Case History: Linux per le PMI

8853 Spa

La struttura della rete è stata riprogettata secondo lo schema predefinito di una topologia firewall-based, ossia connettendo le tre reti distinte a tre differenti schede di rete montate sul Server Firewall Ipchains che si occupa anche di effettuare il routing dei pacchetti fra Lan, Dmz e Wan.
A questo punto sul Mail/proxy server sono state configurate tutte le caselle di posta dei collaboratori che sono presenti anche sul server pubblico del provider d'appoggio, in modo tale da trasferire con Fetchmail tutte la posta elettronica nelle caselle locali, ad intervalli regolari.
Sendmail (l'MTA) è stato configurato per consentire l'invio della posta elettronica interna diretta all'esterno, sempre appoggiandosi al Mail server pubblico del provider.
I messaggi contenuti nelle caselle del server pubblico una volta trasferiti non vengono cancellati, in modo tale da garantire:

• la ridondanza di tutti i messaggi su due server diversi
• la possibilità di controllare la posta in modo completo anche fuori sede via modem Il software per la gestione della posta elettronica dei PC Client interni è stato configurato su ogni macchina per poter ricevere ed inviare la posta direttamente sul Mail server interno

Nello stesso modo i browser utilizzati per la navigazione delle pagine web, sono stati configurati per uscire dalla rete locale verso Internet, solo attraverso il Proxy Server Squid presente sempre sullo stesso Mail Server.
In questo modo, le pagine Internet visualizzate dai browser vengono memorizzate nel Proxy Server, affinche', ad una seconda richiesta delle stesse pagine, sia lo stesso Proxy Server a fornirle al browser evitando l'utilizzo della connessione ADSL.

Questa soluzione permette di evitare inutili utilizzi della banda ADSL e di velocizzare la visualizzazione delle pagine sul browser.
Naturalmente, il Proxy Server prima di fornire le pagine al browser verifica accuratamente che siano identiche a quelle presenti in Internet, nel caso in cui rilevasse delle differenze si occuperebbe di memorizzare le pagine aggiornate e di fornire all.utente l'ultima versione delle pagine per la visualizzazione. A controllare che tutti i trasferimenti tra la rete interna, quella demilitarizzata e Internet siano permessi e ritenuti sicuri, c'e' il Server Firewall Ipchains che minuziosamente filtra ogni pacchetto Tcp/Ip transitante nella rete.
I pacchetti ritenuti sicuri vengono lasciati transitare, quelli ritenuti pericolosi o semplicemente non permessi vengono buttati via e non rifiutati, in maniera tale che chi li ha inviati non sappia mai con certezza se il transito dell'informazione non è permesso o c'e' stato un errore generico.

In questo modo l'eventuale attacco risulta più difficile e impedisce l'approfondimento della raccolta d'informazioni necessarie a renderlo efficace.
Infine le due connessioni private, una verso il gestore d'informazioni e una verso la banca d'appoggio di 8853, sono state fatte passare attraverso il Firewall, utilizzando come ponte verso il Firewall stesso il Server Socks, in modo da garantirne una provenienza ed una destinazione certa e fidata.
Il Firewall infatti lascia passare questo tipo di connessioni solo se sono provenienti o destinate al Socks Server della rete demilitarizzata.

La creazione della rete demilitarizzata è servita ad aumentare di un livello la sicurezza delle rete interna, inserendo un ostacolo in più da oltrepassare per raggiungere le informazioni ivi contenute.
Ponendo per esempio che un hacker riesca ad entrare nel Mail/Proxy Server, non è ancora arrivato alla rete locale Lan, ed il Firewall si ripresenta ancora come ostacolo. Essendo inoltre molto differente la configurazione delle connessioni permesse o vietate tra Internet e la rete demilitarizzata da quelle tra la rete demilitarizzata e la rete local Lan, l'hacker non potrà riutilizzare gli stessi espedienti usati per entrare nel Mail/proxy Server per entrare nella rete locale. Tutto questo, lo costringe a fermarsi o per lo meno a ristudiare tutta la strategia di attacco. Se consideriamo inoltre che il Firewall rende trasparente l'esistenza della rete demilitarizzata, la scoperta della sua presenza risulta una novità che spesso lascia spiazzato l'hacker.

In tutto sono bastati due PC disponibili tra le loro attrezzature, di cui uno non più molto giovane, un pacchetto SuSE Linux 7.2 e qualche giornata del nostro lavoro per la progettazione, l'implementazione ed il collaudo di tutta la soluzione.