architettura di reti sicure

Architetture di Reti Sicure: Network Access ControlArchitetture di Reti Sicure: Network Access ControlArchitetture di Reti Sicure: Network Access ControlArchitetture di Reti Sicure: Network Access Control

Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – [email protected]

Acri, 21 Settembre 2006

Ing. Maurizio MaggioraProject Engineer - Networking

Ing. Giancarlo La ScolaSales Area Engineer

http://www.xronos.it/

2005 Symantec Corporation, All Rights Reserved 2Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – [email protected]

Agenda

La Xronos S.r.l.Xronos S.r.l. e l’integrazione di sistemi

Lo scenario: la rete aziendale e la protezione degli endpoint

La soluzione: Network Access Control

I metodi di Enforcement



Agenda

La Xronos S.r.l.Xronos S.r.l. e l’integrazione di sistemi

Lo scenario: la rete aziendale e la protezione degli endpoint

La soluzione: Network Access Control

I metodi di Enforcement



Xronos S.r.l.Xronos S.r.l. è una Società di Servizi nel settore dell’Information Technology che progetta e implementa soluzioni tecnologiche avanzate finalizzate al miglioramento del Business Aziendale e della Qualità della Vita per Piccole e medie imprese private, Enti Pubblici (PA, Local Government, Poli di formazione).

Profilo Aziendale

La nostra System IntegrationSystem Integration è fondata essenzialmente sulle partnership tematiche:

Sicurezza dei dati e dell’infrastruttura

Core/Edge switching, routing, VoIP, i-MG

Client, Server, Storage, Middleware



CCNA & CCNPCCNA & CCNP Cisco Certified Network Associate & Network Professional

CCDA & CCDPCCDA & CCDP Cisco Certified Design Associate & Design Professional

CCIPCCIP Cisco Certified Internetwork Professional

CWNACWNA Certified Wireless Network Administrator

MCP & MCSAMCP & MCSA Microsoft Certified Professional & Microsoft System Administrator

RaytalkRaytalk Wireless Lan – Indoor & Outdoor – Installer

AT – NCTIS –AT – NCTIS – FDFD NetCover Configuration and Installation Service

CAI R/SCAI R/S Certified Allied Telesis Installer Router/Layer 3 Switch

CAT CAT –– CAI R/SCAI R/S Certified Allied Telesis Trainer – CAI R/S

SCTSSCTS Symantec Certified Technical Specialist, SGS 2.0 Administration

AxisAxis Axis Academy Certified Installer

Gold Partner (Enterprise Solution)

Certified Solution Provider

Advanced Business Partner

Le certificazioni Aziendali

Le certificazioni Professionali



Sede Legale/Operativa:Sede Legale/Operativa: via Osvaldo Marzano, 34via Osvaldo Marzano, 3470125 Bari (BA)70125 Bari (BA)tel./fax (+39) 080 5026835tel./fax (+39) 080 5026835

Sito Web:Sito Web: http://www.xronos.ithttp://www.xronos.it

Email:Email: [email protected]@xronos.it

Xronos S.r.l.Xronos S.r.l. ha conseguito la Certificazione ISO 9001:2000Certificazione ISO 9001:2000, per le categorie:

“Progettazione, Installazione, Configurazione ed Assistenza su reti e sistemi informatici”; “Commercializzazione ed assistenza prodotti software e hardware”

(BVQI, Cert. Num. 180248BVQI, Cert. Num. 180248)

Profilo Aziendale: Qualità

Profilo Aziendale: Dove Siamo



Profilo Aziendale: Academy Net.Campus

Programma di Certificazione – Academy Net.Campus

Dal 30 Marzo 200630 Marzo 2006 Xronos S.r.l. è Training Center Autorizzato in Italia

Istruttori Certificati CAT - CAI/RSParte attiva nell’organizzazione dell’AcademyCorsi di Preparazione ed Esami di Certificazione

I Corsi CAI 2006: NapoliCataniaRomaBari (Ottobre e Novembre 2006)


Profilo Aziendale: Academy Net.Campus

CAI/RS

Questi corsi producono le competenze necessarie per installare e configurare

gli switch Layer3 e i router di Allied TelesisAllied Telesis.

Ai partecipanti viene offerta l’opportunità di provare quanto appreso mediante

prove pratiche di troubleshooting e debugging delle Reti esistenti.

Destinatari

Utenti Finali

Integratori di Sistemi

Distributori


Profilo Aziendale: Learning Area

Università degli Studi “Federico II” - Napoli

Corso: Laboratorio di Reti di Telecomunicazione

III anno – Laurea di Primo Livello – CdL Informatica

V anno – Laurea di Secondo Livello – CdL Informatica

Prof. Ing. Angelo Violetta

Politecnico di Bari - DEE

Corso: Laboratorio di Reti di Telecomunicazione

V anno – Laurea di Secondo Livello

CdL Ing. Informatica, Ing. Telecomunicazioni

Prof. Pietro Camarda

Case HistoryCase History


Agenda

• La Xronos S.r.l.Xronos S.r.l. e l’integrazione di sistemi

• Lo scenario: la rete aziendale e la protezione degli endpoint

• La soluzione: Network Access Control

• I metodi di Enforcement



La rete aziendale e gli endpoint sono continuamente esposti alle minacce (threath) che l’uso intensivo della Rete ha comportato come effetto collaterale.

L’80% delle minacce all’infrastruttura proviene dall’interno! L’80% delle minacce all’infrastruttura proviene dall’interno!

• Punti di accesso alla Rete Aziendale:

– Wireless network

– Wired LAN

– SSL VPN

– IPsec VPN

– Applicazioni Web

• Utenti autorizzati e non:

– Consulenti esterni

– Ospiti

– Tele-lavoratori

– Chioschi Internet & Computer condivisi

I rischi per la sicurezza



1995 1996 1997 1998 1999 2000 2001 2002

200M

300M

400M

500M

600M

700M

900M

0

Infe

ctio

n A

ttem

pts

100M

800M

Net

wor

k In

trus

ion

Atte

mpt

s

20,000

40,000

60,000

80,000

120,000

0

100,000Blended Threats

(CodeRed, Nimda, Slammer)

Denial of Service(Yahoo!, eBay)

Mass Mailer Viruses(Love Letter/Melissa)

Zombies

Polymorphic Viruses(Tequila)

Malicious Code InfectionAttempts

Network IntrusionAttempts

Worldwide Attacks


(Statistica Gartner)




I worm che sfruttano le vulnerabilità dei sistemi e delle reti crescono in frequenza e

complessità.

Le minacce all‘integrità dei dati si presentano sotto molteplici forme.



Patch non aggiornate

Patch recenti

Nuove vulnerabilità

Errate configurazioni

0-Day Attack

IPS

Agent + PFW + Host Integrity

Le vulnerabilità della rete

(Statistica Gartner)

60%

10%

25%

5%



• Le Patch devono essere mantenute aggiornate per chiudere le falle di sicurezza!

– Gli utenti che annullano gli aggiornamenti… Gli utenti che annullano gli aggiornamenti…

– Le patch che impiegano del tempo per il test e il roll-out…Le patch che impiegano del tempo per il test e il roll-out…

• Le configurazioni devono essere rispettate per prevenire eventuali back-door!

– Gli utenti che hanno spesso troppi privilegi e possono effettuare modifiche…Gli utenti che hanno spesso troppi privilegi e possono effettuare modifiche…

– Il rispetto delle Il rispetto delle policypolicy nelle Aziende molto grandi è di difficile impostazione e gestione… nelle Aziende molto grandi è di difficile impostazione e gestione…

• Le firme (signature) devono essere mantenute aggiornate per garantire il riconoscimento e la rimozione delle varie minacce (threat)!

– Gli utenti che disattivano gli aggiornamenti delle firme per svariati motivi…Gli utenti che disattivano gli aggiornamenti delle firme per svariati motivi…

– Gli utenti che annullano gli aggiornamenti in corso…Gli utenti che annullano gli aggiornamenti in corso…

La protezione degli EndPoint: scenario



La protezione degli EndPoint: scenario

Infrastruttura IT sempre più complessa

Dispositivi diversi, access point, utenti dai diversi privilegi,agent software, applicazioni

Complessità

Vulnerabilità

Perdita di Controllo

Inefficienza

Exploit portano attacchi a tutti i livelli

Sistemi Operativi, applicazioni, rete

Si diffondono più velocemente delle relative patch

Difficile controllare senza ridurre i benefici

Wireless, ospiti, outsourcing, mobility

I prodotti tradizionali di sicurezza non sono più efficienti

99% degli utenti usa un AV – 68% prende virus

Nuovi agent per ogni minaccia: scarsa gestibilità, nessuna integrazione

Le imprese devono scegliere tra sicurezza e produttività



Agenda







Il problema…

Il tempo di disservizio della rete, causato da incidenti di Sicurezza (worm, virus,

patch mancanti, errate configurazioni dei sistemi) è molto costoso ed espone

l’Azienda al significativo rischio di perdita di proprietà intellettuali e/o di

responsabilità legali.

Spesso questi problemi possono essere evitati mantenendo i sistemi compliant con

gli standard definiti dall’IT Manager (policypolicy).

NACNAC lavora con le infrastrutture per l’accesso alla rete per garantire che i sistemi

siano allineati alle policypolicy prestabilite, prima che sia loro consentito l’utilizzo delle

risorse. Questo protegge la rete e ne aumenta produttività e disponibilità.

Il processo completamente automatico di aggiornamento/allineamento

(remediation) dei sistemi che sono non-compliant semplifica la gestione da parte

degli amministratori di rete.

…e la soluzione


NAC: Applicabilità

• Utilizzo diffuso di Endpoint

Portatili, Computer Desktop, Server (Portatili, Computer Desktop, Server (managedmanaged))

Ospiti, Appaltatori, Home Computer (Ospiti, Appaltatori, Home Computer (unmanagedunmanaged))

• Gestione delle Policy centralizzata, scalabile e flessibile

Server Distribuiti, Ridondanza, Replicazione di DataBaseServer Distribuiti, Ridondanza, Replicazione di DataBase


Gli utenti autorizzati devono accedere ai sistemi solo da postazioni (EndPointEndPoint)

autorizzate

Network Access Control

– Il controllo di chi può accedere alla rete crea un sistema chiuso

– Conference Room, Wireless Hotspot, Dipendenti, Ospiti

– Connettività Remote (IPSec, SSL, VPN)

Attività di remediationremediation

– Enforcement delle policy prima di garantire l’accesso ai sistemi

– Aggiornamenti, Patch, Update, ecc.

Oltre l’authorizing degli utenti: l’authorizing degli EndPoint


• Definizione delle Definizione delle policypolicy

• Verifica del rispetto delle Verifica del rispetto delle policypolicy

– Agent

– On-Demand Agent

– Network Interrogation

• EnforcementEnforcement del NAC del NAC

– LAN Enforcer

– DHCP Enforcer

– Gateway Enforcer

• Azione di Rimedio per gli Endpoint Non-Azione di Rimedio per gli Endpoint Non-

CompliantCompliant

• MonitoringMonitoring continuocontinuo

Il Processo del NAC

Policy



Sygate Enterprise Protection Sygate Enterprise Protection

Network Access ControlNetwork Access Control

On-Demand Protection Solution On-Demand Protection Solution

La Soluzione Symantec

LAN Enforcer DHCP Enforcer Gateway Enforcer



Symantec Network Access Control

Symantec Embedded Security

Symantec On-Demand Protection

Symantec Sygate Enterprise Protection

Endpoint Compliance Solution



Network Access Control

• Propagazione del malware

• Perdita di informazioni sensibili

• Rischio di sanzioni legali

Problema

“Endpoint compliance” e “NetworkAccess Control” per sistemi gestiti

• Individua gli endpoint e la loro compliance con le security policy

• Consente alla rete di individuare e controllare gli accessi dei dispositivi

• Rimedia in caso di endpoint non-compliant

• Consente bassi costi di gestione

Soluzione


Symantec Enforcement Agent

DHCP Server

Microsoft SQL Database

Symantec Policy Manager

LAN Enforcer

DHCP Enforcer

Gateway Enforcer

La Soluzione Symantec/Allied Telesis

IEEE 802.1x


Agenda






Gateway EnforcerGateway Enforcer

Il Gateway Enforcer fornisce il controllo degli accessi alle risorse critiche del

sistema (Data Center, Server Applicativi, DB Server) che avvengono mediante

collegamenti VPN, IPsec, SSL, WAN

NAC Enforcement: LAN, DHCP, Gateway Enforcer

DHCP EnforcerDHCP Enforcer

Il DHCP Enforcer garantisce il controllo dell’accesso alla rete per quegli endpoint

che utilizzano l'assegnazione dinamica dell'indirizzo IP

LAN (802.1x) EnforcerLAN (802.1x) Enforcer

Il LAN enforcer utilizza lo standard IEEE 802.1x (Admission Control Protocol) per

autenticare i sistemi rispetto ad un determinato gruppo di switch, wired e wireless


LAN (802.1x) Enforcement: come funziona

Il LAN Enforcer controlla il login

dell’utente

Ethernet802.1x802.1x

Utente

RADIUS serverSymantec LAN Enforcer

Symantec Policy ManagerLo Switchdialoga con il LAN Enforcer

RemediationServer

Rete di Quarantena

Il LAN Enforcer connette l’utente alla Rete Aziendaleo alla Rete di Quarantena per la remediation


L’802.1x è uno standard IEEE basato sul controllo delle porte di accesso alla rete LAN/MAN.

Questo standard provvede ad autenticare ed autorizzare i dispositivi collegati alle porte della rete stabilendo un collegamento punto-punto e prevenendo collegamenti non autorizzati alla rete locale. Viene utilizzato dalle reti locali wireless per gestire le connessioni agli access point e si basa sul protocollo EAP, Extensible Authentication Protocol (RFC 2284).

L'802.1x è supportato dalla maggioranza dei nuovi switch Allied TelesisAllied Telesis e può effettuare l'autenticazione in congiunzione con un programma installato sull’Endpoint, eliminando la possibilità di un accesso non autorizzato tramite collegamento al livello fisico della rete.

Normalmente, l'autenticazione è fatta da una terza parte, come un server RADIUS. Questo fornisce l'autenticazione del client o l'autenticazione mutua.

802.1x - Port Based Network Access Control


• Il sistema appena collegato ottiene un lease dal server DHCP per un tempo

limitato e in uno spazio di indirizzi di quarantena

• Il DHCP Enforcer verifica la presenza del Symantec Enforcement Agent

• Se l’Agent è presente e il sistema è aggiornato, il DHCP Enforcer effettua un nuovo

lease nello spazio di indirizzi opportuno

• Se l’Agent è presente, ma il sistema non è aggiornato, parte la procedura di

remediation

• Se l’Agent non è presente, l’Endpoint rimane in quarantena

DHCP Enforcement: come funziona


Utente mobile

Wireless

Utente

DHCP Server

DHCP Enforcer

Switch

DHCP Request

Unknown system- send route filters or Quarantine Address

Probe for agent and policy status

Trigger release/renew on pass

10.1.1.100Route 10.2.2.2

DHCP Request

Compliant- send regular address10.1.1.100

DHCP Enforcement: EndPoint Compliant


DHCP Enforcement: EndPoint Non-Compliant

Wireless

Utente

DHCP Server

DHCP Enforcer

Switch

RemediationServer

DHCP Request

Unknown system- send route filters

Probe for agent and policy status

Trigger remediation on failure

10.1.1.100Route 10.2.2.2

Perform Remediation action

Trigger Release/Renew upon completion

DHCP Request

Compliant—Remove route filters10.1.1.100

Utente mobile


Gateway Enforcement: come funziona

Gateway Enforcer Utente

Server Farm(rete aziandale protetta)

Policy Manager

I sistemi privi di agent o con le policy non aggiornate non hanno accesso alle risorse

protette dal Gateway Enforcer (Data Center, DB-Server, Application Server)


NAC Enforcement: LAN, DHCP, Gateway Enforcer


Network Access Control: Regole

• Antivirus (multivendor)

• Anti-Spyware (multivendor)

• Microsoft Patch

• Microsoft Service Pack

• Personal Firewall (multivendor)

• Regole Personali


2005 Symantec Corporation, All Rights Reserved 36

Symantec GatewayEnforcer

Server

Desktop

GuestWireless

Radius

Remediation

DHCP

Applications

Router

Switch

Symantec PolicyManager

Symantec LAN Enforcer

Symantec DHCP Enforcer

Hackers

Kiosk

Mobile User

Telecommuter

Partner

Thieves

IPSEC VPN

SSL VPN

UNPROTECTED

NETWORKS

Symantec On-DemandPolicy Manager

802.1x Enforcement

Compliant

Password

Token

User Name

StatusEAP

Patch Updated

Service Pack Updated

Personal Firewall On

Anti-Virus Updated

Anti-Virus On

StatusHost Integrity Rule

Password

Token

User Name

StatusEAP

Patch Updated



Anti-Virus Updated

Anti-Virus On


Non-CompliantRemediationGuest Access

Gateway Enforcement

Compliant

Patch Updated



Anti-Virus Updated

Anti-Virus On


Patch Updated



Anti-Virus Updated

Anti-Virus On


Non-Compliant


Universal NAC Solution



Grazie per la Vostra attenzione!Grazie per la Vostra attenzione!Grazie per la Vostra attenzione!Grazie per la Vostra attenzione!

Buon Coffee Break!

Ing. Maurizio MaggioraProject Engineer - Networking

Ing. Giancarlo La ScolaSales Area Engineer
