Ogni volta che trovo una rete di un’azienda “piatta”, vale a dire non segmentata e frazionata in sottoreti ma con una unica Ethernet, me ne sorprendo. E questo capita nella sostanza ogni volta che analizzo la rete di un nuovo cliente, in quanto di fatto trovo sempre un’unica rete e niente di più (se va bene ho la WiFi separata, ma nemmeno sempre). La domanda è: come mai continuo a trovare reti fatte in questo modo così obsoleto?
Sono tantissime le ragioni che portano a dire che una rete aziendale, anche piccola, DEVE essere suddivisa in segmenti diversi, isolati, e messi in comunicazione solo da un routing L3 filtrato. Eppure non solo gli IT manager non ci hanno pensato, ma addirittura i cosiddetti “consulenti” che li affiancano e curano la progettazione delle loro reti non lo propongono, o addirittura, lo osteggiano (ancora di recente ho realizzato la reingegnerizzazione di una rete dove una grande azienda di informatica, che si vanta di essere leader di mercato, ha apertamente osteggiato l’idea di frazionare una singola ethernet che spaziava su 4 capannoni in due siti diversi connessi oltretutto da un bridge radio).
Giusto per elencare qualcuna delle motivazioni:
- con un unico segmento di ethernet il primo dispositivo (lo switch da 2 soldi che qualcuno da qualche parte attacca sempre) che inizia a fare disastri sulla rete blocca tutto a tutti;
- la diagnostica di casi come il punto precedente, o qualsiasi altro problema, diventa lunghissima e molto complessa, con il risultato di perdere giorni per stupidate;
- un host che espone vulnerabilità è raggiungibile da un numero molto maggiore di altri host, e viceversa, quindi ad esempio una macchina infettata con wannacry può cercare molte più macchine da infettare;
- se isolo la sottorete dei server, posso filtrare facilmente il traffico verso tali server e dargli una protezione aggiuntiva. Questo può essere un valido tassello anche in ottica GDPR;
- se a gestire le comunicazioni metto un apparato router-firewall-utm multilivello (NON devo mai pensare di metterci uno switch L3!!), posso fare filtraggio evoluto sul traffico (es. antivirus, o intrusion detection, per rilevare problemi già all’interno della mia rete) e restringere l’accesso ai protocolli amministrativi solo agli utenti che li utilizzano;
- le prestazioni di un segmento di rete piccolo sono enormemente maggiori di un segmento grande, anche in condizioni normali;
- posso utilizzare switch molto più economici, e quello che risparmio lo posso investire nel sistema di sicurezza centrale, ottenendo un serio innalzamento della sicurezza di tutti i flussi;
- è l’unico modo per iniziare ad impostare le basi di una sicurezza aziendale e per iniziare a poter dire che sta facendo qualcosa per proteggere i propri sistemi (vedi sempre GDPR);
- usiamo le classi IP con un senso! Prima era la norma trovare aziende con subnet /24 piene e problemi enormi a gestire gli host interni, adesso sta diventando la norma trovarle con classi /16 e allocazioni di IP a cluster sparsi un po’ qui e un po’ lì nella subnet “così separo i server dai PC, ecc”. Se costruiamo una rete sui paradigmi di Internet, impariamo cosa è una Intranet!
Sono alcuni dei punti elencabili, ovviamente non tutti.
I detrattori di queste considerazioni di solito dicono che così la rete è più complessa. Di fronte a questa considerazione possiamo solo iniziare a rispondere che se si hanno problemi a gestire una rete suddivisa in qualche sottorete, fare un po’ di routing (dinamico) decente ed un po’ di subnetting IP, nel 2018 è il caso di non proporsi come “tecnici di rete”. Le complessità vengono dopo quando si cerca di fare diagnostica o ottimizzazione di una ethernet immensa, o vengono nelle strutture contorte che prima o poi si andranno a cercare di mettere in piedi al fine di inserire qualche elemento di sicurezza.
