- Home
- Osservatorio della rete
- BYOD: occhio alla sicurezza
BYOD: occhio alla sicurezza
| Simona Venuti | osservatorio della rete
Ecco come fare per evitare che gli utenti, oltre al proprio dispositivo,
portino con sé anche rischi per la sicurezza
Negli ultimi anni c’è stata una sempre maggiore diffusione di device mobili alla portata di tutti con grandi capacità di connettività, visualizzazione ed elaborazione dati. D'altra parte, le istituzioni hanno negli ultimi anni potenziato di molto la propria offerta di connettività Wi-Fi, inizialmente destinata agli ospiti in visita, ma che poi si è allargata anche ai residenti.
Si assiste così ad un fenomeno tutto nuovo, per cui l'organizzazione garantisce un servizio di rete wireless e le singole persone utilizzano per lo più i propri dispositivi per collegarsi alla stessa rete, considerando che mediamente ne possiedono almeno tre.Questo fenomeno si chiama BYOD, Bring Your Own Device.
La prima cosa da fare è impedire l'accesso anonimo alla rete. Ecco 4 buoni consigli.
In alcuni casi è una politica istituzionale voluta: il BYOD permette, infatti, all'organizzazione di risparmiare sui costi dell'hardware per i propri docenti, ricercatori o studenti. Ma un'architettura di questo tipo porta a problemi di non poco conto inerenti la sicurezza dei dati dell'organizzazione. Ciò modifica anche la politica della gestione dei rischi, che in questo caso sono dovuti principalmente alla difficoltà di effettuare una loro valutazione precisa considerando che non si conosce il numero di device effettivi che si connettono, la loro tipologia, il sistema operativo utilizzato e le potenziali vulnerabilità insite. In pratica è come se ogni dipendente o studente portasse con sé una nuvola di “aggeggi” non identificati che utilizzano la rete dell’organizzazione. Molti di questi oggetti sono obsoleti, non aggiornati, con applicazioni fuori dagli standard, infettati da virus e malware, zombie di botnet, e sono in ogni caso al di fuori del controllo dell'ufficio IT che si occupa di mantenere più sano possibile l'ambiente aziendale. È quindi piuttosto importante cercare di stabilire delle politiche di sicurezza in modo da limitare al massimo i danni che possono scaturire da questi device sconosciuti.
Simona Venuti
Consortium GARR
Servizio GARR CERT
Una volta valutati i rischi ci sono due possibili approcci alla sicurezza BYOD, a seconda di quello che vogliamo fare con i dispositivi del personale afferente. Ci sono varie soluzioni commerciali per poter arginare il problema, gestendo il device del dipendente in modo da controllare l'accesso ai dati dell'organizzazione e permettere l'assistenza da parte dell'ufficio IT, ma senza accedere ai dati personali: in pratica, nel dispositivo viene installata una virtualbox dedicata completamente al lavoro aziendale, secondo le politiche dell'organizzazione. L’area personale e dell'organizzazione sono gestite come fossero due dispositivi separati in modo che nessuna delle due possa utilizzare software installato nell’altra, evitando che eventuale malware lì annidato possa fare danni.
Nella maggior parte dei casi però ad un'organizzazione interessa soltanto fare in modo che i dispositivi personali di chi ha accesso alla rete non producano danni alla rete stessa, o non violino le politiche di accesso alla rete. Sicuramente è impossibile fare un censimento di tutti i tipi di dispositivi che si collegano e dei loro rispettivi sistemi operativi, le applicazioni installate, le rispettive versioni. L'approccio che dovremo usare è di tipo euristico, cercando di limitare e contenere.
La prima cosa da fare è impedire l'accesso anonimo alla rete, così come previsto dalle regole di accesso della rete GARR. In questo modo, in caso di problemi o segnalazioni, sarà sempre possibile risalire al proprietario del dispositivo. Di seguito alcuni suggerimenti:
- assegnare indirizzi IP soltanto a chi ha registrato presso la struttura il MAC address dei propri dispositivi;
- prevedere un'autenticazione wireless di tipo 802.1x, come potrebbe essere la tecnologia dot1-x o eduroam: in questo caso l'utente ha un account radius che può configurare su tutti i propri dispositivi, in modo da connettersi da tutti con lo stesso account;
- ove possibile, l'autenticazione 802.1x si può ottenere utilizzando certificati personali X.509 invece che con utente/password;
- utilizzare un captive portal per forzare gli utenti a connettersi con il proprio account per ottenere un indirizzo IP. Il vantaggio di questa soluzione è che il captive portal può essere facilmente federato in IDEM e in eduGAIN, quindi in un colpo solo si potrebbero soddisfare richieste di connettività sia degli utenti della propria istituzione, sia degli utenti appartenenti alle altre istituzioni federate.
Una volta assegnato l'IP non anonimo ad un dispositivo, è necessario stabilire delle politiche di accesso ad Internet. L'idea di fondo è che tali dispositivi non fanno parte della rete istituzionale di un'organizzazione, ma sono appendici esterne, come fossero un segmento di rete esterno che nulla abbia a che fare con l'organizzazione. Per questo sarebbe opportuno che la sottorete assegnata a questi dispositivi sia su un segmento diverso e separato da tutte le altre reti della struttura, sia dalle reti con IP staticamente assegnati, sia dalle reti con IP dinamicamente assegnati ma con hardware fornito dall'organizzazione stessa. Inoltre sarebbe ottimale isolare questo segmento di rete anche a Livello 2 tramite l'utilizzo di una VLAN specifica. Questo segmento di rete non dovrebbe avere nessun accesso alla rete interna, a quello che sta dietro il perimetro dell'organizzazione. I dispositivi possono collegarsi ovunque al di fuori dell'istituzione, fino al perimetro, e utilizzare i servizi dell'istituzione come fossero client esterni e sconosciuti.
Inoltre potrebbe risultare utile limitare la banda, soprattutto in uscita, in modo che se qualche client fosse infettato da qualcosa che improvvisamente scatena un attacco DoS, verrebbe limitato il danno soltanto ai client wireless di quella rete, senza intaccare la connettività di altri uffici o addirittura la connettività dell'intera struttura.
Infine, dal momento che i dispositivi degli utenti sono fuori dal controllo dell'ufficio IT, non è detto che se viene rilevato un problema l'utente sappia risolverlo e l’organizzazione non può intervenire poiché si tratta di un dispositivo privato. In caso di ripetute segnalazioni, sarebbe opportuno prevedere qualche forma di "sanzione", in modo che l'utente prima di potersi collegare sia obbligato a risolvere il problema col suo dispositivo: generalmente si disabilita l'account per un certo periodo di tempo, che può aumentare se il problema si ripresenta
Dai un voto da 1 a 5, ne terremo conto per scrivere i prossimi articoli.
Voto attuale:
-
il filo - 06/2016Editoriale
-
Scienza della vita: un ELIXIR per i Big Datacaffè scientifico
-
Ricerca biomedica: intelligenza collettiva in retecaffè scientifico
-
INNI: una rete di esperti contro la sclerosi multiplacaffè scientifico
-
Colibrì spicca il volo. Una sfida comune contro le malattie rare dei più piccolicaffè scientifico
-
GRIDCORE: strumenti innovativi contro le malattie neurodegenerativecaffè scientifico
-
A scuola l'innovazione è condivisaservizi alla comunità
-
Identità digitale, cosa cambia con SPID?servizi alla comunità
-
Che valore hanno i certificati digitali TCS?risponde cecchini
-
Windows 10 è davvero più sicuro?risponde cecchini
-
Formazione open di qualitàla voce della comunità
-
A scuola di cloudla voce della comunità
-
ENEA :: Progettata al computer la formula del detergente utile per studiare i tumorila voce della comunità
-
INFN :: PAMELA: dallo spazio 15 GB al giornola voce della comunità
-
INGV :: Un sistema intelligente per i rifiutila voce della comunità
-
CNR :: Le sfide sociali dei Big Datala voce della comunità
-
INAF :: CTA: in Italia il quartier generalela voce della comunità
-
Sostenibilità e futuro della reteosservatorio della rete
-
BYOD: occhio alla sicurezzaosservatorio della rete
-
Alieni: nostri alleati sulla rete otticaosservatorio della rete
-
1986-2016 Buon compleanno InternetSpeciale 30 anni di Internet
-
Il gruppo che ha collegato l’ItaliaSpeciale 30 anni di Internet
-
Quando inventai GmailSpeciale 30 anni di Internet
-
IPv6? Un gioco da ragazziipv6
-
Il futuro del cloud è nella condivisionela nuvola della ricerca e istruzione
-
Croazia, un CARNet di servizi per le scuolela nuvola della ricerca e istruzione
-
Nuvola di opportunità sull’orizzonte del 2020la nuvola della ricerca e istruzione
-
CLARIN, l’infrastruttura che ci fa riscoprire Babeleinternazionale
-
La nuova ESFRI Roadmapinternazionale
-
Horizon 2020: obiettivo innovazioneinternazionale
-
GÉANT, si apre una nuova faseinternazionale
-
SESAME: una luce per il Mediorienteinternazionale
-
Tre giorni per la Scuola “Smart EDUcation & TECHnology days”agenda
-
Conferenza GARR 2016 “The CreActive Network”agenda
-
Romaeuropa Festival: Il ratto di Europa, sulla Rete GARR si fa teatro distribuitoagenda
-
Notte Europea dei Ricercatori: le iniziative GARRagenda
-
Una visione su Net Neutrality e Internet Governanceieri, oggi, domani
Articoli nella rubrica
-
di Gloria Vuagnin
-
di Simona Venuti
-
di Carlo Volpe
Archivio GARR NEWS
- Numero 29 - anno 2023
- Numero 28 - anno 2023
- Numero 27 - anno 2022
- Numero 26 - anno 2022
- Numero 25 - anno 2021
- Numero 24 - anno 2021
- Numero 23 - anno 2020
- Numero 22 - anno 2020
- Numero 21 - anno 2019
- Numero 20 - anno 2019
- Numero 19 - anno 2018
- Numero 18 - anno 2018
- Numero 17 - anno 2017
- Numero 16 - anno 2017
- Numero 15 - anno 2016
- Numero 14 - anno 2016
- Numero 13 - anno 2015
- Numero 12 - anno 2015
- Numero 11 - anno 2014
- Numero 10 - anno 2014
- Numero 9 - anno 2013
- Numero 8 - anno 2013
- Numero 7 - anno 2012
- Numero 6 - anno 2012
- Numero 5 - anno 2011
- Numero 4 - anno 2011
- Numero 3 - anno 2010
- Numero 2 - anno 2010
- Numero 1 - anno 2009
- Numero 0 - anno 2009