostro.
Una volta assegnato l’IP, ciò viene comunicato affinché gli altri server DCHP (compreso il vostro) non debbano più “rispondere alla richiesta”. Da quel momento, un malintenzionato ha la possibilità di trasmettere dati manipolati, o per esempio effettuare dei DoS (Denial of Service) con molta facilità.
Ancora più serio, se oltre ciò, riuscisse anche ad infiltrare un router estraneo con l’aiuto di un falso gateway e di false indicazioni DNS.
In ogni caso, va ricordato che ciò si potrebbe verificare solo se si disponesse dell’accesso fisico alla rete. L’applicazione dei protocolli, o meglio già la progettazione della nostra local network, se effettuata seguendo un modello di gestione che implementi le misure di sicurezza idonee, di certo non rappresenta problemi irrisolvibili.
