Pianificazione della sicurezza di rete

La sicurezza di rete è probabilmente l'aspetto più importante della pianificazione di rete. E' necessario che il collegamento di rete consenta il traffico legittimo attraverso la porta impedendo il traffico illegittimo.

Informazioni preliminari
__	Sviluppare un elenco di punti di entrata nella rete.
__	Creare una normativa di sicurezza associata da cui avrà origine la normativa di sicurezza della rete. Includere le normative sull'accesso a informazioni sensibili e riservate, le azioni da intraprendere in caso di violazione e la persona preposta a compiere tali azioni.

Attività di pianificazione della sicurezza di rete
__	Sviluppo di una normativa di sicurezza della rete Prendendo la normativa di sicurezza associata come punto di riferimento, sviluppare una normativa di sicurezza della rete. Si consigliano i seguenti elementi: Creazione di un firewall Qualsiasi normativa di sicurezza include l'utilizzo di un firewall per filtrare il traffico all'interno e all'esterno della rete. Il firewall dovrebbe limitare i dati secondo il protocollo che utilizza e arrestare il traffico nel caso il protocollo non corrisponda alla porta tramite cui sta passando tale traffico. Dovrebbe inoltre limitare strettamente l'apertura delle porte, per impedire l'accesso da parte di intrusi alla rete associata. Isolamento di informazioni riservate Sarebbe opportuno che qualsiasi sistema che contiene informazioni riservate o sensibili non fosse accessibile direttamente dall'esterno. Inoltre, si consiglia di limitare l'accesso a tali sistemi anche dall'interno, in modo da consentirlo soltanto agli utenti autenticati. Creazione di una zona "smilitarizzata" Una zona "smilitarizzata" è un'area esterna al firewall in cui le transazioni possono avere luogo senza che la rete venga sottoposta ad alcun rischio. Ogni accesso anonimo alla rete dovrebbe rimanere nella zona "smilitarizzata". Sviluppo di uno schema di autenticazione Per autenticazione si intende il processo con cui si richiede un ID utente e una parola d'ordine, o altri tipi di autenticazione basati su certificato, per accedere a un dominio di rete. Sarebbe opportuno che ogni accesso diretto all'intranet associata richiedesse l'autenticazione. Sarebbe inoltre necessario che anche ogni accesso diretto tramite il firewall richiedesse l'autenticazione. Pianificare di seguire le migliori regole di creazione ID utente e parola d'ordine, inserendo parole d'ordine sufficientemente lunghe (almeno 8 caratteri), miste (una combinazione di lettere, numeri, maiuscole e minuscole) e modificandole regolarmente (ogni due o tre mesi). Sviluppo di un sistema di codifica La codifica è il processo di conversione di tutti i dati in un codice decifrabile soltanto da un sistema di chiavi private e pubbliche. Tutti i dati sensibili esterni alla rete associata dovrebbero essere codificati. Si consiglia di codificare inoltre tutti i dati sensibili provenienti dagli uffici remoti nella rete. Sviluppo di un sistema di blocco dell'ingegneria sociale L'ingegneria sociale è il processo di personificazione di individui fidati al telefono per raccogliere informazioni sensibili, quali ad esempio parole d'ordine e informazioni organizzative associate. Si tratta di una tecnica comune utilizzata dagli hacker per accedere alle reti. L'unica difesa contro questo tipo di violazione di sicurezza è addestrare gli impiegati a non fornire tali informazioni per telefono. Per informazioni sullo sviluppo della normativa di sicurezza della rete, consultare il capitolo relativo alla sicurezza IP nel manuale IP Network Design Guide.
__	Pianificazione di IPSec (IP Security Architecture) L'IPSec (IP Security Architecture) è un'architettura di sicurezza aperta, basata su standard, che fornisce le seguenti funzioni: Integrità di dati (impedisce gli attacchi basati su dati con formato errato) Protezione contro la riproduzione (impedisce gli attacchi basati sulla replica di messaggi) Creazione sicura e aggiornamento automatico delle chiavi di codifica Algoritmi crittografici complessi e sicuri Autenticazione basata sul certificato IPSec include numerosi protocolli, ciascuno dei quali esegue una di queste funzioni. Molti prodotti di sicurezza utilizzano IPSec come architettura di base. Per ulteriori informazioni su IPSec, consultare il capitolo relativo alla sicurezza IP nel manuale IP Network Design Guide.
__	Pianificazione delle VPN (virtual private network) Le VPN (Virtual private network) utilizzano IPSec per creare un collegamento privato sicuro o un tunnel, attraverso una rete pubblica quale, ad esempio, Internet. Per ciascuna piattaforma, sono disponibili numerosi strumenti per convertire i collegamenti Internet in VPN. Considerando l'esigenza di comunicazione tra utenti remoti, filiali e partner associati, le VPN sono un modo importante per codificare e autenticare le informazioni tra nodi remoti della rete associata. Per informazioni sulle modalità di implementazione di una VPN, consultare il capitolo relativo alla sicurezza IP nel manuale IP Network Design Guide.
__	Pianificazione della protezione contro virus e spyware I virus e altri software dannosi, denominati malware si celano dietro legittimi contenuti aziendali, per eseguire attività dannose una volta entrati nella rete della società. Il malware è la forma più diffusa di violazione della sicurezza di rete. Ciascun host sulla rete dovrebbe essere dotato di applicazioni antivirus e antispyware da aggiornare ed eseguire settimanalmente. Tali programmi sono progettati per bloccare il malware prima che possa riprodursi sulla rete. Per informazioni sulle modalità per ostacolare virus e spyware, consultare il capitolo relativo alla sicurezza IP nel manuale IP Network Design Guide.

Una volta completate le attività identificate in questo argomento, si dovrebbe disporre di un piano della sicurezza di rete che identifichi i seguenti elementi:

__	Registrare una normativa della sicurezza di rete, che comprenda i firewall, le zone "smilitarizzate", le regole di accesso per informazioni sensibili, la codifica, l'autenticazione e il training contro l'ingegneria sociale del contatore.
__	Registrare una topologia dell'architettura di sicurezza, includendo le aree che richiedono un accesso autenticato, quelle protette dai firewall, specificando dove sono collegate le zone "smilitarizzate" e quali utenti o uffici remoti utilizzano le VPN.
__	Registrare un elenco di applicazioni antivirus e antispyware di cui è pianificato il caricamento sulle macchine host. Sviluppare una normativa per aggiornamenti settimanali e configurare gli host per un'esecuzione automatica, almeno settimanale, delle applicazioni.