A livello fisico: protezione fisica del mezzo trasmissivo, cavedi e pozzetti; uso di reti switched
La difesa del mezzo trasmissivo (sia esso rame, fibra o altro, escluso l’etere) è fondamentale perché un attaccante potrebbe sfruttare un qualsiasi luogo in cui passano i cavi per ottenere un punto di accesso “invisibile” e soprattutto una posizione privilegiata (nella struttura logica della rete); nei casi più gravi l’accessibilità fisica al mezzo potrebbe permetterne la distruzione.
A livello collegamento: cifratura dei dati, uso di ip fissi (no DHCP), controlli su nuovi MAC (di conseguenza host) connessi
La cifratura dei dati è fondamentale nel caso di comunicazioni wireless (data l’impossibilità di proteggere il mezzo) ma è importante anche in quelle via cavo, molti apparati permettono di cifrare l’intero frame ethernet; l’uso di ip fissi (quindi il non uso del DHCP, Dynamic Host Configuration Protocol, che assegna ad ogni macchina in rete un indirizzo ip in modo automatico) permette di effettuare controlli più sicuri sugli host connessi; è consigliabile inoltre impostare tool di sicurezza affinché segnalino eventuali comparse di indirizzi MAC non conosciuti o duplicazioni (a dir poco sospette) di indirizzi MAC conosciuti
A livello rete: uso di VPN, ip tunneling (GRE, L2TP), SSL o IPSec
Le VPN (Virtual Private Network) servono a connettere, come se fossero in rete locale, due (o più) host attraverso un mezzo condiviso come ad esempio internet; sono di per sé insicure in quanto usano gli stessi protocolli della rete, ma sono rese molto sicure se utilizzate in combinazione con protocolli che implicano l’uso di sistemi di cifratura come l’IP Security o il Secure Socket Layer, o se gestite da un singolo nodo fidato (L2TP)