La sicurezza dei dati ai tempi della NSA: Il transito sicuro è

Securing everyThing
www.endian.com
Endian VPN - Whitepaper
La sicurezza dei dati ai tempi della NSA:
Il transito sicuro è ancora possibile?
Indice:
Abstract
Introduzione
1 I pericoli dello scambio e dell’accesso remoto ai dati
1.1 Le Virtual Private Network (VPN)
2 Lo spettro della politica internazionale: NSA e PRISM
3. Alcuni aspetti tecnici delle connessioni VPN
3.1 OpenVPN
3.2 IPsec
4 Soluzioni alternative per lo scambio sicuro dei dati
4.1 Le reti MPLS
4.2 Frame Relay e Asynchronous Transfer Mode
4.3 Secure Shell
5 La garanzia offerta dal modello Open Source
5.1 Italiana e Open Source: la soluzione VPN Endian
6 Conclusioni
Securing everyThing
www.endian.com
Endian VPN - Whitepaper
Abstract
BIG BROTHER IS (maybe) WATCHING YOU!
Risale all’estate del 2013 la notizia che l’ agenzia americana per la sicurezza nazionale (NSA) abbia avviato,
attraverso il sistema PRISM, programmi di intercettazione che valicano i confini nazionali. La tensione con l’Europa ha raggiunto livelli altissimi nei mesi successivi, mentre nuove indiscrezioni si propagavano tra un pubblico sempre più vasto. A
destare preoccupazione – e indignazione - , è stata l’enorme portata, progressivamente disvelata, di tutta l’operazione. L’
indebita intromissione statunitense nelle comunicazioni attiene sia al traffico telefonico che a quello dati, interessa non solo
attori istituzionali ma anche aziende private e coinvolge tanto l’agenzia governativa USA quanto provider di servizi e vendor
di sicurezza informatica e accesso remoto americani 1 .
Ed è così che scoppia il caso Datagate, vicenda che ha riportato con urgenza l’attenzione sulla violazione della privacy, con
l’aggravante della presenza di autorità statali tra i protagonisti del caso.
Inscindibile dalla tematica principale resta la necessità di poter accedere in piena sicurezza ai propri dati, ovunque ci si trovi.
Lasciando da parte l’uso personale che si fa della rete, dobbiamo ricordare che la struttura di connessioni che le attività
aziendali moderne richiedono è fortemente composita, a prescindere dall’ambito di competenza. E l’esigenza di collegare
uffici, sedi distaccate e permettere ai teleoperatori che utilizzano gli strumenti più eterogenei di raggiungere le risorse
necessarie è una realtà tangibile.
Questo whitepaper si propone di investigare la situazione tecnologica attuale che presiede allo scambio dei dati con particolare riferimento alle Virtual Private Network (VPN), di verificare criticamente gli strumenti ad oggi disponibili e suggerire
la strategia migliore per agevolare il fluire delle informazioni senza sacrificarne la riservatezza.
1
http://www.wired.com/threatlevel/2013/12/nsa-˙hacking-˙catalogue/
Securing everyThing
www.endian.com
Endian VPN - Whitepaper
Introduzione
Il passaggio sicuro dei dati sensibili nella rete è una questione senz’ altro all’ordine del giorno. Il tunnel fornito dalle Virtual
Private Network (VPN) appare comunemente come la soluzione più sensata ed efficiente. Ma lo è ancora, alla luce delle recenti rivelazioni della stampa internazionale sul programma statunitense di intercettazioni PRISM 2 ?
Questo white paper si concentrerà sull’analisi della situazione attuale, sia dal punto di vista dello stato dell’arte
tecnologico, sia considerando le implicazioni legate alla cronaca politica recente. Si cercherà di delineare un quadro informativo rapido ma esaustivo sulle soluzioni adottate con maggiore frequenza.
Una prima sezione sarà dedicata ad approfondire il contrasto tra la questione della sicurezza dei dati e la necessità di connessione continua alle risorse per lo svolgimento delle attività produttive. Verranno forniti gli elementi tecnici relativi alla
struttura delle VPN.
Successivamente si affronterà la questione dell’intromissione indebita della National Security Agency (NSA) nel flusso di
informazioni private e di come i vendor informatici americani provvedano, più o meno consapevolmente, l’agenzia stessa di
porte in ascolto attraverso i propri prodotti.
Il blocco successivo entrerà nei dettagli della connessione VPN di cui si illustreranno dinamiche e modalità di
collegamento.
Una quarta parte del whitepaper analizzerà alcune delle soluzioni alternative alla VPN. In particolare verranno prese in esame
le reti MPLS, Frame Realay, Asynchronous Transfer Mode e Secure Shell.
L’ultima sezione di indagine presenterà il modello Open Source come l’unico in grado di garantire una tecnologia all’avanguardia
e la segretezza dei propri dati. In particolare verrà preso in esame come la scelta di affidarsi ad un vendor indipendente che
adotti un sistema di sviluppo aperto riduca significativamente la possibilità di intrusioni non gradite.
Infine, verranno riepilogate le conclusioni dell’articolo.
1 I pericoli dello scambio e dell’accesso remoto ai dati
Intercettando il flusso di informazioni riservate scambiate da una filiale all’altra, o tra la sede centrale e un telelavoratore,
possono essere inflitti danni molto ingenti a qualsiasi azienda. Chiunque sia in grado di intercettare una comunicazione in
chiaro o di introdursi in un tunnel criptato nel quale transitano documenti importanti, può appropriarsene, oppure modificarli
e trasmetterli come se fossero autentici.
Le trappole che più frequentemente vengono tese alla privacy aziendale coinvolgono il furto delle credenziali di
accesso, operato sia da ex collaboratori, che portano con sé i dati relativi al proprio profilo, che da pirati informatici.
L’intrusione di sistemi come PRISM
3
opera invece in modo diverso: non prevede un comportamento disattento o ingenuo da
parte dell’azienda, né la volontà criminale di terzi. Consiste invece nell’aprire di nascosto una porta nel sistema di scambio dei
dati utilizzato dall’utente finale, spesso con il beneplacito del suo produttore. Una backdoor, appunto, proprio nello strumento
cui la società si affida per proteggersi.
2
Programma di intercettazioni del governo USA di cui si dirà meglio più avanti
3
Programma di intercettazioni del governo USA di cui si dirà meglio più avanti
Securing everyThing
www.endian.com
Endian VPN - Whitepaper
Le tecniche più avanzate di aggressione informatica che possono dare accesso ai dati aziendali sono due: spoofing e sniffing.
Lo scenario dello spoofing prevede che un server remoto riesca a rubare l’identità di un sito (o indirizzo IP) legittimo e ad
impersonarlo, facendo cadere in errore chi cerca di collegarsi e inserisce le proprie credenziali che vengono così rubate.
Sniffing, invece, indica l’atto di “ascoltare” una rete informatica ed analizzarne il traffico, cercando di carpire informazioni
potenzialmente interessanti.
Di fronte a queste insidie, come comportarsi?
Non potendo escludere al 100% la sottrazione illecita dei dati, la soluzione giusta per agevolarne il flusso e permettere il collegamento alle risorse da remoto è quella di affidarsi ad una versione radicalmente evoluta delle Virtual Private Network (VPN).
Un sistema di gestione degli accessi estremamente granulare – per singolo utente o gruppo -, da cui impostare efficacemente
le regole di routing, e che consenta di sospendere o modificare le impostazioni di ogni account in maniera rapida ed efficiente.
1.1 Le Virtual Private Network (VPN)
Figura 1: Schema di una rete VPN
In breve, una Virtual Private Network, o VPN, è un collegamento diretto, sicuro e stabile tra una rete o una workstation locale
ed una rete remota [15, 16]. La motivazione principale per l’adozione delle VPN è, quindi, quella di proteggere la privacy dei
propri dati da attacchi indesiderati, nonché garantire la sicurezza e la rapidità dell’accesso lecito alle risorse disponibili.
Securing everyThing
www.endian.com
Endian VPN - Whitepaper
Caratteristiche. La struttura della VPN offre di per sé stessa una soluzione alle minacce descritte in precedenza. Si
tratta in effetti di un tunnel, ovvero di un collegamento cifrato diretto punto a punto (peer-to-peer) tra una risorsa
locale, che può essere sia un singolo computer che un’intera rete - ad esempio la rete interna di una sede distaccata
- ed una rete remota – tipicamente la sede principale dell’azienda. Questo collegamento permette alla risorsa locale
di far parte virtualmente della rete remota, esattamente come se vi si trovasse fisicamente.
Crittografia. Il traffico dati che transita nel tunnel della VPN viene automaticamente criptato prima dell’ingresso e
decriptato in uscita, aggiungendo un ulteriore livello di protezione alla comunicazione. L’uso di algoritmi di cifratura
crittografica concorre quindi a garantire la segretezza delle informazioni circolanti ed è proprio questa caratteristica
ad impedire l’intercettazione del traffico da parte di terzi (sniffing).
Autenticazione. L’autenticazione, infine, riveste un ruolo importante per garantire che chi si collega sia effettivamente
chi dice di essere. Nella sua forma più semplice, essa prevede semplicemente una password per identificare il tunnel
VPN, anche se spesso è previsto l’uso di una combinazione username/password. Tecnologie più avanzate ricadono
nella cosiddetta Autenticazione multi-fattore, basate sul possesso, da parte dell’utente, di almeno due tra i seguenti
fattori: fattore conoscenza (qualcosa che solo l’utente sa), fattore possesso (qualcosa che solo l’utente ha) e fattore
intrinseco o identificativo (qualcuno che solo l’utente è). Abbinare alla combinazione username/password un certificato crittografico digitale è un esempio di autenticazione a due fattori e rappresenta già un buon livello di sicurezza,
che può venir incrementato con l’uso di carte magnetiche o metodi biometrici (lettore di impronte digitali o della
retina). L’autenticazione permette di ridurre al minimo i rischi collegati allo spoofing.
La somma di queste tre caratteristiche permette di difendere il transito dei dati da tentativi esterni di penetrazione e forzatura.
2 Lo spettro della politica internazionale: NSA e PRISM
Quello che sembrerebbe un sistema inattaccabile può invece venire violato facilmente, se si interviene alla fonte. E non importa quanti muri di cinta si possano erigere, se qualcuno possiede la chiave della porta sul retro.
È proprio questo che, metaforicamente, sembra stia avvenendo presso i più importanti fornitori americani di IT security.
Juniper Networks, Cisco, Dell e HP tra i vendor che si è scoperto ospitare, più o meno consapevolmente, backdoor sulle proprie soluzioni di connessione remota 4 . Sarebbero queste porte in ascolto a comporre il fulcro del programma di spionaggio PRISM:
una iniziativa del governo americano che consente alla National Security Agency (NSA) di collezionare una enorme quantità
di dati – più o meno sensibili, ma certamente privati - a scopo preventivo contro le minacce del terrorismo internazionale.
Fin dai primi documenti pubblicati durante l’estate 2013 da Edward Snowden, ex tecnico CIA e collaboratore esterno della NSA,
emerge che nella rete tesa dall’intelligence americana siano rimasti intrappolati tanto attori istituzionali, quanto aziende e privati
cittadini. Tutte le categorie sopra citate, senza distinzioni, vengono intercettate tramite i sistemi di rilevamento che PRISM include.
Per quanto attiene al nostro ambito, ovvero la circolazione dei dati elettronici, il fatto che la backdoor sia posizionata sull’
apparato cui l’utente si affida per garantirne la sicurezza del transito, la rende un’arma subdola, silenziosa e difficilmente
percettibile.
4
http://www.wired.com/threatlevel/2013/12/nsa-hacking-catalogue/
Securing everyThing
www.endian.com
Endian VPN - Whitepaper
Il livello di coinvolgimento di vendor e provider americani è apparso da subito molto alto, nonostante le decise smentite da
parte degli stessi. Sembra per altro estremamente improbabile che la NSA, pur dotata di tecnologie all’avanguardia, possa
riuscire a tenere sotto controllo giganti della telecomunicazione e della sicurezza informatica senza il loro benestare.
Il Patriot Act e successivi emendamenti conferiscono alle autorità USA grande potere investigativo, ma esclusivamente sulla giurisdizione statale. Ecco il limite legale dell’azione perpetrata ai danni degli utenti non americani che
utilizzano sistemi di sicurezza informatica made in USA.
Che fare, se i prodotti commerciali arrivano sul mercato già corrotti?
Utilizzare un collegamento VPN rimane di certo l’opzione migliore per salvaguardare la privacy dei propri dati, a patto che si
osservino alcune regole. Scegliere di utilizzare un servizio non americano rappresenta un ottimo punto di partenza per proteggersi: le aziende statunitensi, infatti, sono tenute ad agire in conformità al Patriot Act e alle leggi anti-terrorismo, di fatto
obbligandosi a rimettere i dati in proprio possesso a disposizione delle autorità. Il monitoraggio dei loro server VPN da parte
della NSA non consente, chiaramente, una reale confidenzialità dei dati dei propri clienti.
Un ulteriore livello di protezione, di cui si dirà più avanti, può essere aggiunto scegliendo un fornitore di servizi VPN Open
Source, garanzia che nessuna backdoor possa essere presente sull’ appliance.
La sezione che segue illustra come il collegamento VPN venga effettivamente stabilito e in che modo avvenga lo scambio dei dati.
3. Alcuni aspetti tecnici delle connessioni VPN
Le principali e più semplici modalità di collegamento via VPN sono due: host-to-net (comunemente chiamata roadwarrior) e
net-to-net. Allestimenti più complessi quali collegamento a stella o connessione di più reti remote, possono essere visti come
applicazioni multiple di questi due.
Figura 2: Client roadwarrior collegati ad un VPN gateway.
Securing everyThing
www.endian.com
Endian VPN - Whitepaper
In modalità roadwarrior, raffigurata in Figura 2 , una singola workstation si collega ad una rete locale remota ed agisce come
se si trovasse fisicamente all’interno di quella rete. Dopo l’autenticazione con il server VPN remoto, infatti, la workstation
riceve un indirizzo IP della rete a cui si collega e delle apposite regole di routing per accedervi. Questo è il caso di un telelavoratore o di un collaboratore dell’azienda che si collega alle risorse messe a disposizione da questa senza dover recarvisi
di persona.
Figura 3: Una VPN in modalità net-to-net.
In modalità net-to-net, raffigurata in Figura 3 , invece, una intera rete locale si collega ad una rete remota. In questo caso
solitamente i due punti estremi del tunnel sono i gateway/router delle due reti: in questo modo, il traffico in arrivo ad uno degli
estremi può essere correttamente instradato dal punto di accesso della rete, ovvero gateway o router. Questo è il caso, ad
esempio, del collegamento di due (o più) filiali di un’azienda che devono poter condividere le stesse risorse in maniera sicura:
una Intranet, server di posta e così via.
Vediamo ora quali sono le caratteristiche più importanti di OpenVPN e IPsec, i due protocolli di collegamento VPN più usati.
3.1 OpenVPN
Le principali caratteristiche di OpenVPN
5
possono essere riassunte come segue.
Bridging o routing. La scelta di come instradare il traffico tra il client, il server e le reti collegate alla VPN è determinante sia per l’efficienza che per la sicurezza. Se il client è un singolo PC o device (sia un dispositivo mobile che,
ad esempio, un server di posta remoto) in modalità “roadwarrior”, la scelta è in genere quella di usare il bridging: in
questo modo il client acquisisce un indirizzo IP all’interno della rete cui si collega e si comporta come gli altri PC ivi
presenti. Ciò semplifica anche l’accesso alle risorse locali con opportune regole di firewall. Nel caso di un’intera rete,
invece, l’unica scelta possibile è quella di usare il routing per instradare correttamente il traffico dalla rete locale
(gestita dal server) ad un’altra rete. In questo caso vengono aggiunte sui due gateway le regole opportune.
Securing everyThing
www.endian.com
Endian VPN - Whitepaper
TUN e TAP. Sono due differenti tipi di adattatori virtuali di rete creati automaticamente al momento della connessione VPN. Il primo viene usato esclusivamente in modalità routing, mentre il secondo sia in modalità routing che,
più spesso, in bridging. Inoltre, TUN, opera a livello 3 del modello OSI/ISO (network layer), mentre il TAP a livello 2
(data layer). A seconda del tipo di instradamento del traffico scelto per la rete, quindi, l’utente può scegliere il tipo di
adattatore di rete da utilizzare.
Autenticazione a due fattori. Come anticipato nella sezione 1.1 , una VPN è essenzialmente un tunnel tra due nodi di
una rete. La possibilità di combinare differenti meccanismi di sicurezza per proteggere il tunnel diminuisce la possibilità di attacchi e aumenta sia il tempo necessario per un pirata di tentare di forzarlo, che le sue probabilità di successo. Nelle comunicazioni via VPN viene di norma usata un’autenticazione a due fattori: da un lato il possesso di un
certificato di autenticazione generato dal server e fornito ai client garantisce la legittimità del collegamento, protetto
via SSL, mentre l’utilizzo di una combinazione di username e password garantisce l’identità dell’utente che si collega.
Criptazione. OpenVPN si appoggia alla libreria OpenSSL
6
e ne usa gli algoritmi per crittografare il traffico all’interno
del tunnel.
3.2 IPsec
IPsec, uno standard IETF, è una famiglia di protocolli di comunicazione, studiata per incrementare la sicurezza di
flussi di dati all’interno di una VPN. Trattandosi di un’estensione del protocollo IP, IPsec opera al livello 3 dello
standard OSI/ISO e si occupa sia di stabilire ed autenticare il tunnel di comunicazione criptato tra rete locale e rete remota
(chiamato Security Association), che dell’integrità, origine e riservatezza dei dati trasmessi.
La Security Association (SA) [4]
è un canale di comunicazione tra due punti della rete che può operare in due
modalità: Transport Mode e Tunnel Mode, che si differenziano per la parte del pacchetto IP che viene modificata o aggiunta. Una SA viene stabilita tra due punti della rete mediante lo scambio di chiavi crittografiche. Per una
maggiore sicurezza della comunicazione, le chiavi sono cambiate o aggiornate di frequente.
Per fare questo, IPsec si basa su 2 componenti principali -ESP e IKE- per modificare la struttura di ogni pacchetto IP in transito,
aggiungendo informazioni ulteriori (headers) che modificano il pacchetto e lo criptano, impedendo a terzi di accedere al contenuto.
Encapsulating Security Payload (ESP) [12] è il protocollo che si occupa della autenticazione e della criptazione dei dati, nonché della loro riservatezza. Ad ogni pacchetto IP viene assegnato, in fase di trasmissione,
un identificativo unico che verrà usato dal ricevente per verificare l’integrità del pacchetto stesso, che viene inoltre criptato, in modo che solo il destinatario previsto possa decriptarne il contenuto. Per questo scopo, ESP si
appoggia a diversi algoritmi standard: MD5 e SHA per l’integrità, AES e DES per la criptazione.
Internet Key Exchange (IKE) [12] infine, permette di semplificare la gestione delle chiavi crittografiche usate da
IPsec per stabilire la Security Association, ed aggiornate di frequente durante una comunicazione. IKE esiste in due
versioni, la seconda delle quali, IKEv2, ha introdotto numerose nuove funzionalità e alcuni miglioramenti rispetto alla
precedente versione. Tra le novità più interessanti, ricordiamo l’introduzione del protocollo EAP per l’autenticazione
(IKEv1 supporta solo autenticazione via chiave condivisa o via certificato), supporto per NAT Traversal e MOBIKE, ovvero per dispositivi mobili). Il miglioramento principale invece è la riduzione di banda necessaria per la gestione delle
chiavi, oltre alla capacità di verificare l’esistenza e presenza stessa del tunnel, quest’ultima implementabile in IKEv1
solo con dei workaround).
5
http://openvpn.net/index.php/open-source/documentation.html
6
http://www.openssl.org/
Securing everyThing
www.endian.com
Endian VPN - Whitepaper
Anche se quasi mai usato poiché incompatibile con il NAT traversal, citiamo l’Authentication Header (AH) Bibliography entry, protocollo che garantisce l’integrità dei dati.
Infine, notiamo come IPsec sia in grado solo di autenticare il tunnel, ma non i singoli utenti che si collegano tramite il
tunnel. Per renderlo più sicuro viene spesso impiegato in congiunzione con altri protocolli dedicati all’ identificazione ed
all’autenticazione degli utenti, quali L2TP [17] e XAuth.
4 Soluzioni alternative per lo scambio sicuro dei dati
Il sistema utilizzato dalle soluzioni VPN non è certo l’unico disponibile per gestire lo scambio dei dati tra location multiple.
Nella nostra breve panoramica sulle tecnologie alternative alle reti VPN includiamo le reti MPLS, Frame Relay e l’Asynchronous
Transfer Mode, e Secure Shell (SSH). Quest’ultimo è un protocollo di comunicazione e si posiziona quindi al livello più alto del
modello OSI, quello applicativo (Application layer), mentre gli altri rappresentano soluzioni che coinvolgono livelli più bassi
(fisico e collegamento dati, physical e data link layer rispettivamente).
4.1 Le reti MPLS
Figura 4: Schema di una rete MPLS.
Una delle alternative spesso considerate è quello delle reti Multiprotocol Label Switching (MPLS), schematizzate in Figura
4 . In breve, si tratta di una tecnologia di collegamento tra nodi di una rete basati su etichette invece che su percorsi, come
accade invece nelle reti IP.
Securing everyThing
www.endian.com
Endian VPN - Whitepaper
Non essendo vulnerabili ai pericoli del web (sono infatti network privati pensati per non essere esposti a Internet) le reti in
tecnologia MPLS offrono alti livelli di sicurezza. Chiaramente, implementarle significa dover disporre di una connettività
Internet dedicata e altra rispetto a quello aziendale, e non elimina la necessità di dotarsi di sistemi di sicurezza (firewall) per
proteggere ciò che invece viaggia attraverso il web.
Il traffico che passa sulle reti MPLS non viene automaticamente criptato come accade invece per il servizio VPN. Nel caso in
cui un tentativo di penetrazione dovesse riuscire, i dati trasmessi verrebbero intercettati in chiaro. Questo livello ulteriore di
sicurezza può certamente essere aggiunto ma rappresenta, appunto, una scelta autonoma di chi sceglie questa soluzione per
l’accesso remoto. Inoltre va fatto notare che, essendo il traffico su una rete MPLS in chiaro, è anche totalmente leggibile dal
provider di connettività: occorre quindi fidarsi completamente di quest’ultimo.
Anche il prezzo può essere una variabile determinante nella scelta della tecnologia. La VPN è certamente meno cara delle reti
MPLS, sia come costo di implementazione che per il suo mantenimento e le varie opzioni accessorie. Basti solo pensare alla
connettività dedicata per il traffico dei dati, la soluzione firewall comunque necessaria come barriera per quanto esposto a
Internet e l’eventuale cifratura dei dati. Onere ulteriore, per chi la preferisse, la connessione in fibra per le MPLS può richiedere
un investimento anche doppio rispetto a quella standard.
Utilizzare un servizio VPN avanzato vuol dire avere a disposizione un accesso sicuro ed estremamente granulare – per singolo
utente o gruppo - ai propri dati. Ciò significa quindi guadagnare valore aggiunto sotto il profilo del dettaglio delle connessioni
e della verifica di ciò che nella rete effettivamente accade.
Se poi la VPN è associata ad un prodotto di bandwidth management, non si correrà nemmeno il rischio di saturare la banda
aziendale con altri applicativi, rallentando o impedendo un trasferimento di dati potenzialmente critico.
4.2 Frame Relay e Asynchronous Transfer Mode
L’espressione Frame Relay identifica un protocollo di collegamento di reti, che opera ai livelli più bassi del modello OSI/ISO
(cioé a livello fisico e di collegamento dati), inizialmente pensato per collegare tra loro nodi remoti (spesso intere reti locali)
attraverso reti ISDN. I dati da trasmettere vengono suddivisi in frame, di lunghezza e contenuto variabili, per garantire maggiore flessibilità ed efficienza d’uso.
Gli Asynchronous Transfer Mode (ATM) invece, rappresentano una tecnologia sviluppata per reti informatiche ad alta velocità,
basata sul trasferimento di blocchi di dati di lunghezza fissa.
Entrambe basano la comunicazione tra nodi sul concetto di circuito virtuale (Virtual Circuit), ovvero sulla creazione di un
canale di collegamento, che viene“costruito” unendo opportunamente i nodi esistenti ed è identificato da un codice univoco,
prima dell’effettiva trasmissione dei dati.
Il loro impiego principale è quello della trasmissione di segnali telefonici, anche se la loro diffusione in questo campo sta
calando, in favore di soluzioni basate sul protocollo VoIP.
Le tecnologie e le esperienze raccolte negli anni nei campi dei Frame Relay, delle ATM e delle MPLS sono oggi raccolte nel
broadband forum 7 , su cui si trovano anche tutte le pubblicazioni tecniche da cui sono state desunte le informazioni presenti
in questa sezione.
Securing everyThing
www.endian.com
Endian VPN - Whitepaper
4.3 Secure Shell
Secure SHell, meglio conosciuto come SSH, nasce come protocollo sicuro per collegamenti remoti ed è divenuto col tempo
lo standard de facto in questo campo. OpenSSH, implementazione Open Source del protocollo Secure Shell, è il metodo di
collegamento remoto a base crittografica più usato sui sistemi Open Source. Lo scopo principale per cui viene utilizzato
è l’accesso via linea di comando a server remoti con finalità di amministrazione, manutenzione e monitoraggio, e per il
trasferimento di file, anche a scopo di backup. Il collegamento può avvenire sia in modalità interattiva, con autenticazione via
username e password, che via scambio di chiavi crittografiche. Come per le reti VPN, anche OpenSSH crea un tunnel criptato,
e quindi protetto, per il flusso del traffico, ma la sostanziale differenza con le VPN è il limitato numero di tunnel concorrenti
attivabili dal server.
SSH2, la seconda versione del protocollo, ha oggi sostituito sia la versione 1, contenente numerose vulnerabilità, che altri applicativi per l’accesso remoto quali telnet e rsh, ormai obsoleti e considerati non sicuri: questi ultimi infatti, pur basati su autenticazione username/password, trasmettono in chiaro il traffico, rendendo l’intercettazione delle informazione
trasmesse molto semplice. Da notare che comunque già la versione 1 di SSH veniva preferita rispetto agli altri protocolli in
quanto più sicura.
5 La garanzia offerta dal modello Open Source
La VPN si conferma quindi come la soluzione più efficiente per agevolare il transito protetto dei dati e l’accesso agli stessi
da remoto, sia sotto il profilo tecnico che economico. L’ultima variabile da considerare, a questo punto, è quella portata
all’attenzione dal caso Datagate, ovvero la concreta possibilità che il servizio utilizzato presenti una backdoor che ne comprometta la sicurezza.
Come precedentemente anticipato, scegliere il prodotto di una azienda non statunitense elimina gran parte dei dubbi sulla
riservatezza del canale. Se poi questo software – magari europeo – si basa su un modello di sviluppo Open Source, il campo
è sgombero da qualsiasi inquietudine.
Parlando di Open Source si intende la generazione di codice il cui sorgente è messo a disposizione di chiunque voglia ispezionarlo, rielaborarlo e redistribuirlo. Sono favorite, da parte degli autori, la diffusione, il controllo e l’apporto di modifiche da
parte delle community di programmatori indipendenti 8 .
I vantaggi presentati dal software libero sono diversi ed interessanti. Principalmente l’interoperabilità e la possibilità di integrazione con sistemi altri, l’indipendenza rispetto alla logica costrittiva del fornitore unico e ultimo – ma primo in ordine di
importanza – la garantita inaccessibilità da parte del vendor.
Preferire un prodotto basato su codice proprietario significa nella maggior parte dei casi rassegnarsi ad un legame quasi indissolubile con il fornitore che si sceglie 9 , e non poter quindi cambiare tecnologia se non affrontando spese e inconvenienti
notevoli.
Un software proprietario è generalmente pensato per escludere il proprio funzionamento in un ambiente popolato da sistemi
eterogenei. L’intento dei vendor che seguono questa strategia è quello di impedire che un altro fornitore si inserisca e potenzialmente li soppianti. I riflessi di questo comportamento, però, non si arrestano al piano strettamente commerciale: si
7
http://www.broadband-˙forum.org
Securing everyThing
www.endian.com
Endian VPN - Whitepaper
pensi, ad esempio, ad un progetto proprietario che vada a chiudersi o ad un fornitore non più in grado di dare supporto sulle
sue stesse installazioni. Eventualità del genere, essendo il codice proprietario chiuso e sconosciuto all’esterno, potrebbero
causare disagi allarmanti.
Il codice aperto, invece, è costruito in modo da essere accessibile a tutti. Ciò significa che oltre ad essere estremamente
testato, e quindi stabile, potenzialmente non “muore” mai. Non solo, quindi, il rischio di abbandono praticamente non esiste,
ma anche la presenza di bug e imperfezioni è estremamente ridotta grazie al contributo delle community.
Proprio in virtù della loro natura intrinseca, i prodotti basati su tecnologia Open Source non possono ospitare backdoor.
Questa salvaguardia si deve al fatto che l’intero processo di sviluppo avviene alla luce del sole: essendo il codice disponibile
per chiunque, sarebbe davvero poco probabile riuscire ad immetterne di dannoso senza che altri lo intercettino e ne denuncino
la presenza.
In conseguenza della provata stabilità e intrinseca sicurezza del codice, proprio la NSA è uno dei primi utilizzatori al mondo
di prodotti Open Source 10 .
In Italia la direttiva Stanca del 2003 su “Sviluppo ed utilizzazione dei programmi informatici da parte delle pubbliche amministrazioni” definisce le caratteristiche delle tecnologie che la PA dovrebbe utilizzare. Il prodotto Open Source viene chiaramente
indicato come quello da preferire, a parità di costo e caratteristiche con le soluzioni basate su software chiuso.
Nel gennaio 2014, tali direttive sono state rimarcate con la pubblicazione delle linee guida per la valutazione comparativa a
cui le PA devono attenersi in fase di acquisizione di software, come da articolo 68 del Codice dell’Amministrazione Digitale.
Sicurezza, flessibilità e performance rappresentano quindi gli elementi chiave di questo modello di sviluppo tecnologico.
5.1 Italiana e Open Source: la soluzione VPN Endian
Le appliance Endian [1, 6] offrono un server VPN basato su OpenVPN, un’applicazione software che è divenuta lo standard
de facto in ambito Open Source per i collegamenti VPN. Da sempre uno dei più importanti che compongono la serie UTM, il
modulo VPN con la versione 3.0 è stato completamente riscritto. Da una parte è stata aggiunta maggiore flessibilità in fase di
configurazione, dall’altra è migliorata la scalabilità del servizio. Inoltre, il modulo VPN è alla base della nuova linea di prodotti
4i Edge, dedicati alla sicurezza in ambito industriale.
Il traffico che passa dal modulo VPN è interamente filtrabile usando l’apposito VPN Firewall, che fa parte del modulo omonimo
delle appliance Endian.
Molte sono le novità apportate alla VPN rispetto alla precedente versione 2.5, a partire da una rinnovata interfaccia grafica,
come mostrato in Figura 5 . Inoltre è stata rivista l’organizzazione delle funzionalità, separando la gestione dei certificati
(prima presente solo per utenti IPsec, ora anche per OpenVPN) dall’autenticazione degli utenti.
Scendiamo ora nel dettaglio delle nuove funzionalità introdotte nella versione 3.0 di Endian.
La novità più evidente appena si accede alla GUI del modulo VPN è la lista delle istanze dei server VPN: è ora
possibile infatti avere multiple istanze di server OpenVPN coesistenti ed in funzione su ogni appliance. Ogni server è indipendente dall’altro e di norma non interagiscono. Diventa altresì possibile avere contemporaneamente istanze di server sia
per TCP che UDP.
8
A caratterizzare il software libero sono le cosiddette 4 libertà. Per consultazione si veda: https://www.gnu.org/philosophy/free-sw.html
9
Il cosiddetto vendor lock-in.
10
La NSA è anche sviluppatore di codice Open Source: http://selinuxproject.org/page/Main˙Page.
Securing everyThing
www.endian.com
Endian VPN - Whitepaper
Un’altra novità è la presenza di una Certificate Authority integrata nelle appliance, per la creazione e la firma digitali dei certificati identificativi di ogni istanza. In alternativa è comunque presente il supporto per Certificate Authority esterne.
Per quanto riguarda la gestione degli utenti VPN/IPsec, la relativa interfaccia è stata riorganizzata e centralizzata in un’unica
pagina, Autenticazione, in cui si possono modificare le impostazioni di ogni utente, relative sia a collegamenti VPN che
IPsec. Direttamente collegata a questa nuova funzionalità è la possibilità di sfruttare server LDAP/Active Directory esterni
per autenticare gli utenti (che vengono mappati in locale) e definire per quale tipo di collegamento (OpenVPN, IPsec XAuth,
L2TP) venga usato il server LDAP/AD. Infine, è stato anche introdotta la Extended Authentication (XAuth) come sistema di
autenticazione, anche in modalità ibrida.
Sul versante IPsec, la novità principale, oltre ad XAuth,
è rappresentata dal supporto per IKE v2 oltre a quello
già presente per IKEv1, e dal maggior numero di algoritmi di cifratura disponibili per questi protocolli.
Vi è inoltre la possibilità di creare gruppi di utenti che
condividono le medesime opzioni di collegamento.
6 Conclusioni
In questo white paper abbiamo affrontato il problema
del transito sicuro dei dati tra sedi diverse di una stessa
azienda e l’accesso agli stessi da parte di collaboratori esterni. Partendo da una ampia panoramica
sull’esplosione e sulle conseguenze del caso Datagate
nell’estate 2013 e su quanto rivelato in seguito a riguardo del programma PRISM, abbiamo presentato le possibili strategie
che un’azienda può attuare per proteggere i propri dati. Lo studio condotto ha dimostrato che il metodo di trasporto delle informazioni tramite Virtual Private Network (VPN) tecnologicamente avanzate, si conferma come il più efficiente. La disamina
di metodi alternativi - reti MPLS, Frame Relay, Asynchronous Transfer Mode e Secure Shell- indica le altre opzioni in campo
come più costose o di difficile implementazione o ancora non altrettanto efficienti. Il problema delle backdoor nascoste negli
appliance di sicurezza e connessione remota dei maggiori vendor americani – le porte in ascolto utilizzate dalla NSA per carpire e immagazzinare informazioni – è presto risolto facendo ricadere la propria scelta su una soluzione prodotta al di fuori
degli USA. Un passaporto europeo, combinato con il metodo di sviluppo Open Source, costituirebbero una misura preventiva
dall’ indiscusso valore a protezione della propria privacy. In risposta al quesito iniziale vengono quindi proposti i prodotti
UTM di Endian, vendor italiano che basa le proprie soluzioni su tecnologia Open Source, e la cui ultima release 3.0 oltre ad
aggiungere features innovative, potenzia enormemente le prestazioni del modulo VPN rendendolo ideale per la protezione
delle comunicazioni.
Securing everyThing
www.endian.com
Endian VPN - Whitepaper
Riferimenti bibliografici
1
Endian 4i website. http://4i.endian.com/
2
Caso NSA, le aziende e PMI scoprono l’importanza della Sicurezza IT. Pubblicato online, Ottobre 2013.
3
ACLU sues US government over NSA spying. Pubblicato online.
4
C. Kaufman, P. Hoffman, Y. Nir, and P. Eronen. Internet Key Exchange Protocol Version 2 (IKEv2). Technical report, IETF, settembre 2010.
5
D. Black and D. McGrew. Using Authenticated Encryption Algorithms with the Encrypted Payload of the Internet Key Exchange version 2 (IKEv2) Protocol.
Technical report, IETF, agosto 2008.
6
Endian website. http://www.endian.com/.
7
Free Software Foundation Europe. Free Software’s Four Freedoms.
8
ISO/IEC. Information technology – Open Systems Interconnection – Basic Reference Model: The Basic Model. International Organization for Standardization,
http://fsfe.org/freesoftware/basics/4freedoms.en.html.
second edition, November 1994.
9
VPN e MPLS. http://www.internetvoice.it/files/pdf/vpn-e-mpls.pdf, 2010.
10
S. Kent. IP Encapsulating Security Payload (ESP). Technical report, IETF, dicembre 2005.
11
Tom’s hardware. Luminare della crittografia spiato dalla NSA. Pubblicato online, 7 febbraio 2014.
12
V. Manral. Cryptographic Algorithm Implementation Requirements for Encapsulating Security Payload (ESP) and Authentication Header (AH). Technical
report, IETF, aprile 2007.
13
Eloi Vanderbeken. Elenco di router che presentano backdoor. online, 2013.
14
NSA and GCHQ have broken internet encryption, created backdoors that anyone could use. Pubblicato online, Settembre 2013.
15
Ralf Spenneberg. VPN mit Linux. Addison Wesley, 2004, ISBN 3-8273-2144-X
16
Thomas Zeller. OpenVPN kompakt. bomots verlag, 2008. ISBN 3-939316-51-2
17
W. Townsley, A. Valencia, A. Rubens, G. Pall, G. Zorn, B. Palter. Layer Two Tunneling Protocol “L2TP”. Technical report, IETF, agosto 1999.
Securing everyThing
www.endian.com
© 2014 Endian SRL. Subject to change without notice. Endian and Endian UTM are trademarks of Endian SRL. All other trademarks and registered trademarks are the property of their
respective owners.
Endian VPN - Whitepaper
Endian International
Endian US
Tel: +39 0471 631 763
Tel:+1 832 775 8795
E-mail: [email protected]
E-mail: [email protected]
Endian Italia
Endian Japan
Tel: +39 0471 631 763
Tel:+81 3 680 651 86
E-mail: [email protected]
E-mail: [email protected]
Endian Deutschland
Endian Turkey
Tel: +49 (0) 8106 30750 - 13
Mobile +90 216 222 2933
E-mail: [email protected]
E-mail: [email protected]