VPN vs. Firewall e IDS (con commenti)

04/10/99

In questi giorni è in corso un battage pubblicitario notevole riguardo a una conferenza su IPSEC che si terrà a Parigi a fine ottobre. Il titolo, "From firewalls to IPSEC VPNs", suggerisce un'idea che sembra stranamente diffusa, e cioè che le Virtual Private Networks possano in qualche modo eliminare la necessità di un firewall a protezione di una rete privata. Vorrei sottolineare qualche motivo per cui questa idea non ha senso, premesso che sono invece un fautore delle VPN da firewall a firewall o da firewall a portatile.
Il concetto che sembra essere alla base di questo errore è che tutte le macchine della rete devono usare IPSEC e siccome le connessioni sono cifrate e autenticate, nessun estraneo può mettere le mani sui servizi della rete.
Per prima cosa, questo non offre nessuna protezione ai servizi pubblici. I servizi Web, o di commecio elettronico o di posta elettronica sono necessariamente accessibili senza IPSEC. La compromissione di uno di questi servizi permette di "entrare" nella rete privata, che di lí in poi è completamente aperta. L'uso di una DMZ e di protezioni tipo firewall "in depth" affrontano meglio il problema.
Il secondo punto è che le VPN permettono di identificare chi compie un'azione, ma non di impedirgliela se è un nodo autorizzato della VPN. Questo vuole dire che tutte le entità che fanno parte della VPN devono essere fidate.
IPSEC associa una chiave a un pacchetto IP. Questo vuole dire che non è in grado di distinguere fra due utenti o servizi presenti contemporaneamente su un sistema multiutente.
Le VPN non sono in grado di proteggere un browser che naviga in modo insicuro su Internet. Una volta che anche una sola macchina è compromessa, potenzialmente tutta la rete diventa accessibile. I sistemi di Intrusion Detection diventano inservibili, dato che il traffico è cifrato... e ricordiamo che i problemi continuano a essere causati in buona parte da personale interno.
Insomma, le VPN sono uno strumento e non una panacea, come qualsiasi strumento del resto.

Commenti

• Marco Molteni

  molter@csl.sri.com

  Sono ovviamente d'accordo sulla tua tesi che una VPN non è altro che *uno* strumento di una strategia globale di sicurezza. Vorrei però fare una precisazione sull'affermazione:

  IPSEC associa una chiave a un pacchetto IP. Questo
  vuole dire che non è in grado di distinguere fra due utenti
  o servizi presenti contemporaneamente su un sistema multiutente.
  

  Da rfc 2401:

  4.4.2 Selectors

  An SA (or SA bundle) may be fine-grained or coarse-grained, depending on the selectors used to define the set of traffic for the SA.
  [..]
  The following selector parameters MUST be supported for SA management to facilitate control of SA granularity.
  [..]
  

  • - Destination IP Address
    [..]
    
  • - Source IP Address(es)
    [..]
    
  • - Name: There are 2 cases (Note that these name forms are supported in the IPsec DOI.)
    1. User ID
    a. a fully qualified user name string (DNS), e.g.,
    mozart@foo.bar.com
    [..]
    NOTE: One of the possible values of this selector is "OPAQUE".
    
  [..]
  

  Quindi, pur operando a livello network, IPsec può (almeno nelle specifiche, non so se esista una implementazione che lo supporti) arrivare alla granularità del singolo utente. Sicuramente arriva alla granularità di una porta e quindi di un servizio.

  Il problema comunque per me è un altro: IPsec è troppo complesso per essere utilizzato da un utente normale (un utente, per intenderci, in grado di utilizzare pgp) e quindi penso possa essere usato piú che altro sui security gateway per realizzare VPN.