Si sa, uno dei chiodi fissi di ogni amministratore IT che si rispetti è la famigerata, o forse meglio dire famosa, “sicurezza informatica”! Sì, meglio dire famosa perché, in fondo, pur essendo un grande problema quotidiano da affrontare, la sicurezza è un fattore positivo! Proteggere dati e infrastrutture informatiche aziendali da ogni tentativo malevolo esterno o da possibili imprevisti è una missione importante, che permette all’azienda di assicurare l’efficienza operativa e di scongiurare rischi di elevate perdite economiche. Ciò, tuttavia, richiede costanti evoluzioni, sia nei prodotti software per integrare standard e procedure di sicurezza sempre allo stato dell’arte, sia per gli amministratori IT, chiamati ad aggiornare le proprie infrastrutture e ad applicare tecnologie all’avanguardia.
Tra i vari aspetti da prendere in considerazione quando si parla di sicurezza informatica ci sono le comunicazioni tra sistemi, in particolare le comunicazioni tra i server, chiamati a erogare servizi e fornire accesso alle risorse aziendali condivise (tra cui i dati), e i client, ovvero postazioni periferiche (tipicamente le postazioni di lavoro su cui operano in diverso modo gli utenti finali) e le comunicazioni tra server necessarie per interfacciarsi con servizi esterni.
Proteggere queste comunicazioni, in particolare quando avvengono su reti pubbliche, come attraverso internet, è cruciale sia per garantire la riservatezza dei dati scambiati, sia per evitare diverse tipologie di attacco informatico in cui queste vengono sabotate e sfruttate per fingersi parte dell’infrastruttura e accedere fraudolentemente alle risorse digitali aziendali.
Ma oltre a fornire sicurezza è importante anche comprendere a che prezzo, in termini di azioni concrete ed effort, questa possa essere garantita. Esistono soluzioni che possono venire in aiuto degli amministratori di sistema, offrendo “facile” accesso e configurabilità alle impostazioni di sicurezza allo stato dell’arte.
Gli standard recenti nei prodotti Praim
Praim integra nei suoi prodotti software i più recenti standard in termini di sicurezza dei protocolli di comunicazione, in particolare per tutti gli scambi di informazioni tra la console di gestione ThinMan e gli altri endpoint (che eseguono ThinOX o Agile). Una delle proprietà fondanti dei prodotti Praim, infatti, è che tutti gli endpoint (che siano basati su ThinOX, ThinOX4PC o Windows con Agile4PC) comunicano con ThinMan attraverso una connessione mantenuta attiva attraverso un canale Web-Socket sicuro.
Non solo, tutti i software Praim permettono di configurare facilmente l’utilizzo di certificati per rafforzare questa comunicazione, sia gratuiti e validati attraverso il servizio “Let’s Encrypt”, sia di quelli interni all’organizzazione. Attraverso ThinMan è possibile automatizzare la configurazione e l’uso dei certificati su tutte le postazioni di lavoro, in modo che solo quelle dotate dei certificati validabili possano comunicare e ricevere comandi dalla console ThinMan.
Dal punto di vista tecnico, attraverso l’uso di questo protocollo, non è necessario per il gestore dell’infrastruttura aziendale mantenere aperte sui dispositivi endpoint connessioni in ingresso sulla porta 443, come richiesto invece da altre soluzioni. Di fatto, tutti i comandi passeranno attraverso il canale Web-Socket stabilito, semplificando, quindi, le impostazioni dei firewall all’interno della rete. La comunicazione diventa full-duplex sullo stesso canale, permettendo il passaggio dei dati anche in reti sotto NAT. Ad esempio, per effettuare un’assistenza remota su un terminale gestito da ThinMan in una sede remota, anche in mobilità su rete privata casalinga, non sarà necessario passare attraverso una connessione web su indirizzo IP; avendo una connessione bidirezionale protetta sempre attiva, l’assistenza remota passerà all’interno del canale e senza necessità di alcun cambiamento lato firewall.
I nuovi strumenti: Transport Layer Security
Come accennato in precedenza, la sicurezza informatica è questione di “continua evoluzione” e anche le tecniche di protezione devono evolversi al passo dei corrispettivi tentativi di attacco. Ciò vale anche per i protocolli di comunicazione, che sono chiamati a utilizzare tecniche di scambio dei dati e algoritmi di cifratura sempre più evoluti, sia per “immunizzarsi” rispetto alle nuove tecniche di “decryption” che per mantenere efficienza al crescere della loro complessità.
Uno degli strumenti a disposizione delle comunicazioni sicure è, in particolare, il Transport Layer Security (TLS). TLS è un protocollo che permette di stabilire un canale con le proprietà di integrità e riservatezza in senso crittografico tra un client e un server. Dopo aver stabilito una connessione sicura tramite il protocollo TLS, le applicazioni possono utilizzarla per scambiare dati. TLS viene utilizzato in molteplici contesti applicativi, come le connessioni di tipo HTTPS, SMTPS, etc. Data la continua evoluzione tecnologica e la possibile scoperta di nuove vulnerabilità il protocollo TLS si evolve in continuazione, integrando di volta in volta nuove suite –ovvero combinazioni– di algoritmi di cifratura (in inglese Cipher Suite) sempre più avanzati e sicuri.
Ad oggi sono disponibili 4 versioni di TLS, dalla 1.0 (pubblicata nel 1999) alla più recente TLS 1.3 (pubblicata nel 2018), dove le versioni TLS 1.0 e 1.1 sono considerate ormai obsolete e non più sicure con gli strumenti attuali. Per l’Italia si veda, solo a titolo di esempio e per maggiori informazioni, il documento pubblicato dall’AGID (Agenzia per l’Italia Digitale), che fornisce raccomandazioni in termini di sicurezza e dà una rappresentazione dello stato dell’arte in termini di protocolli e supporto crittografico.
ThinMan utilizza le versioni più recenti di TLS per le sue connessioni protette con WSS. Inoltre, a partire dalla versione 8.5.2, offre la possibilità di bloccare ogni connessione non sicura che possa essere richiesta da dispositivi obsoleti, come vecchi terminali i cui software o sistemi operativi non sono aggiornati o aggiornabili a versioni che supportino le nuove versioni del protocollo TLS. Questo nell’ottica di facilitare l’operato dell’amministratore IT che magari ha scordato di aggiornare o rimuovere dispositivi non sicuri dalla propria rete.
Con ThinMan è possibile configurare il livello di sicurezza minimo accettato nelle comunicazioni con “Protocolli TLS e le relative Cipher Suite”, permettendo ad esempio di selezionare un livello più alto che escluda i dispositivi o servizi che operano con TLS 1.0 o TLS 1.1, in modo da individuarli e procederne alla sostituzione, bloccando inoltre, a priori, ogni comunicazione effettuata con questi protocolli ormai deprecati.
