Cyber Security: monitoraggio della rete
Siamo arrivati alla fine di questa serie di articoli sulla Cyber Security. Una guida semplice per chi sta cominciando ad approcciarsi alla sicurezza informatica e per chi vuole individuare, una sorta di promemoria, su come adottare la sicurezza.
In questo articolo parliamo del monitoraggio della rete nella Cyber Security.
Il monitoraggio della rete è la fase finale di un processo che è partito da una base solida quale la gestione della password ed è cresciuto salendo di livello e complessità. Il monitoraggio della rete è quel processo che ci dirà se abbiamo operato bene: finalmente abbiamo raggiunto un adeguato livello di sicurezza dopo aver seguito semplici e chiare indicazioni.
Abbiamo suddiviso il nostro processo di analisi in Cyber Security in cinque fasi:
Nella prima fase c’è l’analisi dello stato di fatto, quindi com’è composta la nostra rete internet, il pc che abbiamo e se è aggiornato, i programmi che usiamo e (non meno importante) la password.
Nella seconda fase analizziamo i sistemi hardware per la sicurezza della rete, quindi i firewall, compresi quelli incorporati nei router ed i “Domini”. Il più diffuso è Windows Server.
Nella terza fase invece prendiamo in considerazione i sistemi software per la sicurezza informatica, quindi programmi come il firewall integrato di Windows o di Mac OS o programmi di terze parti.
Nella quarta fase facciamo una check list sulle buone norme, perché è inutile avere protezione da 10 e lode se poi lasciamo la password scritta sul post-it attaccato al monitor.
Quindi giungiamo con questo nuovo articolo l’ultima fase: il monitoraggio appunto.
Il monitoraggio della rete sembra più una roba da spie, da film anni 90 sugli hacker dove un ragazzetto sbarbato che smanetta davanti al pc riesce a “bucare” i server della NASA e dell’FBI e magari pure quello dell’Agenzia delle Entrate…ma no! Il monitoraggio della rete si può fare senza grandi strumenti, sono sufficienti piccoli software ed in numero ridotto di 1-2 al massimo.
La prima modalità è: monitorare la rete utilizzando il proprio router! Si, proprio così!
Per accedere al router basta digitare sul browser, nella barra dell’indirizzo dove c’è sempre il famoso www, questa sequenza di numeri che in genere è utilizzata per i router domestici o nei piccoli uffici: 192.168.1.1 e premere Invio.
Si aprirà la maschera del router dove ci chiede Utente e Password per accedere. E se non li chiede?!? Bel problema!! La prima cosa da fare quindi è accedere al router ed andare ad impostare un utente e password che non sia di livello amministrativo, così se magari dovessero trovare la nostra password allora il danno è sempre più contenuto.
Nei router attuali è facile avere un riepilogo delle periferiche connesse alla propria rete, quindi che siano wifi o cablati vedremo tutti gli apparecchi connessi. Dai nomi potremo capire cosa sono (PC, smartphone, TV, ecc) e se c’è qualcosa che non va, per esempio un apparecchio sconosciuto, basta bloccare l’accesso a quello specifico apparecchio bloccando il suo indirizzo MAC.
Piccola precisazione: l’indirizzo MAC è un indirizzo univoco nel mondo, viene generato su ogni scheda che offra connettività (rj45, wifi, bluetooth), e non esistono 2 apparecchi che hanno lo stesso indirizzo MAC in tutto il mondo.
Il nostro router ci da molte informazioni, ci dice quali sono gli apparecchi collegati alla rete cablata, quelli che usano il wifi distinguendo quelli che usano il wifi a 2,4GHz oppure a 5GHz, se il nostro router è predisposto per la rete a 5GHz.
Tra le informazioni che ci vengono fornite dal router c’è anche l’elenco delle porte aperte (port forwarding) così da sapere se ci sono servizi, e quali sono, che hanno una “strada preferenziale” per uscire su internet.
Se non abbiamo mai impostato alcuno di questi servizi è bene annotare la configurazione e poi disattivare un servizio alla volta per verificare se si blocca qualcosa nell’utilizzo quotidiano. In questo caso abbiamo trovato un servizio inutile e potenzialmente pericolo quindi abbiamo fatto bene a disattivarlo oppure abbiamo problemi a navigare o a qualche apparecchio interno; magari il DVR della Videosorveglianza non va e dobbiamo ripristinarlo.
Un altro modo di operare è: Wireshark!
Un altro metodo per il monitoraggio della rete, che consiglio vivamente, è utilizzare un software installato su un pc che non viene utilizzato da nessun altro e solo per questo scopo. Quindi installare il software Wireshark ed avviarlo. Lo si può trovare a questo link.
Il software è in inglese ed è un po’ complesso ma fornisce molte informazioni e ci permette di analizzare in modo approfondito il traffico che esiste sulla nostra rete.
Conoscendo già gli indirizzi IP degli apparecchi connessi alla rete, perché li abbiamo letti sul router come descritto nel metodo di prima o perché abbiamo la lista fatta da noi avendo deciso quali IP statici assegnare, possiamo seguire l’apparecchio in tutti i suoi scambi sulla rete analizzando ogni singolo pacchetto in entrata ed in uscita. Saremo quindi in grado di sapere quale applicazione si connette in uscita, e con chi, ed anche da quale applicazione riceviamo dati.
Consiglio sempre di cominciare col pc dove si installa Wireshark così da essere sicuri che non sia una macchina infetta o problematica e che non generi traffico che possa confonderci o falsare i dati.
Ti è piaciuta questa serie di articoli? Condividila con i tuoi amici per far sapere loro che hai a cuore la loro sicurezza. Suggerisci questo articolo sui social.
Per commentarlo usa il gruppo Facebook della Sicurarmor dove puoi trovare consigli utili.