the missing link
DESCRIPTION
non basta più difenderci dgli attacchi esterni; la grande minaccia proviene dai nostri sistemiTRANSCRIPT
![Page 1: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/1.jpg)
Forum ICT Security
Sandro Fontana, CISSP
CEO Secure Edge
[email protected]@computer.org
Roma 4 Novembre 2003
![Page 2: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/2.jpg)
Premessa
![Page 3: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/3.jpg)
Ich Sunt Leones/1
![Page 4: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/4.jpg)
Ich Sunt Leones/2
Internet
Router(multiport/
multiprotocol)
Dial inServers
TELCO
PartnerOffices
FrameRelay
Network
Remote router
Laptop PCsRemote Router
Remote Hub
UNIX Server
NFS GatewayNovel
File Server
Hub
CentralRouter
(multiport/multiprotocol
Hub
Hub
GroupwareServerOffices
Hub
PCs
Hub
Hub
PCs
Windows NTServer
GroupwareServerOffices
PCs
PCs
PCs
Windows NTServer
PCs
Email/SharedFile Server PCs
Firewall / AV / Proxy
Firewall / RAS / AV / Proxy
![Page 5: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/5.jpg)
Ich Sunt Leones/3
Internet
Router(multiport/
multiprotocol)
Dial inServers
TELCO
PartnerOffices
FrameRelay
Network
Remote router
Laptop PCsRemote Router
Remote Hub
UNIX Server
NFS GatewayNovel
File Server
Hub
CentralRouter
(multiport/multiprotocol
Hub
Hub
GroupwareServerOffices
Hub
PCs
Hub
Hub
PCs
Windows NTServer
GroupwareServerOffices
PCs
PCs
PCs
Windows NTServer
PCs
Email/SharedFile Server PCs
Firewall / AV / Proxy
Firewall / RAS / AV / Proxy
![Page 6: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/6.jpg)
the speed of insecurity/1
“security works in an era of (computer) wormsthat can spread across the Internet
in 10 minutes”(Bruce Schneier - IEEE S&P, July/August 2003)
![Page 7: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/7.jpg)
the speed of insecurity/2
![Page 8: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/8.jpg)
change viewpoint
non si tratta più soltantodi difendere i computer presenti nella rete aziendale
da attacchi provenienti dall’esterno
![Page 9: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/9.jpg)
change viewpoint
non si tratta più soltantodi difendere i computer presenti nella rete aziendale
da attacchi provenienti dall’esterno
bisogna inoltre
difendere l’Enterprise Network da eventuali attacchi provenienti dalle stazioni di lavoro e dai server interni.
![Page 10: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/10.jpg)
the missing link
Nuova responsabilità:proteggere l’Intranet
dagli attacchi provenienti da computerattestati all’interno della stessa rete aziendale(*)
(Chief Security Officer)
Irrobustire
Identificare
Controllare
Contrastare Rilevare
(*) (garantendo l’attuale flessibilità)
![Page 11: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/11.jpg)
Mai dimenticare che …
“la sicurezza è un processo,non è un prodotto”
(Bruce Schneier)
![Page 12: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/12.jpg)
Goals
ogni server deve poter qualificare la fonte del traffico di rete in ingresso
Request Verification
Worm confinement
CentralManagement
un Client od un Server, anche se compromesso, non deve divenire la fonte di ulteriore infezione all’interno dell’Azienda;
la gestione delle contromisure deve essere centralizzata
![Page 13: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/13.jpg)
Una proposta
Essential Point
• Policy
• Requirements
• Management
• Tools
Secure Edge vede un percorso progettualeinserito all’interno del sistema di gestione della sicurezza
ad es. l’ISMS della ISO/IEC 17799
![Page 14: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/14.jpg)
PolicyPer potere accedere alla intranet ed alle sue risorse ogni macchina, sia Clientche Server ed ogni Utente, deve essere autorizzato
NetAccess
Verification il parco dei Client e Server installato ed attivo, deve essere tenuto sotto controllo, senza necessità di gestione IP address e/o ethernet address
ogni utente deve essere identificato ed autenticato con meccanismo forte
Effective RT-IDS Ogni violazione alle regole precedenti deve poter essere rilevata in tempo reale
IdentificationAuthentication
![Page 15: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/15.jpg)
Requirements
Accesso alla intranet controllato tramite:Identificazione certa dei Client e Server connessiAutenticazione forte degli utentifirewall distribuito
Profilo di accesso specializzato per ruolo
Network Single SignOn®
Consolidamento centralizzato dei log
Audit in tempo reale sugli eventi rilevanti
![Page 16: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/16.jpg)
![Page 17: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/17.jpg)
Management
Operation Manager controlla in tempo reale, lo stato delle singole macchine e dei singoli utentiattiva e gestisce gli alert, analizza i log provenienti dal parco macchine interno
Policy Manager il responsabile della definizione dei profili e delle regole che devono essere applicate ai gruppi di macchine (client e server) ed ai ruoli aziendali (users)
![Page 18: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/18.jpg)
Tools
Secure Edge
PcP Enterprise Edition
![Page 19: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/19.jpg)
Gli strumenti/1
è il cuore informativo del sistema;raccoglie tutti i dati dell’ambiente PcP Enterprise Edition :
– licenze Client e Server– ruoli aziendali– profili utenti– certificati di chiave pubblica di tutti gli attori
coinvolti– regole di firewalling– log globali di tutte le macchine controllate– heart_beat in tempo reale
PcP-EE_DB(RDBMS)
![Page 20: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/20.jpg)
Gli strumenti/2
permette al Policy Manager la definizione di:– gruppi di macchine: Client/Server– ruoli aziendali– profili– regole di firewalling
Policy Management Tool(software client)
Lavora in localecon aggiornamento del PcP-EE_DB on demand
![Page 21: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/21.jpg)
Gli strumenti/3
Monitor Console
E’ l’interfaccia web al PcP-EE_ DB chepermette all’Operation Manager:
• l’interrogazione, l’elaborazione e la presentazionedelle informazioni generate dai software PcP-EE in esercizio
su tutte le macchine Client/Server Windows all’interno dell’Azienda;• la configurabilità e la gestione di allarmi
• la memorizzazione di query ricorrenti
![Page 22: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/22.jpg)
Gli strumenti/4
– autenticare le licenze PcP-EE ed i singoli Users;– distribuire le Policy per i Server ed i Client oltre
che le policy specifiche per lo User;– acquisire i log dalle varie stazioni ed i pacchetti
informativi (heart beat) relativi al traffico di rete dei singoli sistemi
– aggiornare PcP-EE_ DB centrale
Policy Serverè un servizio presente su uno o più sistemi all’interno dell’azienda
permette di:
![Page 23: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/23.jpg)
Distribuited Security Agent
questo software assolve una serie di compiti
é presente su ogni client ed ogni server aziendalecon sistema operativo Microsoft
Gli Strumenti/5
![Page 24: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/24.jpg)
PcP-EE: duty/1
ogni macchina viene associata ad una licenza PcP-EE
un utente che voglia lavorare su una macchinaviene prima identificato ed autorizzato,
quindi le regole di firewalling ed il profilo di protezione associato al ruolo che l’utente, in quel momento, incarna in azienda
sono calate sulla macchina su cui opera
ad ogni macchina vengono assegnate specifiche regole di firewalling
ed il profilo di protezione del gruppo a cui la macchina appartiene
![Page 25: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/25.jpg)
PcP-EE: duty/2
il traffico di rete viene bloccato/abilitato,così come viene indicato dalle regole di firewalling
dichiara la propria esistenza in vitatramite pacchetti statistici
che fungono da HeartBeat per PcP-EE stesso
viene generato il log relativo al matching delle regole di firewalling,se questa funzione è richiesta per queste regole
![Page 26: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/26.jpg)
Riepilogo
Policy ServerPolicy Server
PcP-EE_DB
OperationManager
Policy Manager
Policy Server
Policy Server
![Page 27: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/27.jpg)
per concludere …
“la sicurezza è un processo,non è un prodotto”
(Bruce Schneier)
![Page 28: The Missing Link](https://reader038.vdocument.in/reader038/viewer/2022103018/5598edff1a28ab65118b4711/html5/thumbnails/28.jpg)
Exit