Università degli Studi di Padova - SIAGAS
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Università degli Studi di Padova
Dipartimento di Matematica "Tullio Levi-Civita"
Corso di Laurea in Informatica
L’avvento dell’Industria 4.0 nel mondo: le
smart factories tra rischi e progresso
Tesi di laurea triennale
Relatore
Prof.Mauro Conti
Laureando
Matteo Stabilini
Tutor interno
Nicola Sacchetto
Sede
Synclab s.r.l
Anno Accademico 2017-2018
Matteo Stabilini: L’avvento dell’Industria 4.0 nel mondo: le smart factories tra rischi e progresso, Tesi di laurea triennale, c Settembre 2018.
Indice
1 Introduzione 1
1.1 L’azienda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.1.1 Servizi offerti . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.1.2 Settori di impiego . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.2 Il tirocinio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.3 Contributo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.4 Organizzazione del documento . . . . . . . . . . . . . . . . . . . . . . 3
2 L’industria 4.0: la sicurezza informatica tra IT e OT 5
2.1 Industria 4.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.2 L’Industria 4.0 in Italia . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.3 Le smart factories, la base dell’Industria 4.0 . . . . . . . . . . . . . . . 8
2.4 Sicurezza IT: scopi e utilizzi . . . . . . . . . . . . . . . . . . . . . . . . 11
2.5 Sicurezza OT: scopi e utilizzi . . . . . . . . . . . . . . . . . . . . . . . 11
2.6 Differenze tra sicurezza OT e IT . . . . . . . . . . . . . . . . . . . . . 12
3 Reti aziendali 15
3.1 Scopo e importanza . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.1.1 Strumenti di lavoro . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.2 La rete aziendale sviluppata in sede . . . . . . . . . . . . . . . . . . . 16
3.2.1 Definizione della rete . . . . . . . . . . . . . . . . . . . . . . . . 17
3.2.2 Indirizzi IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.2.3 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3.2.4 Accesso alle impostazioni . . . . . . . . . . . . . . . . . . . . . 19
3.2.5 Regole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3.2.6 Certificati digitali . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.2.7 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.2.8 URL Redirector . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.2.9 IDS e IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.3 Managed switch e port security . . . . . . . . . . . . . . . . . . . . . . 22
3.4 Firewall Layer 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
4 Attacchi informatici 25
4.1 Motivazioni dietro agli attacchi informatici durante il tirocinio . . . . 25
4.2 Preparazione degli attacchi . . . . . . . . . . . . . . . . . . . . . . . . 25
4.3 Gli attacchi informatici svolti in azienda . . . . . . . . . . . . . . . . . 26
4.3.1 CAM Table Overflow . . . . . . . . . . . . . . . . . . . . . . . 26
4.3.2 DHCP Starvation Attack . . . . . . . . . . . . . . . . . . . . . 28
iii
iv INDICE
4.3.3 Rogue DHCP Server . . . . . . . . . . . . . . . . . . . . . . . . 29
4.3.4 MAC Spoofing . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4.3.5 HTTPS downgrade . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.3.6 Considerazioni sugli attacchi effettuati . . . . . . . . . . . . . . 32
4.3.7 Firewall e switch con port security . . . . . . . . . . . . . . . . 33
4.3.8 Firewall con implemetazione di sistemi IDS e IPS . . . . . . . . 33
4.4 Attacchi OT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.4.1 Package sniffing . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.4.2 Man in The Middle . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.4.3 TCP SYN Flood DoS Attack . . . . . . . . . . . . . . . . . . . 34
4.4.4 VPNFilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
4.5 Valutazoni finali sugli attacchi informatici . . . . . . . . . . . . . . . . 35
5 Conclusioni 37
5.1 Consuntivo finale e conoscenze raggiunte . . . . . . . . . . . . . . . . . 37
5.2 Conclusioni finali . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
A Valutazione e gestione del rischio 39
A.1 Valutazione del rischio . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
A.1.1 Valutazione dei rischi nel settore IT . . . . . . . . . . . . . . . 39
A.1.2 Valutazione dei rischi nel settore OT . . . . . . . . . . . . . . . 39
A.1.3 Sistemi di sicurezza . . . . . . . . . . . . . . . . . . . . . . . . 40
A.2 Gestione del rischio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Bibliografia 45
Elenco delle figure
2.1 Purdue Model for Control Hierarchy logical framework . . . . . . . . . 9
2.2 PMCH: Implementazione ottimale DMZ tra aree Enterprise e ICS . . 10
2.3 Differenze tra sicurezza IT e OT . . . . . . . . . . . . . . . . . . . . . 13
3.1 Schema di una rete aziendale . . . . . . . . . . . . . . . . . . . . . . . 16
3.2 Schermata della rete sviluppata in sede . . . . . . . . . . . . . . . . . . 17
4.1 Schermata di presentazione di Yersinia . . . . . . . . . . . . . . . . . . 28
4.2 Esempio di rilevamanto MAC in rete tramite Ettercap . . . . . . . . . 30
4.3 Presentazione MITMf . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.4 Esempio di pacchetto dati rilevato attraverso Wireshark . . . . . . . . 32
A.1 Schema di gestione dei rischi . . . . . . . . . . . . . . . . . . . . . . . 40
v
Capitolo 1
Introduzione
Al giorno d’oggi viviamo in una società sempre più influenzata dall’industria informatica:
ogni dispositivo è costantemente connesso a internet, pronto ad aiutarci in qualunque
mansione svolgiamo, che sia cercare una strada, fare degli acquisti o dirci che la
nostra casa ha rischiato di essere derubata. Viviamo in un sistema che richiede una
mole di dati enorme per poterci dare tutte le informazioni di cui abbiamo bisogno,
così da poterci aiutare in ogni piccolo dettaglio, e non si parla unicamente di dati
poco importanti, bensì anche di elementi particolarmente sensibili. Eppure, se la
nostra vita sta risultando pesantemente influenzata, a essere travolto da questo trend
di automatizzazione e sfruttamento dei dati è proprio il mondo del lavoro, il quale
riesce a impiegare le moderne tecnologie a proprio vantaggio con tecniche e bisogni
molto più vari rispetto alle singole persone: un’azienda può utilizzare i dati delle
sue ricerche in maniere che nemmeno immaginiamo, oramai moltissimi macchinari
riescono quasi a pensare da soli alle corrette azioni da intraprendere per operare al
massimo dell’efficienza. Questo però indica che ogni sistema sta diventando, piano
piano, incredibilmente dipendente dal mondo informatico, così tanto da necessitare di
una costante protezione da possibili attacchi da parte di malintenzionati. Del resto se la
singola persona vive nel timore di poter perdere alcune password, che gli venga rubata
la carta di credito o che qualcuno riesca a raggiungere file di ogni genere all’interno
del proprio computer pensiamo a quello che un’impresa qualunque rischia: quante
perdite potrebbe comportare il totale blocco della produzione? Oppure se in un server
sono custoditi i numeri delle carte di credito di centinaia di clienti quante perdite
potrebbe provocare una possibile violazione? Per evitare questi danni è dunque chiaro
come il settore informatico della sicurezza stia diventando di primaria importanza,
per permettere a un mondo sempre più interessato a sfruttare dati raccolti tramite
strumenti tecnologici senza però dover subire delle perdite a causa della perdita degli
stessi. All’interno di questa tesi verrà analizzato come il mondo delle industrie si sta
organizzando per fare fronte ai cambiamenti accennati e cosa conta di fare nel futuro,
facendo riferimento agli studi compiuti durante il periodo di tirocinio avvenuto negli
scorsi mesi.
1.1 L’azienda
Sync Lab S.r.l. è una società di consulenza informatica fondata nel 2002 consedi a
Napoli, Roma, Milano e Padova.
Fin dai primi anni Sync Lab è rapidamente cresciuta nel mercato ICT, consolidando i
1
2 CAPITOLO 1. INTRODUZIONE
rapporti con clienti e partner ha raggiunto un organico aziendale di oltre 200 risorse,
una solida base finanziaria e una diffusione sul territorio attraverso le sue quattro sedi.
L’organico aziendale è andato crescendo in modo continuo e rapido, in relazione
all’apertura delle varie sedi ed alla progressiva crescita delle stesse.
La grande attenzione alla gestione delle risorse umane ha fatto di Sync Lab un
riferimento in positivo per quanti volessero avviare o far evolvere in chiave professionale
la propria carriera.
Il basso turn-over testimonia la voglia dei collaboratori di condividere il progetto
comune, assumendo all’interno di esso ruoli e responsabilità che solo un processo
evolutivo così intenso può offrire.
I ricavi hanno avuto un incremento proporzionale alla crescita dell’azienda beneficiando
dell’approccio adattivo e diversificato al mercato.
1.1.1 Servizi offerti
Sync Lab Srl è un’azienda leader nella consulenza tecnologica, impegnata in un processo
continuo di identificazione e messa in opera di soluzioni per i clienti finalizzate alla
creazione di valore. Supportiamo le esigenze di innovazione di tutte le organizzazioni ed
in ogni settore di mercato nell’ambito Information Technology, con servizi in ambito:
∗ Business Consultancy
∗ Project Financing
∗ IT Consultancy
L’azienda ha come punti di forza la qualità dei servizi offerti (certificazioni ISO 9001,
ISO 14001, ISO 27001, OHSAS 18001) ed un’accurata gestione delle risorse umane.
L’approfondita conoscenza di processi e tecnologie, maturata in esperienze altamente
significative e qualificanti, ci fornisce l’expertise e Know How necessari per gestire
progetti di elevata complessità, dominando l’intero ciclo di vita: Studio di fattibilità,
Progettazione, Implementazione, Governance e Post Delivery.
L’offerta di consulenza specialistica trova le punte di eccellenza nella progettazione
di architetture Software avanzate, siano esse per applicativi di dominio, per sistemi
di supporto al business (BSS), per sistemi di integrazione (EAI/SOA), per sistemi di
monitoraggio applicativo/territoriale.
Il nostro laboratorio RD è sempre al passo con i nuovi paradigmi tecnologici e di
comunicazione, ad esempio Big Data, Cloud Computing, Internet delle Cose, Mobile
e Sicurezza IT, per supportare i propri clienti nella creazione ed integrazione di
applicazioni, processi e dispositivi.
Le attività in ambito Educational ed RD ci hanno permesso di acquisire una profonda
conoscenza degli strumenti di finanza agevolata fruendone direttamente ed interagendo
con enti di supporto ai progetti innovativi dei propri clienti. L’azienda, grazie alla rete
di relazioni a livello nazionale ed internazionale, ha ottenuto importanti finanziamenti
in progetti RD europei (FP7 e H2020) della Comunità Europea.
1.1.2 Settori di impiego
Sync Lab si sta sempre più specializzando in vari settori d’impiego: dal mondo banking
all’assurance con una nicchia importante nell’ambito sanità in cui vanta un prodotto
d’eccellenza per la gestione delle cliniche private. L’azienda inoltre ha recentemente
fondato una collegata Sync Security che si occupa espressamente del mondo della cyber
security e sicurezza informatica in genere.1.2. IL TIROCINIO 3 1.2 Il tirocinio Lo stage è stato preparato con lo scopo di preparare il tirocinante al mondo delle sicurezza informatica, dandogli le prime basi riguardanti la creazione di una vera e propria rete aziendale (intesa come azienda industrial) e le difese da applicare per renderla sicura. Oltre a questo è stato previsto lo studio dei possibili attacchi che possono essere effettuati ai danni di un’azienda, simulandoli sulla rete costruita precedentemente: in questo modo lo studente avrebbe avuto modo di testare in prima persona l’efficacia delle misure difensive utilizzate e di imparare come avvengono degli attacchi informatici, nel particolare svolti direttamente all’interno del network aziendale. Inoltre è stato previsto un approfondimento riguardante la sicurezza OT, al giorno d’oggi in continua crescita grazie all’avvento dell’Industria 4.0 e perno dell’industrializzazione mondiale. Tali ricerche sono state mantenute a livello teorico poichè l’azienda non dispone di strumentazioni OT da utilizzare in fase di testing, anche se durante la creazione delle difese tali macchinari vengano prsi in considerazione in quanto parte della rete aziendale. 1.3 Contributo Il lavoro compiuto durante il periodo di stage è stato sicuramente positivo per la mia crescita personale. Prima di tutto mi ha permesso di consolidare quanto imparato, prevalentemente a livello teorico, durante lo studio di Reti e SIcurezza, esame del secondo anno. Il tirocinio mi ha inoltre permesso di imparare a creare una rete informatica e di vedere come questa si deve sviluppare nell’ambito lavorativo aziendale, una realtà che altrimenti non avrei avuto modo alcuno di conoscere durante il periodo di studio universitario. Inoltre è stato possibile entrare in contatto col mondo degli attacchi informatici, anch’essi studiati solo basilarmente e a livello teorico. Ma la conoscenza più interessante che ho ottenuto è stato lo studio dell’Industria 4.0 e tutti ciò che da questi cambiamenti è scaturito: fino a prima dello stage avevo unicamente sentito parlare di questo termine e ne avevo sommariamente capito qualche obiettivo, senza però approfondire ulteriormente le conoscenze. Mi si è letteralmente aperto un mondo di conoscenze, sia a livello teorico che pratico, che mi hanno permesso di diventare un elemento valido all’interno dell’azienda, pronto eventualmente a lavorare in questo campo senza dover ripetere uno stage simile. Durante la durata del tirocinio, di circa 320 ore, sono stato supervisionato dal tutor interno Nicola Sacchetto, il quale mi ha guidato durante tutto il percorso. 1.4 Organizzazione del documento Il documento qui presente contiene tutti gli studi fatti nel corso del lavoro, seguendo dunque i temi trattati durante il tirocinio. Tali dati sono stati rielaborati per ottenere un carattere più discorsivo e leggibile, nonchè semplice da comprendere. Per questo l’organizzazione prevede che tutto parta, col capitolo 2, dal concetto di Industria 4.0, il cambiamento che ha permesso tutti gli studi successivi, e dei principali settori informa- tici da difendere all’interno di un azienda, ossia Informational Technology e Operational Technology. Successivamente la tesi si sposta su ciò che è stato effettivamente prodotto in sede di lavoro, ossia la rete aziendale montata nel corso delle settimane. Il capitolo 3 quindi presenta la rete creata e tutti gli strumenti utilizzati per metterla il più possibile in sicurezza. Il capitolo 4 si contrappone al capitolo precedete poichè presenta gli
4 CAPITOLO 1. INTRODUZIONE attacchi informatici avvenuti per poter entrare e distruggere la rete precedentemente costruita, nonchè alcuni attacchi inseriti come nozione puramente teorica e non ricreati a causa di impossibilitazioni. Il quinto ed ultimo capitolo tirerà infine la conclusione di tutto il lavoro fatto e di quanto spiegato negli altri capitoli.
Capitolo 2
L’industria 4.0: la sicurezza
informatica tra IT e OT
2.1 Industria 4.0
A partire dal 2012 il continuo tentativo delle aziende di automatizzare il lavoro svolto
dai macchinari ha portato a coniare il termine "Industria 4.0", ossia un vero e proprio
richiamo a una nuova Rivoluzione Industriale. Tutto questo è accaduto perchè le
industrie hanno iniziato a trasformarsi in vere e proprie "Smart factory", le quali si
fondano su quattro requisiti fondamentali:
∗ Interoperabilità: Ogni componente elettronico presente in un determinato
sistema deve necessariamente essere collegato con tutti gli altri presenti, che sia
attravero Internet of Things, ossia apparecchi che si connettono alla rete per
poter compiere diverse mansioni altrimenti impossibili, o attraverso gli stessi
lavoratori presenti nell’ambiente circostante.
∗ Trasparenza di informazione: Il sistema informatico deve essere in grado di
replicare l’ambiente lavorativo, affiancandolo a una serie di dati rilevati attraverso
sensori sparsi per l’edificio, in modo tale da poter ottenere una visione del lavoro
più accurata e dettagliata.
∗ Assistenza tecnica: Questo punto accorpa dentro di s due concetti fondamenta-
li. Da una parte intende la possibilità del sistema implementato di poter rilevare
e mostrare le informazioni raccolte nela maniera più semplice e comprensibile
possibile, in modo tale che chiunque debba compiere dei lavori o debba prendere
decisioni importanti in poco tempo possa essere aiutato in maniera efficace dai
dati registrati, dando anche ordini con la stessa facilità; dall’altra parte invece si
intente l’automatizzazione attraverso strumentazioni tecnologiche di mansioni
altrimenti faticose o pericolose per l’essere umano.
∗ Decisioni decentralizzate: Il sistema informatico deve essere in grado, dove
possibile, di modificare il proprio comportamento a seconda della situazione,
senza dover passare attraverso una decisione umana. Questo comportamento
deve richiedere l’intervento dell’uomo solo in casi critici.
Il risultato di questi cambiamenti all’interno delle aziende di tutto il mondo ha avuto
effetti sia positivi che negativi. Prima di tutto si è vista una maggiore efficienza nella
56CAPITOLO 2. L’INDUSTRIA 4.0: LA SICUREZZA INFORMATICA TRA IT E OT
produzione, nonchè il boom di alcuni campi riguardanti lo studio dei dati raccolti
all’interno delle industrie, in modo tale che le macchine presenti possano sfruttarle
al meglio e comportarsi di conseguenza. Big Data e Data Analytics sono diventate
di centrale importanza nella vita aziendale. Inoltre molti paesi emergenti, come ad
esempio l’India, non dovendo apportare modifiche ad industrie già esistenti di vecchio
stampo, hanno potuto adeguarsi con maggiore facilità alle nuove tendenze, riuscendo
a compiere numerosi balzi in avanti nel settore economico. Del resto è anche vero
che, come si può anche vedere in ogni rivoluzione industriale nella storia, l’aumento
di automatizzazione in un contesto lavorativo porta sempre a un minor numero di
posti disponibili, senza contare che tale numero di posti viene poi riservato a personale
differentemente specializzato, in grado di utilizzare i nuovi macchinari: questo ha
portato dunque a una riduzione dei posti di lavoro in tutto il mondo.
2.2 L’Industria 4.0 in Italia
In Italia abbiamo iniziato tardi ad adeguarci a questi cambiamenti rispetto agli altri
paesi: solo a fine 2017 sono state promulgate delle leggi che garantiscono alcuni incentivi
per le aziende che vogliono adattarsi al cambiamento. Il provvedimento chiave è stato
il Piano Nazionale dell’Impresa, o Industria 4.0, il quale ha presentato le seguenti
riforme indirizzate alle industrie e aziende di tutta Italia[5]:
∗ Iper e super ammortamento: Iper-ammortamento: supervalutazione del
250% degli investimenti in beni materiali nuovi, dispositivi e tecnologie abilitanti
la trasformazione in chiave 4.0 acquistati o in leasing Superammortamento:
supervalutazione del 130% degli investimenti in beni strumentali nuovi acquistati
o in leasing. Per chi beneficia dell’iperammortamento possibilità di fruire anche di
una supervalutazione del 140% per gli investimenti in beni strumentali immateriali
(software e sistemi IT). Possono utilizzare questo incentivo tutte le imprese con
sede fiscale in Italia
∗ Nuova Sabatini: La misura sostiene gli investimenti per acquistare o acquisire
in leasing macchinari, attrezzature, impianti, beni strumentali ad uso produttivo
e hardware, nonché software e tecnologie digitali. I finanziamenti consistono nella
concessione da parte di banche e intermediari finanziari, aderenti all’Addendum
alla convenzione tra il Ministero dello sviluppo economico, l’Associazione Bancaria
Italiana e Cassa depositi e prestiti S.p.A., di finanziamenti alle micro, piccole
e medie imprese per sostenere gli investimenti previsti dalla misura, nonché di
un contributo da parte del Ministero dello sviluppo economico rapportato agli
interessi sui predetti finanziamenti. L’investimento può essere interamente coperto
dal finanziamento bancario (o leasing). Il finanziamento, che può essere assistito
dalla garanzia del “Fondo di garanzia per le piccole e medie imprese” fino all’80%
dell’ammontare del finanziamento stesso, deve essere: di durata non superiore
a 5 anni, di importo compreso tra 20.000 euro e 2 milioni di euro, interamente
utilizzato per coprire gli investimenti ammissibili. Il contributo del Ministero dello
sviluppo economico è un contributo il cui ammontare è determinato in misura pari
al valore degli interessi calcolati, in via convenzionale, su un finanziamento della
durata di cinque anni e di importo uguale all’investimento, ad un tasso d’interesse
annuo pari al: 2,75% per gli investimenti ordinari 3,575% per gli investimenti in
tecnologie digitali e in sistemi di tracciamento e pesatura dei rifiuti (investimenti
in tecnologie cd. “industria 4.0”). I beneficiari di queste misure sono tutte le2.2. L’INDUSTRIA 4.0 IN ITALIA 7
piccole e medie imprese italiane, basta che non trattino prodotti appartenenti
ad attività finanziarie e assicurative e attività connesse all’esportazione e per
gli interventi subordinati all’impiego preferenziale di prodotti interni rispetto ai
prodotti di importazione.
∗ Accordi per l’innvoazione: Progetti riguardanti attività di ricerca industriale
e di sviluppo sperimentale finalizzati alla realizzazione di nuovi prodotti, processi
o servizi o al notevole miglioramento di prodotti, processi o servizi esistenti,
tramite lo sviluppo di una o più tecnologie. Può beneficiarne qualunque impresa
italiana che abbia avuto almeno due bilanci approvati.
∗ Credito d’imposta formazione 4.0: Si tratta di un credito messo a disposi-
zione di qualunque impresa italiana, ma anche di imprese estere con sedi presenti
sul territorio italiano. Viene istituito per dare la possibilità alle aziende di mi-
gliorare la formazione dei propri lavoratori, attraverso il quale il 40% dei costi di
formazione impiegati dall’azienda vengono pagati dallo Stato per un massimo di
300000 euro per ogni persona.
∗ Patent Box: Questa disposizione prevede un regime opzionale di tassazione
per i redditi derivanti dall’utilizzo di software protetto da copyright, di brevetti
industriali, di disegni e modelli, nonché di processi, formule e informazioni
relativi ad esperienze acquisite nel campo industriale, commerciale o scientifico
giuridicamente tutelabili.
∗ Contratti di sviluppo: SI tratta di un’agevolazione approvata già dal 2008, ma
rinnovata in favore dell’Industria 4.0 nel corso del 2017. La normativa attualmente
in vigore consente la finanziabilità di programmi di sviluppo industriali, compresi
i programmi riguardanti l’attività di trasformazione e commercializzazione di
prodotti agricoli, programmi di sviluppo per la tutela ambientale e programmi
di sviluppo di attività turistiche che possono comprendere programmi destinati
allo sviluppo delle attività commerciali. Nell’ambito dei suddetti programmi, lo
strumento può finanziare, altresì, programmi di ricerca, sviluppo e innovazione
nonché opere infrastrutturali nei limiti previsti dalla normativa di attuazione. I
programmi di sviluppo possono essere realizzati da una o più imprese, italiane o
estere, di qualsiasi dimensione.
Fortunatamente, tornando ai posti di lavoro perduti, per il momento l’Italia ha
registrato un numero pari di posti di lavoro persi e di posti di lavoro guadagnati,
dimostrando di aver retto bene i primi cambiamenti attuati. Purtroppo l’avvento
dell’Industria 4.0 non ha semplicemente portato a migliorie e innovazioni per
le industrie. Per quanto riguarda invece i risultati degli incentivi, questi non
sono stati del tutto positivi. Molte aziende piccole che hanno deciso di investire
in tutti i cambiamenti necessari all’automatizzazione non hanno poi pensato
di utilizzare parte del budget per mettere in sicurezza i propri beni. Questo
ha reso molte industrie suscettibili ad attacchi informatici, facendo correre ai
proprietari il rischio di bloccare interamente la produzione; in alcuni casi il
problema è stato anche pesantemente sottovalutato, prendendo la decisione di
non mettersi in sicurezza nonostante fossero avvenuti attacchi informatici con
successo. Chiaramente questo è un atteggiamento che deve assolutamente essere
cambiato, soprattutto adesso che l’Italia si trova in un periodo di sviluppo
di smart industries, dove i costi per la sicurezza possono essere implementati
gradualmente anzichè in un solo, costoso, momento.8CAPITOLO 2. L’INDUSTRIA 4.0: LA SICUREZZA INFORMATICA TRA IT E OT
2.3 Le smart factories, la base dell’Industria 4.0
Come già accennato al centro di questa nuova rivoluzione industriale sono le smart
factories, industrie altamente automatizzate in grado di gestirsi autonomamente
grazie a un sistema di sensori i cui dati, elaborati dai cosiddetti ICS (Industrial
Control System), vengono utilizzati per regolare l’intera produzione. Per ottenere
questo risultato è stato obbligatorio riuscire a mettere in comunicazione due
sistemi fino a poco tempo fa separati tra loro: il settore IT, addetto alla raccolta
e conservazione di dati sensibili, e quello OT, addetto alla produzione. Grazie a
questa fusione i sistemi di controllo industriale sono in grado di utilizzare i dati
raccolti per i più disparati motivi, leggendo e modificando tutti i macchinari OT.
I tipi di ICS maggiormente utilizzati sono tre: SCADA, DCS, PLC[1]:
– SCADA: "Supervisory Control And Data Acquisition", cioè "controllo di
supervisione e acquisizione dati". Si tratta del tipo di ICS più conosciuto.
Hanno il compito di tenere costantemente sotto controllo i dati ricevuti,
comportandosi di conseguenza a seconda dei risultati registrati mano a mano.
Grazie a questo controllo costante sono in grado di risolvere un possibile
errore compiuto, ma da soli non riescono a difendersi da attacchi esterni.
Normalmente il sistema più utilizzato per connettere un sistema SCADA
a dai macchinari di produzione è il cosiddetto point-to-point, considerato
semplice da implementare in quanto prevede che ogni sistema SCADA si
connetta singolarmente ad ogni altro elemento della rete OT. Il problema
di questa tecnica è la dispendiosità, dovuta al dover ricreare più connessioni
anche nel caso in cui il lavoro compiuto dal macchinario sia identico: la
soluzione è quella di collegare uno SCADA in serie ad altri strumenti, in
modo tale che le regole e i settaggi impartiti vengano poi estesi a tutti i
sistemi a ui collegato. I sistemi SCADA sono considerati i più complessi,
motivo per cui hanno il compito di gestire i livelli più alti di una possibile
rete, collegandosi poi ad altri sistemi ICS, siano essi altri SCADA o di
un0altra tipologia.
– DCS: "Distributed Control System", cioè "Sistema di controllo distribuito".
Si tratta di un sistema utile per rendere più efficace la produzione di più
sistemi di produzione dislocati in zone geografiche differenti. Come i sistemi
SCADA effettua continui controlli sui dati ottenunti per minimizzare gli
errori compiuti, inoltre spesso invia i dati risultanti ai PLC, i quali hanno
poi il compito di eseguire gli ordini.
– PLC: "Programmable Logic Controller" o "Sistema di controllo logico
programmabile". Si tratta del sistema più semplice tra gli ICS, dovuto al
fatto che, una volta programmato, continerà ad eseguire gli ordini assegnati
senza che un normale lavoratore possa modificare il suo compito. Per
funzionare deve essergli affidato un algoritmo, in modo tale che i dati a
lui inviati possano essere interpretati e essere letti secondo regole decise in
precedenza. Normalmente viene impiegato solamente come supporto agli
ICS precedenti, ma ogi tanto può anche essere messo a capo di una rete di
produzione nel caso in cui questa fosse particolarmente limitata. Sono gli
unici a non avere un sistema di controllo centralizzato.
Le odierne smart factories hanno l’obiettivo di sfruttare al meglio questi ICS,
riuscendo a creare un’architettura apposita per permettere a tutti gli elementi2.3. LE SMART FACTORIES, LA BASE DELL’INDUSTRIA 4.0 9
di funzionare in completa sicurezza. Il sistema architetturale più seguito è il
Purdue Model for Control Hierarchy, un modello creato nel 2004 e utilizzato in
seguito come base di questo nuovo tipo di industria. Il PMCH divide ogni settore
all’interno di un’industria o corporazione in cinque aree e sei livelli di operazioni
che permettono il dialogo tra ogni parte. Lo schema assume il seguente aspetto[2]:
Figura 2.1: Purdue Model for Control Hierarchy logical framework
– Level 5 - Enterprise: Questo livello permette la connessione di diversi
sistemi, indipendentemente dalla distanza geografica. Normalmente l’accesso
può avvenire tramite VPN, in modo tale da sopperire la lontananza fisica:
vista la natura problematica di tale accesso è normalmente sconsigliato che
il livello 5 possa accedere a quelli inferiori, rappresentati dai sistemi ICS,
direttamente: per questo viene auspicato l’inserimento di una DMZ che
faccia da ponte coi livelli inferiori.
– Livel 4 -Site Business Planning and Logistics: Anche questo livello
fa parte dell’ area Enterprise. Contiene tutti i piani logistici e organizzativi
di un’azienda e, in quanto tale, viene interamente gestita a livello IT. Come
per il livello superiore non ha direttamente accesso ai piani inferiori se non
per mezzo della DMZ.
– Level 3 - Site Manufacturing Operations and Control: Questo
livello entra nel campo delle ICS: fanno parte di esso tutti i meccanismi
di produzione presenti, dunque coesistono tecnologie IT ed OT. Questo
livello ha la possibilità di comunicare con tutti gli altri presenti nel PMCH,
attraverso DMZ con l’area Enterprise e direttamente con i livelli inferiori.
– Level 2 - Area Supervisory Control: Quest’area possiede tutti i sistemi
a cui gli operatori umani possono accedere per controllare i macchinari: si
parla dunque di interfacce, sistemi di allarme ed eventuali postazioni di
lavoro.
– Level 1 - Basic Control: In questo livello sono presenti tutti i macchinari
che ricevono ordini dai livelli superiori: possiedono un algoritmo in grado10CAPITOLO 2. L’INDUSTRIA 4.0: LA SICUREZZA INFORMATICA TRA IT E OT
di sfruttare i dati e garantiscono l’effettivo funzionamento della catena
produttiva.
– Level 0 - Process: Si tratta di un’area contenente tutti i sensori e gli
strumenti direttamente collegati alla produzione.
– Safety zone: Quest’area non appartiene a nessun livello ed è utile solo nel
momento in cui si verificano dei problemi in grado di mettere la produzione
in pericolo: ne fanno infatti parte tutti i dispositivi che hanno il compito di
riportare i settaggi di tutti i macchinari alla normalità.
Riguardo a questo schema bisogna fare menzione della Zona Demilitarizzata,
altresì abbreviata in DMZ, una zona nella rete considerata esterna alla rete
aziendale, ma contenente informazioni che possono essere richieste dall’esterno:
in questo modo chiunque riesca a entrare all’interno della DMZ può appropriarsi
dei dati (sia che si tratti di personale abilitato sia che si trati di un cyberattacco)
senza però intaccare tutto il resto del sistema. Come si può notare da questa
spiegazione è ovvio vedere che una DMZ presete tra l’area Enterprise e ICS gioca
un ruolo importantissimo all’interno di una smart factory: questa ha infatti il
compito di rendere fruibili i dati dei macchinari di produzione per chi ne ha
bisogno, mantenendo però le strumentazioni vere e proprie lontane da eventuali
attcchi. La Zona Demilitarizzata viene creata grazie all’implementazione di due
firewall: uno che regola il contatto tra area Enterprise e DMZ e uno che regola il
contatto tra il livello 3 e la suddetta DMZ, come si può notare nell’immagine
seguente[2].
Figura 2.2: PMCH: Implementazione ottimale DMZ tra aree Enterprise e ICS2.4. SICUREZZA IT: SCOPI E UTILIZZI 11
Altri accorgimenti per un’architettura ottimale sono l’inserimento, all’interno
della zona Enterprise, di alcuni Database difesi da un firewall dedicato, in grado
di rendere i dati sensibili difficili da recuperare. Lo stesso ragionamento viene
dedicato nel livello 3 a un’area interamente dedicata alla zona di monitoraggio
della produzione. Un sistema ben progettato deve non solo tenere conto non solo
di un’eventuale sicurezza IT e OT separata per difendere i dati in suo possesso,
ma anche fare fronte all’integrazione, ottenuta grazie agli ICS, di entrambi i
settori all’interno dell’industria. Di seguito vedremo la differenza tra la difesa IT,
riguardante la protezione dei dati, contro la sicurezza OT, riguardante la difesa
dei macchinari di produzione.
2.4 Sicurezza IT: scopi e utilizzi
La sicurezza IT è il tipo di sicurezza più conosciuta in tutto il mondo, visto e
considerato che è anche quella che più tocca il comune utilizzatore di strumenti
informatici. Come suggerisce il nome, Informational Technology, questa si presta
alla protezione dei dati inseriti nei dispositivi, divenuti sempre più importanti non
solo per le faccende di privacy legate ai privati, ma anche a tutte le informazioni
secondarie che si possono estrapolare dai database delle aziende, più o meno
grandi che siano. Per raggiungere i propri scopi si opera normalmente su due
livelli:
– Sicurezza fisica: Questo livello di sicurezza riguarda prettamente le difese
pratiche, atte a mantenere i dati in un luogo sicuro e difficilmente raggiungi-
bile all’interno all’azienda. Data la naturo del tirocinio e del corso di laurea
non sono state prese in considerazione nonostante siano state studiate.
– Sicurezza logica: Anche chiamata "Sicurezza attiva", comprende tutte le
soluzioni atte a difendere i dati da attacchi informatici. Queste possono essere
sia di tipo hardware che software e devono garantire tre punti fondamentali:
confidenzialità, integrità e sicurezza.
2.5 Sicurezza OT: scopi e utilizzi
La sicurezza OT sta ottenendo moltissimi incentivi con la tendenza dell’industria
4.0 di mettere in rete i macchinari di produzione. Questo costante tentativo di
automatizzazione ha reso necessario tenere sotto controllo tutti gli ICS, in modo
tale che eventuali attacchi provenienti dall’esterno vengano fermati sul nascere.
Del resto un attacco al settore OT di un’azienda può portare a numerosi danni
per l’industria, in quanto potrebbe non solo compromettere l’intera produzione,
ma anche mettere in pericolo di vita chi lavora sul posto. Ne segue dunque che
tutto il sistema ICS, seguendo le giuste decisioni architetturali, sia ancor più
importante da proteggere rispetto a tutta la componente IT di una possibile
azienda.12CAPITOLO 2. L’INDUSTRIA 4.0: LA SICUREZZA INFORMATICA TRA IT E OT
2.6 Differenze tra sicurezza OT e IT
Storicamente sicurezza IT e OT sono sempre state trattate differentemente vista
la natura molto diversa di entrambe[4]: da un lato la difesa dei dati, in costante
pericolo da attacchi informatici, dall’altra la difesa dei macchinari, non necessa-
riamente in rete e con meccanismi diversi tra loro. Questo vuol dire che, nella
sicurezza OT, alcuni macchinari non avevano nemmeno bisogno di difese poichè
non potevano essere soggetti ad attacchi, senza contare che i protocolli di comuni-
cazione tra componenti automatizzati erano completamente diversi dai protocolli
sfruttati nel settore IT e non permettevano dunque alcuna comunicazione tra le
due parti. Tutto è però cambiato con il processo di automazione ottenuto tramite
l’Industria 4.0: visto che tutti gli elementi OT hanno iniziato a essere connessi
a una rete, la stessa di cui fa parte il settore IT, e a utilizzare dati provenienti
da altri strumenti è stato obbligatorio cercare di far convergere tra di loro i due
settori. Un pratico esempio è stato l’utilizzo del protocollo TCP/IP, normalmente
appannaggio della sola Informational Technology, aggiunta invece anche alla
Operational. Questi cambiamenti hanno chiaramente portato numerosi benefici
alle aziende che li hanno adottati, se non fosse che si sono create così anche
numerosissime falle nella sicurezza: come detto prima infatti alcuni macchinari,
non potendo essere raggiunti, non necessitavano di difese, inoltre l’utilizzo di
protocolli appartenenti al settore IT ha reso il settore della produzione suscettibile
ad attacchi informatici che prima non potevano essere portati avanti. Per ovviare
a questa situazione si è deciso di adottare delle difese simili tra le due parti,
le quali vengono però gestite con priorità differenti, come si può notare dalla
seguente tabella[1]:2.6. DIFFERENZE TRA SICUREZZA OT E IT 13
Figura 2.3: Differenze tra sicurezza IT e OT
Alla luce dei dati presenti nella tabella, le differenza tra sicurezza IT e OT si
possono riassumere come segue:
– Sicurezza IT: Per questo settore la confidenzialità dei dati protetti viene
prima di ogni altra cosa: nessuno deve avere accesso alle informazioni senza
adeguati permessi, così che la disponibilità dei dati sia il più minimizzata
possibile. Tutto questo deve essere progettato tenendo conto di un’integrità
soddisfacente del sistema, in modo che esso si presenti solido ed utilizzabile.
– Sicurezza OT: A differenza della sua controparte la sicurezza OT deve
mantenere una disponibilità alta: chiunque ne abbia la possibilità deve poter
operare e dare ordini alle macchine in modo che esse possano funzionare al
meglio. Questo modifica la scala delle priorità, portando all’ultimo posto la
confidenzialità: che un malintenzionato possa vedere i dati della produzione
è accettabile, l’importante è che ogni strumento continui a funzionare nella14CAPITOLO 2. L’INDUSTRIA 4.0: LA SICUREZZA INFORMATICA TRA IT E OT
giusta maniera, senza intaccare la produzione o la sicurezza dei lavoratori.
Ovviamente anche qui risulta importante la creazione di un sistema che si
possa definire sicuro ed affidabile.Capitolo 3
Reti aziendali
Il primo passo fatto durante il periodo di tirocinio è stato quello di comprendere
il funzionamento delle reti tipicamente utilizzate all’interno di un’industria. Lo
studio e la simulazione della rete hanno permesso di comprendere al meglio il
funzionamento di una vera industria.
3.1 Scopo e importanza
Al giorno d’oggi praticamente ogni azienda ha bisogno di creare una propria rete
di comunicazione informatica, in modo da poter mettere in comunione dati e
prendere decisioni con maggiore facilità. Questa affermazione diventa ancora
più importante nel momento in cui parliamo di vere e proprie smart factories,
visto e considerato che la rete deve necessariamente essere ampliata per tenere
conto di tutti i dispositivi presenti all’interno dell’edificio. La rete inoltre deve
tenere conto di numerose specifiche, in modo tale da venire incontro a tutte le
esigenze di ogni settore presente all’interno dell’azienda. Un esempio può essere
una divisione tra parte IT e OT, ma in realtà potrebbe anche essere che per i
dipendendti sia necessario garantire alcuni permessi che degli eventuali ospiti
non dovrebbero avere. Ne consegue che la creazione di una rete informatica
solida e bene organizzata è necessaria per un qualsivoglia ambiente lavorativo,
indipendentemente dal numero di lavoratori che lo compongono.
3.1.1 Strumenti di lavoro
Per poter sviluppare al meglio la rete sono stati utilizzati molti strumenti di
lavoro esterni alla rete in sè. Qui di seguito vengono elencati quelli utilizzati:
– PfSense: si tratta di un software in grado di manovrare un firewall. Il
software risulta essere uno dei pià avanzati per essere gratuito e, oltre alla
possibilità di scrivere moltissime regole, presenta la possibilità di essere
implementato con molti altri plug-in, alcuni dei quali verranno presentati
più avanti.
– VirtualBox: Nel corso del lavoro è stato necessario utilizzare un grande
numero di software, in alcuni casi anche pià di un sistema operativo. A
1516 CAPITOLO 3. RETI AZIENDALI
questo bisogno è stato utilizzato VirtualBox, un software in grado di ricreare
ambienti virtuali multipli, facendo in modo di sopperire alla mancanza
di elementi hardware. Nell specifico VirtualBox è servito per utilizzare,
nonostante l’ambiente nativo Windows del computer, sistemi operativi quali
Ubuntu e Kali Linux. Inoltre è stato utilizzato inizialmente per poter
operare su PfSense, in modo tale da poter poi attivare Web User Interface.
La parte più interessante riguardante l’utilizzo di VirtualBox sono state
sicuramente le impostazioni di rete, in modo tale che anche le macchine
virtuali potessero essere collegate alla rete aziendale : è bastato impostare
un bridge di rete, ossia creare una sorta di espansione virtuale della normale
scheda di rete della macchina su cui VirtualBox è stata installata; in questo
modo l’espansione virtuale finisce con il trattare anche la macchina virtuale
come un computer fisico, facendo comparire in rete il sistema operativo.
3.2 La rete aziendale sviluppata in sede
Grazie a Synclab è stato possibile configurare una rete aziendale ad hoc per il
tirocinio. Lo sviluppo della rete è avvenuta definendo prima di tutto uno schema
contenente tutto ciò di cui un’azienda potrebbe necessitare al suo interno, schema
che è stato configurato come segue: Il risultato, come si può vedere dall’immagine,
Figura 3.1: Schema di una rete aziendale
è stato quello di una rete articolata nel seguente modo:
– Firewall: Ogni tipo di pacchetto dati proveniente dalla rete esterna deve
prima di tutto passare attraverso un firewall, nel nostro caso gestito at-
traverso PfSense. Questo strumento hardware è il principale elemente di
filtraggio e difesa dei dati, sia che essi vadano dall’esterno all’interno sia
viceversa.
– Switch principale: Il firewall invia tutti i pacchetti dati accettati a un
switch, il quale si occupa di smistare i dati, ricevuti come un unico trunk,
verso la corretta destinazione.3.2. LA RETE AZIENDALE SVILUPPATA IN SEDE 17
– Switch secondari: Questi switch ricevono dati dallo switch principale,
così da poterli inviare al dispositivo che li ha richiesti. In totale ne sono
stati inseriti 5: uno per la DMZ, uno per gli uffici, uno per il settore di
produzione, uno per eventuali ospiti dell’azienda e, infine, uno dedicato ai
magazzini.
– Router wifi: Per alcune zone dell’azienda, ossia la zona per gli ospiti e la
parte degli uffici, è stato predisposto un collegamento wifi per permettere
l’accesso a internet agli ospiti, ma anche per sveltire alcune azioni all’interno
degli uffici dell’azienda. Lo switch wifi è utile in quanto può stabilire alcune
differenze all’interno della navigazione internet, elemento importante visto
che, anche nella zona ospiti, potrebbe connettersi anche qualche eventuale
malintenzionati.
Ovviamente non è stata utilizzata tutta la configurazione appena descritta in
quanto alcune zone rappresenterebbero ripetizioni tra di loro: essendosi trattato
di uno studio si è preferito sviluppare unicamente le zone utilizzate all’interno del
lavoro svolto. L’azienda ha fornito alcuni strumentazioni hardware per montare
fisicamente la rete: due computer atti alla simulazione dell’ambiente degli uffici e
del settore di produzione, senza contare un firewall (sul quale è stato installato il
software PfSense) e alcuni switch per poter simulare il collegamento tra switch
principale e secondario. Di seguito verranno descritti i passi compiuti verso la
configurazione della rete, la quale pu esser semplificata dal seguente schema:
Figura 3.2: Schermata della rete sviluppata in sede
3.2.1 Definizione della rete
La prima azione compiuta è stata quella di capire cosa ricreare all’interno della
rete aziendale sviluppata nei primi giorni. Visto l’obiettivo della tesi è stato
creato il seguente schema:
– Firewall: Il firewall, su cui è stato installato PfSense, ha il compito di
difendere la rete da eventuali attacchi, monitorando costantemente il siste-
ma informatico creato e, eventualmente, bloccare intrusioni o accadimenti
dannosi.18 CAPITOLO 3. RETI AZIENDALI
– Uffici: Uno dei computer forniti dall’azienda è stato assegnato al settore
uffici, sul quale sono stati assegnate difese tipiche del settore IT.
– Sala Macchine: Il secondo computer ha l’obbiettivo di ricreare un’ipotetica
sala macchine, sulla quale sono state studiate difese tipiche del settore OT.
Purtroppo l’azienda non ha potuto fornire macchinari in grado di necessitare
di una difesa di questo genere, dunque la maggior parte degli attacchi
apportati a questa rete sono stati ripresi da quelli effettuati sul settore
IT, cosiderando dunque il protocollo TCP/IP, ormai comune a entrambi i
settori.
– Admin: Rispetto alla rete originale è stata creata una corsia preferenziale
per chi deve lavorare direttamente alle difese. Gli indirizzi IP legati a questo
insieme sono gli unici a poter accedere, previo inserimento di username e
password, alle impostazioni del firewall.
– Switch: Durante il corso del tirocinio sono stati utilizzati due diverse tipolo-
gie di switch, ossia strumenti in gradi di dividere il traffico di pacchetti verso
la corretta destinazione. Il primo è stato uno switch di tipo unmanaged, sul
quale è stato fatto il seguente esperimento: facendogli ricevere un intero
trunk di dati ogni sottorete collegata ad esso doveva leggere solamente i
pacchetti riguardanti l propria VLAN. Visti gli scarsi risultati, e la secon-
darietà dell’obbiettivo, si è deciso di passare a uno switch più avanzanto,
per l’appunto il managed switch: questi strumenti sono in grado di settare
le proprie porte con maggiore facilità, in particolare riuscendo a discernere
quali VLAN possono essere inviate a certe porte.
Nonostante le strumentazioni utilizzate siano limitate come numero è stato
utilizato un sistema di VLAN per simulare e gestire la presenza di più macchinari
collegati alla rete. In questo modo lo switch riceve i dati in un unico trunk,
riuscendo però a capire a quale dispositivo inviare i pacchetti dati ricevuti.
3.2.2 Indirizzi IP
Gli indirizzi IP sono l’elemento che permette a chiunque di navigare all’interno
della rete. Ogni sito, ogni computer collegato alla rete, possiede un proprio
indirizzo che gli permette di essere raggiunto. Esistono due indirizzi IP:
– Il primo tipo ad essere stato sviluppato è l’IPv4, formato da quattro ottetti
il cui valore può variare tra o e 255: ogni possibile formato è caratterizzato
da un ben preciso formato numerico dato dai tutti e quattro gli ottetti. Per
non esaurire questi ottetti è possibile creare delle sottoreti attraverso le
quali gli indirizzi IP possono essere riutilizzati.
– Il seconod tipo di indirizzo IP sono invece gli IPv6, nati nel momento in
cui la quantita di dispositivi in rete aveva iniziato a rendere difficoltoso
l’utilizzo del solo IPv4. Nonostante si possa considerare una vera e propria
evoluzione dell’IPv4, del resto utilizza 128 bit per l’indirizzamento contro
solamente 32, l’IPv6 è stato utilizzato unicamente per i livelli alti della rete
, dove un numero di indirizzi è davvero necessario. Per reti aziendali e simili
è ancora normale fare uso dell’IPv4.
Configurare gli indirizzi IP non è stato semplice: prima di tutto è stato fatto un
lavoro per cercare di uscire da quelli che sono considerati gli schemi di default in3.2. LA RETE AZIENDALE SVILUPPATA IN SEDE 19
ogni situazione possibile; un secondo importante principio ha imposto l’obbligo di
considerare sempre l’eventualità che l’azienda possa allargarsi, indipendentemente
dalle premesse da cui si vuole partire. Ogni settore neccessita dunque di una serie
di indirizzi IP molto maggiore rispetto a quanto necessario, quindi ho deciso di
assegnare gli indirizzi partendo dal terzo ottetto, in modo tale da poter calcolare
un eventuale espansione. L’ottetto assegnato, per comodità, è stato scelto come
multiplo di 24, in modo tale che in caso possano essere aggiunti numerosi inidirizzi
ad ogni settore, ossia tutti quelli che vanno dal numero di partenza fino al multiplo
successivo; a questa decisione è stata fatta un’eccezione per gli admin: essi hanno
indirizzo 192.168.10.x, con x compreso tra 0 e 255 e terzo ottetto non modificabile,
visto e considerato che il numero di persone addetta a questo lavoro sarà sempre
contenuto. Ogni indirizzo viene infinie assegnato dinamicamente, in modo tale
da non poter esaurire facilmente il numero di inidirizzi assegnati ad ogni settore.
3.2.3 DNS
Il Domain Name System è un database distribuito che ha il compito di semplificare
la ricerca degli indirizzi IP nell rete. Per funzionare bisogna prima di tutto
registrare al suo interno gli indirizzi IP, in modo tale che ad ognuno venga
associato un nome. In questo modo se cerchiamo su internet il nome di un sito il
browser va a controllare il database DNS a cui fa riferimento, in modo tale da
trovare il nome del sito e risalire al corretto indirizzo IP. I database DNS sono
molteplici e, tolti alcuni di pubblici molto conosciuti, come ad esempio quello di
Google (raggiungibile agli indirizzi 8.8.8.8 e 8.8.4.4), altri possono anche essere
privati.
3.2.4 Accesso alle impostazioni
Come accennato prima è stato importante fare in modo che non tutti potessere
accedere alla configurazione del firewall. Per riuscire a ottenere questo risultato
è stata prima di tutta inserita una VLAN apposta per gli admin, in modo tale
da dare l’accesso solo a un numero ristretto di utenti. Per rendere le cose più
complicate in caso di attacco è stato aggiunto come precauzione un controllo
dell’indirizzo MAC del dispositivo che vuole connettersi al firewall. In questo
modo chi vuole entrare deve non solo trovare il giusto indirizzo, ma anche
appropriarsi del MAC di chi può accedere a quell’esatto indirizzo, senza contare
uno username e una password per ogni indirizzo differente. Username e password
diversificati sono anche stati inseriti come controllo in caso di modifiche errate
alle difese: in questo modo si può sapere quale admin è entrato a compiere le
ultime modifiche, in modo tale da capire se sono fatte correttamente o meno.
3.2.5 Regole
Attraverso PfSense è possibile configurare una serie di regole in grado di dare
permessi o vietare azioni a qualunque elemento presente all’interno della rete o
che comunque vuole comunicare con essa. In sede di tirocinio sono stati valutati
due approcci: il primo prevede di dare ad ogni elemento piena libertà di azione,
salvo negare ciò che esso non deve poter fare; il secondo approccio è invece l’esatto20 CAPITOLO 3. RETI AZIENDALI
contrario, in quanto nega ogni interazione di un elemento col resto della rete,
dando poi permessi mirati riguardo al ruolo che gioca all’interno della rete. Per
entrambi sono stati testate le seguenti regole:
– Possibilità di connettersi a internet;
– Possibilità di connettersi a un determinato sito;
– Possibilità di accedere o meno alle impostazioni del firewall;
– Possibilità o meno di comunicare con tutti o alcuni membri della rete.
Di fronte a queste configurazioni è stato chiaro fin da subito come l’approccio
ottimale, soprattutto per un novizio, sia il secondo: partire bloccando a prescin-
dere ogni forma di comunicazione fa in modo che il sistema sia di base più difeso,
permettendo dunque di creare dei permessi ragionati e mirati volta dopo volta.
3.2.6 Certificati digitali
Negli ultimi anni è sempre più comune incorrere, navigando in rete, in siti il cui
indirizzo inizia con la dicitura https anzichè http. Questo è dovuto a una nuova
forma di difesa che sfrutta i cosiddetti certificati digitali, i quali permettono
di creare una via di comunicazione sicura tra chi comunica con un sito e il
sito stesso, riuscendo a criptare i dati in modo tale che solo i due comunicanti
sappiano decrittarli. Per ottenere questo certificato basta creare due certificati,
uno privato e uno pubblico: la parte privata sarà in gradi di tradurre i dati
criptati attraverso le informazioni contenute nella parte pubblica. Dunque ogni
volta che viene effettuata una connessione l’utente cripta attraverso la cossiddetta
chiave pubblica i pacchetti da mettere in rete, così che solamente il ricevete,
tramite la chiave privata, ha la possibilità di tradurre e verificare le informazioni;
questo procedimente avviene poi viceversa in caso di risposta. Questo sistema
si è dimostrato molto utile per superare alcuni attacchi di tipo MITM motivo
per cui è stato implementato anche all’interno del firewall grazie all’ausilio di
PfSense. Un ulteriore grado di sicurezza, non attuato nella pratica, è quello di
registrare presso enti appositi il proprio certificato, in modo tale che questo venga
considerato sicuro da parte della maggior parte dei browser esistenti.
3.2.7 VPN
Uno studio interessante è stata la configurazione della cosiddetta VPN, detta
anche Virtual Private Network. La VPN permette infatti la comuincazione
attraverso remoto di due dispositivi, in modo tale da poter operare anche se
impossibilitati a trovarsi sul loco. Per la corretta configurazione è stato installato
su un pc admin il software OpenVPN, attraverso il quale è possibile creare
una comunicazione diretta e privata tra il dispositivo in questione e il firewall.
Tale pratica può essere utile, ma deve comunque essere utilizzata solo in casi
particolari: se qualcuno riuscisse infatti ad appropiarsi dei dati riguardanti la
VPN sarebbe possibile superare le difese del firewall, collegandosi direttamente
con la rete. Per il corretto funzionamento del sistema è inoltre necessario inserire
un permesso all’interno del firewall per un determinato indirizzo entrante. Queste
impostazioni sono state testate solamente nell’ambiente protetto dell’azienda,
visto e considerato che una connessione del genere veniva altrimenti rifiutate
dalle difese di Synclab.3.2. LA RETE AZIENDALE SVILUPPATA IN SEDE 21
3.2.8 URL Redirector
Uno degli studi efettuati all’interno di PfSense è stato lo sfruttamento del software
proxy Squidguard, un tool molto utile con il quale è possibile ridirezionare in
maniera semplice ed efficace non solo singoli URL, ma anche interi server di
essi. Questo tool è stato molto utile ad ovviare alcuni problemi registrati con
certi siti i quali, disponendo di più indirizzi IP, riuscivano di volta in volta a
superare alcune regole impostate ad hoc per fermarli. Il procedimento è molto
semplice: una volta deciso un URL su cui ridirezionare chi cerca di inserirsi in
un determinato indirizzo IP è possibile assegare a tale azione uno o più URL,
facendo riferimeno sia ad indirizzi fisici che a eventuali nomi inseriti per sfruttare
il DNS. All’interno di PfSense Squidgard è stato testato con successo su molti
siti, alcuni dei quali impostati per modificare periodicamente i propri indirizzi IP.
3.2.9 IDS e IPS
Come già mostrato in precedenza un firewall utilizza spesso una serie di regole
per difendere il sistema da evetuali intrusioni. Proprio a questo scopo sono
stati ideati i cosiddetti IDS, O Intrusion Detection System. Trattasi di sistemi
in grado di fare riferimento a un database comune, in maniera tale che ogni
problematica riscontrata da un membro possa essere sfruttata per difendere la
rete di tutto il resto dell’utenza. Nel caso del sistema creato è stato installa su
PfSense SNORT, un software in grado di svolgere esattamente questo compito.
Le funzioni installate sono state quelle gratuite, ma comunque permettono di
individuare con facilità eventuali attacchi esterni. SNORT infatti permette al
firewall di connettersi a un proprio database, all’interno del quale sono salvate
regole create, nel corso degli anni, da tutta l’utenza che ha utilizzato il software:
ogni regola rientra dentro a delle macrocategorie che vanno a indicare quanto una
regola possa essere restrittiva il sistema (l’utente può sia attivare che bloccare
delle regole a propria scelta, come anche accettare o meno un set preimpostato a
seconda delle esigenze). Gli IDS inoltre hanno il compito di stilare periodicamente
una serie di log attraverso i quali avvisano l’utilizzatore di evetuali tentativi
di intrusione all’interno della rete. Ma SNORT non si limita unicamente a
riconoscere gli attacchi, besì in molti casi anche a fermarli: questo avviene perchè
può essere impostato come IPS, ossia Intrusion Prevention System, ossia u sistema
che, oltre a riconoscere gli attacchi non esita a bloccarli per il bene del sistema.
SNORT è stato perfettamente integrato con PfSense, inoltre i log possono essere
gestiti molto bene sfruttando eventuali software: per esempio attraverso l’uso di
Kibana o altri software online è possibile stilare una serie di grafici riguardanti
i risultati salvati dall’IDS (o IPS ), in modo da poter monitorare in maniera
efficace la situazione della propria rete. Oltre a SNORT è stato utilizzato anche
Suricata, un sistema rivale con le stesse funzionalità. In questo modo è stato
possibile fare dei paragoni, al termine del quale si è preferito continuare a lavorare
attraverso SNORT: i due IDS sono infatti molto simili sotto ogni punto di vista,
con la differenza che SNORT è stato implementato meglio per gestire un firewall
layer 7 con maggiore facilità, mentre Suricata è più efficiente nel far lavorare i
propri processi in parallelo, risultando in un minore impatto per il computer su
cui lavora. L’unico problema riguardante questi sistemi è che, visti i continui
aggiornamenti e la consistente mole di dati che vedono trasferiti con il database
online, ogni tanto può accadere che la memoria del firewall possa esaurirsi: laPuoi anche leggere
