Ecco un argomento controverso su cui riflettere, ma prima di andare oltre lasciatemi chiarire qualcosa: non lo sono consigliando di provarlo, non sto dicendo che sia una buona idea, e non sto dicendo che lo farei da solo reti.
Tuttavia, la valutazione del rischio riguarda l’identificazione e la gestione dei rischi, mentre l’amministrazione del sistema riguarda la scelta dei compromessi (e non intendo “scorciatoie ingannevoli”). Gli amministratori di sistema devono bilanciare i costi e il tempo necessari per apportare alcune modifiche rispetto ai vantaggi attesi in termini di denaro, tempo o affidabilità. Quindi ecco la mia domanda controversa: dovresti eseguire firewall sui tuoi computer desktop e server?
Sento già che stai indietreggiando, infilandoti le mani in tasca e borbottando "uh oh, questo è troppo radicale". Sì, potrebbe essere radicale, ma vale la pena farlo come esperimento mentale: dovresti eseguire il filtraggio IP (perché è quello che fa un firewall) sulle macchine all'interno della tua rete?
Gli errori più grandi tendono a verificarsi quando qualcuno fa supposizioni che si rivelano false o una pessima idea
Un gruppo dirà senza dubbio che "non c'è alcun danno nell'esecuzione di firewall sia sul lato client che sul lato server, quindi perché anche solo contemplare l'eresia di disattivare il firewall integrato di Windows?" Voi sarebbe ovviamente giusto, tranne per una cosa: in realtà è piuttosto difficile disattivare il firewall integrato, e questo mi ha fatto riflettere sul modo in cui garantiamo la sicurezza a più livelli all'interno di un sistema organizzazione. Gli errori più grandi tendono a verificarsi quando qualcuno fa supposizioni che si rivelano false o una pessima idea. La loro logica avrebbe potuto essere buona e l'intenzione onorevole, ma non tutti gli aspetti erano coperti.
Mi viene in mente quel worm SQL di Windows che colpì molte reti qualche anno fa con il nome di SQL Slammer. Ciò che è stato interessante è stato il caos che ha causato alla sicurezza di alcune delle principali banche: forse ricorderete che alcuni sistemi basati su Windows In una banca i bancomat si sono bloccati, mentre in un’altra hanno scoperto che l’infezione era entrata tramite un tunnel VPN da una terza parte fidata azienda. Si è scoperto che questo tunnel VPN era completamente aperto e consentiva l'accesso direttamente alla sala server.
Preferirei che la sicurezza fosse integrata direttamente nella progettazione della mia rete piuttosto che sparsa, volenti o nolenti, tra i miei desktop e server. Ad esempio, c’è molto da dire sulla separazione della sala macchine dai computer desktop con un robusto firewall, attraverso il quale viene instradato tutto il traffico client/server. Avresti quindi un router di confine (più probabilmente diversi) per proteggere i desktop da mondo esterno e forse anche firewall tra le varie sezioni del desktop della tua azienda popolazione. Pensa a questi come strati di una cipolla, in cui puoi anche dividere ogni strato per separare sezioni simili nei rispettivi spazi gestiti.
Piccolo numero di guardiani
Se ti stai ancora chiedendo perché suggerirei questo, beh, mi sembra che abbia molto senso concentrare le tue sicurezza in un piccolo numero di fidati guardiani piuttosto che fare affidamento su una nebbia di falsa sicurezza appena gestita dispositivi. Naturalmente, questo mette le uova in meno panieri, ma significa che questi guardiani sono più facili da controllare e gestire: monitorarli in tempo reale diventa routine.
E prima che qualcuno gridi “e i nostri laptop?”, vorrei sottolineare che qualsiasi dispositivo portatile portato fuori dall'azienda necessita comunque di una considerazione speciale. Quali dati sono conservati su di esso? È davvero necessario che ci sia? È crittografato? Cosa succede se viene lasciato sul sedile posteriore del proverbiale taxi? Cosa succede se crei dati aziendali critici su questo laptop; come si garantisce che venga replicato correttamente nella rete dell'ufficio? E come garantire che un dispositivo del genere sia protetto mentre è connesso all'IP pubblico, magari in un bar con dozzine di altri utenti sulla stessa sottorete?
Naturalmente, un dispositivo di questo tipo necessita di un'adeguata protezione firewall, che sarà diversa dalle impostazioni predefinite che potresti aver utilizzato in ufficio. Il tuo laptop deve essere consapevole che non è più in contatto con la nave madre, quindi chiudi le persiane. La distinzione integrata di Windows tra Casa, Lavoro e Pubblico è un inizio, ma potresti voler dare un'occhiata ai firewall software di terze parti che sono più esperti riguardo allo stato della posizione del laptop. E mentre lo fai potresti voler disabilitare Windows Firewall integrato in Windows 7, Vista e Server 2008.
Disabilitare questo firewall non è facile e, se hai intenzione di farlo, devi assicurarti che un adulto abbia in mano le forbici. Questo articolo di TechNet ti guida attraverso i passaggi, iniziando con questo consiglio: "Poiché Windows Firewall con sicurezza avanzata svolge un ruolo importante in aiutando a proteggere il tuo computer dalle minacce alla sicurezza, ti consigliamo di non disabilitarlo a meno che non installi un altro firewall da un fornitore affidabile che fornisce un livello di protezione equivalente.” Sono d'accordo, ma aggiungo che non è necessario installare un altro firewall su questo computer: potrebbe essere disponibile rete.
Esistono fondamentalmente tre modi per disabilitare il firewall: è possibile eseguire il comando NetSH “netsh advfirewall set stato profili disattivato” dove profili è uno tra AllProfiles, CurrentProfile, DomainProfile, PrivateProfile o Profilo pubblico; potresti utilizzare il programma Pannello di controllo del firewall e premere il pulsante "Disattiva (non consigliato)"; oppure puoi utilizzare lo snap-in MMC Sicurezza avanzata facendo clic con il pulsante destro del mouse su "Windows Firewall con sicurezza avanzata sul computer locale" e andando su Proprietà, dove per ciascuna scheda Profilo di dominio, Profilo privato e Profilo pubblico è possibile disattivare il firewall (oppure è possibile farlo tramite Gruppo Politica).
Non ti consiglio di farlo, ma è utile sapere che puoi farlo se decidi di installare uno schema di protezione di terze parti. Non lo farò sulla mia rete, perché preferisco mantenere attiva la sicurezza predefinita. Anche così, e questo è il grosso problema, sono un convinto sostenitore dell’approccio a strati alla sicurezza all’interno di un’azienda, poiché troppe aziende gestiscono un politica di ampia apertura tra le varie parti della loro infrastruttura di rete interna, ed è un vero campanello d’allarme quando questo modo di pensare si dimostra essere incompleto.
