Una serie di computer connessi l'uno all'altro è ciò che chiamiamo rete. Una rete può essere enorme, come la rete di internet, ma può essere anche piccola, come una rete domestica.
Una rete utilizza un protocollo per la comunicazione tra computer o dispositivi connessi, i quali vengono chiamati nodes o nodi. Un nodo quindi è un dispositivo fisico connesso ad una rete che ha la capacità di creare, ricevere o trasmettere dati attraverso una rete. Un nodo ha di solito il proprio indirizzo IP che identifica uno specifico dispositivo come fonte per l'invio e la ricezione dei dati. Per esempio in una rete domestica un PC o uno smart phone, una stampante e un router per internet sono tutti esempi di nodi all'interno della stessa rete.
Internet come rete
L'internet è fondamentalmente una rete di reti. Connette singole reti come le reti domestiche, governative o aziendali permettendo l'invio di dati attraverso vari nodi connessi alla rete internet. Questo è come i dati possono viaggiare in tutto il mondo in quello che sembra solo un istante.
La rete di reti di internet garantisce la connessione dei nodi di una rete ai nodi di altre reti allo scopo di indirizzare il traffico di dati dal mittente fino al server destinatario desiderato. Non esiste una entità unica che controlla tutti i nodi della rete, il che la rende una cosiddetta rete distribuita. Si tratta di un elemento fondamentale per preservare l'integrità di internet e dei dati che scambia.
Nell'esempio a seguire, ogni punto rappresenta un nodo e ogni nodo può essere un servizio di indirizzamento o un'intera rete. Il traffico dal nodo A al nodo Z passa attraverso l'internet via molteplici nodi a seconda di quanto dettato dalle informazioni di indirizzamento di ogni nodo. La rotta non deve per forza essere la stessa per ogni pacchetto di dati. Ciascun nodo non ha alcun bisogno di comprendere la topologia della rete. Gli basta conoscere il prossimo passo sulla rotta verso l'obiettivo.
Guardiamo da vicino come è fatta una rete e come si connette ad internet e agli altri nodi. Si veda l'immagine qui sotto come esempio.
Internet è una rete di reti. La propria rete domestica è semplicemente una rete all'interno della rete distribuita che è internet.
1. Reti accademiche, 2. Reti domestiche, 3. Reti mobili, 4. Reti aziendali, 5. Fornitori di rete
Una rete domestica (o locale)
Quando ci si connette ad una rete da casa, sia che sia Wi-Fi o una rete via cavo, ci si trova in una rete separata che si connette ad internet di solito attraverso una router domestico. Il router ci fornisce l'accesso ad internet e sa quali dispositivi si trovano all'interno della rete domestica e quali si trovano al suo esterno. Sa anche dove reindirizzare il traffico destinato a obiettivi non noti. Alcuni router forniscono alla rete domestica anche una certa protezione dal traffico esterno. Queste protezioni dipendono dalla marca e dal modello di router e da quali altri dispositivi si possono avere come intermediari tra il computer e la rete esterna. I fornitori di rete possono anche vendere ulteriori servizi per proteggere la propria rete.
Ciò che è necessario comprendere è che uno qualsiasi dei nodi attraversati dal traffico che lascia la propria rete domestica può potenzialmente monitorare o spiare le nostre comunicazioni. Abbiamo imparato quanto sia importante rendere le nostre comunicazioni sicure nel capitolo precedente. In questo capitolo ci concentreremo su come fare in modo che anche la rete attraverso cui viaggiano sia sicura.
Guardiamo ancora più da vicino la nostra rete domestica.
A. Fornitore di servizi internet; B. Telefono cellulare; C. Modem Wi-Fi; D. Smart TV; E. Computer laptop
La maggior parte delle reti domestiche è composta da un modem/router e da alcuni dispositivi connessi al router attraverso una connessione wireless. Il modem può essere un dispositivo separato dal router o può essere integrato nello stesso dispositivo. In questo caso tutti i dispositivi si connettono al router. Molti considerano la rete domestica (anche detta rete locale) degna di fiducia. Ciò significa che la maggior parte dei dispositivi non provano a bloccare la connessione ad una tale rete, per esempio per lo scambio dei file. Inoltre il router trasmette i dati tra i diversi dispositivi direttamente connessi ad esso senza reindirizzare il traffico attraverso l'internet più ampio. Il router può vedere tutti i dati che gli passano attraverso se questi non vengono criptati. Inoltre se non ci si connette al proprio router attraverso una connessione sicura il traffico wireless potrebbe non essere affatto criptato e un qualsiasi dispositivo sufficientemente vicino da captare onde radio può spiare il traffico non criptato.
Criptare la connessione alla rete locale
Il primo passo è quello di verificare che si utilizzi una connessione sicura al router Wi-Fi. Di solito la configurazione di fabbrica della maggior parte dei router prevede l'uso di una connessione criptata ma bisogna prestare attenzione ad alcune cose:
1) Le password di default di alcuni dispositivi sono generalmente note. Se un aggressore identifica la marca ed il modello del nostro router, può cercare di utilizzare le credenziali di default per accedere alla rete.
È buona norma cambiare sempre la password di default per connettersi alla rete. Proprio come quando si crea una password per il login ad un account online, le password per accedere alla propria rete locale devono rispettare i giusti criteri (vedi capitolo 2.3) che garantiscono che non siano facili da indovinare o da ottenere con la forza bruta.
2) Secondo le impostazioni di fabbrica chiunque nella rete locale può accedere all'interfaccia di gestione del router. Di solito questa viene protetta da un nome utente e da una password che sono facili da reperire su internet.
È quindi buona norma anche cambiare la password che si impiega per accedere all'interfaccia di gestione del proprio router.
3) Il router potrebbe fare uso di una versione di critpazione datata e di facile decifrazione. Versioni di protocollo da evitare sono quelle WEP e WPA che sono superate.
la criptazione WPA2 e la nuova WPA3 sono più sicure. Se il proprio Wi-Fi è compatibile con il WPA3 si raccomanda di fare il passaggio. Alcuni istruzioni per verificare queste informazioni sulla base del proprio tipo di computer sono disponibili qui di seguito.
Verificare la sicurezza del Wi-Fi su un computer Mac
Tenendo premuto il tasto Opzione (alt), si clicchi sull'icona del Wi-Fi nella barra degli strumenti. Il protocollo in uso è reperibile alla voce Sicurezza.
Verificare la sicurezza del Wi-Fi su un computer Windows 10
Su Windows 10 si clicchi sull'icona di Connessione Wi-Fi sulla barra delle applicazioni. Si clicchi su Proprietà all'interno della Connessione Wi-Fi. Si cerchi la voce Dettagli Wi-Fi e al suo interno per il Tipo di sicurezza.
È importante notare che rendere sicura la propria rete locale è solo il primo passo nell'ambito della sicurezza di rete. Anche quando si cripta la propria connessione Wi-Fi (per esempio utilizzando il WPA2) il proprio traffico viene criptato solo tra il proprio computer e il router Wi-Fi. Se si usa una connessione di rete locale sicura, il contenuto del traffico viene criptato quando viene trasmesso al router, ma il router lo decripta per poterlo trasmettere oltre. Se il nodo successivo sulla rotta utilizza una connessione diretta al router sicura, il traffico viene criptato utilizzando un'altra chiave e spedito al prossimo nodo. Tuttavia se il prossimo nodo si trova su internet, il traffico non viene necessariamente criptato a meno che non si utilizzi un protocollo criptato come l'SSL o il TSL per il traffico dei dati. Maggiori informazioni su questi protocolli sono incluse nella prossima sezione sul tema del network stack o pila di rete.
Accesso esterno limitato ad una rete
Se una rete come ad esempio una rete domestica si trova connessa ad un'altra rete come internet la connessione dovrebbe venir limitata al necessario. Altrimenti tutti i servizi disponibili sulla rete domestica diventano disponibili a chiunque su internet. In una rete domestica il modem svolge di solito questa funzione di filtro. La funzione di questo filtraggio viene chiamata comunemente firewall e anche la maggior parte dei sistemi operativi (il software operativo sui nostri dispositivi) ne hanno uno integrato.
Un firewall limita il traffico che lo può attraversare sulla base delle sue proprie regole. Le regole più semplici sono quelle che o permettono a qualunque tipo di traffico di attraversare il firewall o bloccano tutto. Ma un firewall può anche avere molte caratteristiche diverse a seconda della tipologia. In certi casi permette l'analisi del traffico al fine di determinare se autorizzarne il passaggio oppure no.
I firewall possono essere sia software che hardware. In generale si raccomandano entrambi i tipi. Un software di firewall sul computer lo protegge dalle minacce provenienti dalla rete su cui ci si trova. Queste minacce includono virus, bug come il malware, i quali possono compromettere o addirittura assumere il controllo della propria macchina. Un hardware di firewall è uno strumento efficace per proteggere la rete locale da internet. Un esempio è rappresentato dal modem, un dispositivo fisico che agisce da frontiera della rete controllando tutto il traffico in entrata e in uscita.
La maggior parte dei firewall funzionano a livello di pacchetti (maggiori informazioni sui pacchetti verranno fornite nella prossima sezione sul network stack o pila di rete). Filtrano i pacchetti in base alla loro tipologia, all'indirizzo e alla porta del mittente o in base all'indirizzo e alla porta del destinatario. I firewall di prossima generazione più avanzati forniscono molte funzionalità come l'ispezione del traffico criptato, uno scanner antivirus, il rilevamento di un'intrusione e l'ispezione dei pacchetti. Alcuni firewall effettuano una ispezione stateful del traffico.
Il router delle nostre reti domestiche includono con buona probabilità un farewall di base che autorizza (la maggior parte de) il traffico in uscita ma respinge il traffico da internet che non è stato iniziato da noi, tipo la risposta ad una richiesta per consultare una pagina web. In quasi tutti gli altri casi, sopratutto se si gestisce un'azienda, un firewall semplice con buona probabilità non fornisce una protezione adeguata.
Si pensi per esempio all'uso di un hotspot Wi-Fi per controllare le proprie email. Se non si scaricano le proprie email attraverso una connessione criptata, la rete può visualizzare il contenuto delle email. Se non si sta utilizzando una rete Wi-Fi di fiducia come la rete di casa, chi controlla la rete? Si può essere sicuri che nessuno legga tutta la comunicazione non criptata all'interno della rete locale che si sta utilizzando? È possibile che si faccia uso di servizi per la condivisione dei file (AirDrop per esempio) attivati per la rete più prossima, la quale potrebbe in quel momento essere controllata da qualcuno che ha accesso a quella rete.
Un esempio di attacco su Wi-Fi tratto dalla vita reale è avvenuto nel 2015 quando un gruppo di hacker esperti ha mostrato quanto rischioso possa essere l'uso di una connessione wireless non sicura. La squadra ha dimostrato l'entità del rischio sferrando un attacco a tre politici britannici che erano addirittura consapevoli dell'esperimento.
Zero trust
La strategia zero trust o fiducia zero viene menzionata sempre più spesso nell'ambito dell'architettura della sicurezza. Il termine significa fondamentalmente che invece di dare per scontato che ci si possa fidare di una qualche rete interna e dei dispositivi al suo interno, bisogna considerare qualsiasi dispositivo come potenzialmente ostile. Ciò significa che tutti i dispositivi devono venire autenticati e la loro sicurezza deve venir valutata prima che gli sia permesso l'accesso.
La segmentazione della rete (separare vari segmenti di una rete con frontiere controllate e permettere l'accesso da una all'altra per mezzo di metodi definiti separatamente) è uno dei metodi spesso impiegati per aumentare il livello di controllo in una rete, almeno nelle grandi reti aziendali. Anche il monitoraggio dei dispositivi e delle connessioni è fondamentale per soddisfare il modello di fiducia zero.
Al contrario di quanto succedeva di solito, per cui le reti domestiche permettevano a qualsiasi dispositivo di connettersi e di comunicare all'interno della rete, con la fiducia zero si permette l'accesso alla rete solo ai dispositivi che sono stati verificati e si richiede un'autentifica anche a qualunque comunicazione interna. In pratica raggiungere il livello della fiducia zero nella propria rete domestica è difficile perché la maggior parte dei dispositivi non prevedono una procedura di autenticazione o presuppongono il fatto di potersi connettere e controllare altri dispositivi in modo diretto.
Una comune smart TV per esempio purtroppo non presta alcuna attenzione alle connessioni che autorizza perché viene pensata per essere utilizzata in una rete di fiducia. Può essere certamente scomodo quando il proprio partner dal suo telefono in un'altra stanza mette accidentalmente in pausa il film che stiamo guardando, ma questi problemi di sicurezza dovrebbero essere presi più seriamente in considerazione se per esempio si condivide la propria rete domestica con ospiti sconosciuti, come nel caso degli ospiti di AirBnB.
