Il Layer 7, lo strato di applicazione del Modello OSI (Open System Interconnection), supporta applicazioni e processi dell'utente finale, come HTTP e SMTP. Gli attacchi a questo strato rappresentano un'impegnativa sfida per la sicurezza in quanto il codice maligno può celarsi dietro una valida richiesta del client o normali dati di un'applicazione.
Per esempio, un firewall di rete standard permette soltanto il traffico HTTP sulla porta 80 TCP, ma è vulnerabile agli attacchi SQL injection che possono avvenire attraverso una valida richiesta HTTP. Lo spyware, dal canto suo, può avviare un canale di comunicazione che usa un protocollo diverso dall'HTTP verso un server esterno in ascolto sulla porta 80. Ciò significa che le tecnologie tradizionali per la difesa del perimetro, quali il filtraggio del pacchetto e il controllo degli eventi, non sono più sufficienti perché non riescono a identificare le richieste e i dati maligni.
Così nella guerra contro gli attacchi Layer 7, la scelta deve cadere sui firewall che forniscono filtraggio a livello dello strato dell'applicazione.
Minacce esterne
Rispetto ai firewall tradizionali, questi
dispositivi forniscono sicuramente migliori capacità di filtraggio dei
contenuti. Sono in grado di esaminare il contenuto informativo di un pacchetto e
di prendere le decisioni basandosi su tale contenuto.
Ciò significa che i sistemi di filtraggio dello strato dell'applicazione possono consentire o negare richieste specifiche o comandi dell'applicazione stessa, fornendo un grado ben più elevato di controllo sul traffico della rete.
Per esempio, possono permettere o negare un comando ricevuto da un utente particolare attraverso Telnet, mentre altri firewall possono controllare soltanto le richieste generali inviate da un host particolare. Molti firewall di dello strato dell'applicazione consentono di generare filtri per intercettare, analizzare o modificare il traffico specifico di una rete.
Questa peculiarità aggiunta rende più facile proteggere gli asset strategici dagli attacchi allo strato dell'applicazione, poiché possono essere generate delle regole per bloccare determinati tipi di traffico anche se il traffico maligno sta usando “una porta consentita”. Ciò non solo contrasta attacchi a obiettivi specifici, ma anche quelli casuali di virus e worm, persino quando non è ancora stata individuata una segnature specifica per quell'attacco.
Minacce interne
Ma le minacce esterne non sono l'unica preoccupazione di
un'organizzazione; esistono anche minacce interne che possono viaggiare attraverso il Layer 7.
I sistemi di filtraggio dello strato dell'applicazione possono non
solo autenticare direttamente gli utenti, ma possono anche essere utilizzati
per implementare regole di policy di sicurezza per osservare, analizzare,
bloccare, reindirizzare o modificare il traffico. Ciò impedisce azioni involontarie
o nocive dei dipendenti. Per esempio, potete configurare un filtro dello strato
dell'applicazione per impedire ai dipendenti della vostra azienda di scaricare
programmi dannosi da Internet o per bloccare il servizio di scambio di file
peer-to-peer
Spesso viene sottovalutato un aspetto importante delle possibilità offerte dall'approfondito controllo del pacchetto che è effettuato dai sistemi per il filtraggio dello strato dell'applicazione: grazie alla capacità di andare oltre gli indirizzi e le porte per esaminare tutti i pacchetti che transitano sulla rete, possono produrre log molto dettagliati. Questi log forniscono informazioni molto utili quando si ha a che fare con incidenti di sicurezza o si devono implementare delle policy. Inoltre, spesso permettono di ottenere dati che avvertono di attacchi imminenti o attuali.
Nonostante i firewall dello strato dell'applicazione possano analizzare e bloccare il traffico maligno, questi dispositivi sono molto costosi e più lenti rispetto ai device di base della rete. Non avrebbe perciò senso e non sarebbe nemmeno pratico disseminare firewall di application layer da un capo all'altro del vostro network ovunque dobbiate collegare i dispositivi ed i segmenti della LAN.
Invece, la sicurezza dello switch di rete può svolgere un ruolo importante nel controllare quali dispositivi possono essere collegati e cosa possono vedere sulla rete. Gli switch sono tradizionalmente dispositivi Layer 2 e controllano l'accesso iniziale di un device alla rete. Possono anche essere usati per dar vita alle virtual local area network (VLAN) che forniscono performance, il controllo del traffico di broadcast e dipartimentale e una suddivisione in cluster. Su alcuni swirtch è inoltre disponibile la sicurezza a livello di porta: questo è un ottimo sistema per definire esattamente quanti e quali dispositivi possono collegarsi alle singole porte del vostro switch, impedendo ai cracker di attaccare gli access point wireless e di eludere le vostre policy di sicurezza.
Anche se la sicurezza degli switch può essere molto laboriosa e richiede una gestione costante, rappresenta un importante elemento nella costruzione di un'approfondita difesa volta a proteggere le vostre applicazioni di rete.
Usati insieme, switch e firewall dello strato dell'applicazione sono dispositivi chiave nel Layer 7, ma ricordate di stabilire quale grado di sicurezza potete raggiungere con la vostra difesa. Il phishing e gli attacchi di social engineering potranno ancora aggirare le vostre misure di sicurezza software e hardware. Questo significa che, indipendentemente da tutti gli sforzi che avete messo in atto per assicurare la sicurezza delle informazioni, la vostra ultima linea di difesa per il Layer 7 è la consapevolezza della sicurezza di cui sono in possesso i dipendenti della vostra azienda.
