The Dark Side of the GDPR: dalla compliance alla formazione
Architettura Di Reti Sicure
1. Architetture di Reti Sicure: Network Access Control Acri, 21 Settembre 2006 Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – info@xronos.it Ing. Maurizio Maggiora Project Engineer - Networking Ing. Giancarlo La Scola Sales Area Engineer
2.
3.
4. Profilo Aziendale Xronos S.r.l. è una Società di Servizi nel settore dell’ Information Technology che progetta e implementa soluzioni tecnologiche avanzate finalizzate al miglioramento del Business Aziendale e della Qualità della Vita per Piccole e medie imprese private, Enti Pubblici (PA, Local Government, Poli di formazione). La nostra System Integration è fondata essenzialmente sulle partnership tematiche: Core/Edge switching, routing, VoIP, i-MG Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – info@xronos.it Sicurezza dei dati e dell’infrastruttura Client, Server, Storage, Middleware
5. Le certificazioni Aziendali CCNA & CCNP Cisco Certified Network Associate & Network Professional CCDA & CCDP Cisco Certified Design Associate & Design Professional CCIP Cisco Certified Internetwork Professional CWNA Certified Wireless Network Administrator MCP & MCSA Microsoft Certified Professional & Microsoft System Administrator Raytalk Wireless Lan – Indoor & Outdoor – Installer AT – NCTIS – FD NetCover Configuration and Installation Service CAI R/S Certified Allied Telesis Installer Router/Layer 3 Switch CAT – CAI R/S Certified Allied Telesis Trainer – CAI R/S SCTS Symantec Certified Technical Specialist, SGS 2.0 Administration Axis Axis Academy Certified Installer Gold Partner (Enterprise Solution) Certified Solution Provider Advanced Business Partner Le certificazioni Professionali Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – info@xronos.it
6. Profilo Aziendale: Qualità Xronos S.r.l. ha conseguito la Certificazione ISO 9001:2000 , per le categorie: “ Progettazione, Installazione, Configurazione ed Assistenza su reti e sistemi informatici ”; “ Commercializzazione ed assistenza prodotti software e hardware ” ( BVQI, Cert. Num. 180248 ) Profilo Aziendale: Dove Siamo Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – info@xronos.it Sede Legale/Operativa: via Osvaldo Marzano, 34 70125 Bari (BA) tel./fax (+39) 080 5026835 Sito Web: http://www.xronos.it Email: [email_address]
7.
8.
9.
10.
11.
12. I rischi per la sicurezza (Statistica Gartner) Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – info@xronos.it 1995 1996 1997 1998 1999 2000 2001 2002 200M 300M 400M 500M 600M 700M 900M 0 Infection Attempts 100M 800M Network Intrusion Attempts 20,000 40,000 60,000 80,000 120,000 0 100,000 Blended Threats (CodeRed, Nimda, Slammer) Denial of Service (Yahoo!, eBay) Mass Mailer Viruses (Love Letter/Melissa) Zombies Polymorphic Viruses (Tequila) Malicious Code Infection Attempts Network Intrusion Attempts Worldwide Attacks
13. I rischi per la sicurezza I worm che sfruttano le vulnerabilità dei sistemi e delle reti crescono in frequenza e complessità. Le minacce all‘integrità dei dati si presentano sotto molteplici forme. Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – info@xronos.it
14. Le vulnerabilità della rete (Statistica Gartner) 60% 10% 25% 5% Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – info@xronos.it Agent + PFW + Host Integrity Patch non aggiornate Patch recenti Nuove vulnerabilità Errate configurazioni 0-Day Attack IPS Agent + PFW + Host Integrity
15.
16.
17.
18. Il problema… Il tempo di disservizio della rete, causato da incidenti di Sicurezza ( worm , virus , patch mancanti, errate configurazioni dei sistemi) è molto costoso ed espone l’Azienda al significativo rischio di perdita di proprietà intellettuali e/o di responsabilità legali. Spesso questi problemi possono essere evitati mantenendo i sistemi compliant con gli standard definiti dall’IT Manager ( policy ). NAC lavora con le infrastrutture per l’accesso alla rete per garantire che i sistemi siano allineati alle policy prestabilite, prima che sia loro consentito l’utilizzo delle risorse. Questo protegge la rete e ne aumenta produttività e disponibilità. Il processo completamente automatico di aggiornamento/allineamento ( remediation ) dei sistemi che sono non-compliant semplifica la gestione da parte degli amministratori di rete. … e la soluzione Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – info@xronos.it
25. La Soluzione Symantec/Allied Telesis Symantec Enforcement Agent IEEE 802.1x Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – info@xronos.it DHCP Server Microsoft SQL Database Symantec Policy Manager LAN Enforcer DHCP Enforcer Gateway Enforcer
26.
27. NAC Enforcement: LAN, DHCP, Gateway Enforcer Gateway Enforcer Il Gateway Enforcer fornisce il controllo degli accessi alle risorse critiche del sistema (Data Center, Server Applicativi, DB Server) che avvengono mediante collegamenti VPN, IPsec, SSL, WAN DHCP Enforcer Il DHCP Enforcer garantisce il controllo dell’accesso alla rete per quegli endpoint che utilizzano l'assegnazione dinamica dell'indirizzo IP LAN (802.1x) Enforcer Il LAN enforcer utilizza lo standard IEEE 802.1x ( Admission Control Protocol ) per autenticare i sistemi rispetto ad un determinato gruppo di switch, wired e wireless Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – info@xronos.it
28. LAN (802.1x) Enforcement: come funziona Il LAN Enforcer controlla il login dell’utente Ethernet 802.1x Utente RADIUS server Symantec LAN Enforcer Symantec Policy Manager Lo Switch dialoga con il LAN Enforcer Remediation Server Rete di Quarantena Il LAN Enforcer connette l’utente alla Rete Aziendale o alla Rete di Quarantena per la remediation Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – info@xronos.it
29. 802.1x - Port Based Network Access Control L’ 802.1x è uno standard IEEE basato sul controllo delle porte di accesso alla rete LAN/MAN. Questo standard provvede ad autenticare ed autorizzare i dispositivi collegati alle porte della rete stabilendo un collegamento punto-punto e prevenendo collegamenti non autorizzati alla rete locale. Viene utilizzato dalle reti locali wireless per gestire le connessioni agli access point e si basa sul protocollo EAP, Extensible Authentication Protocol ( RFC 2284 ). L' 802.1x è supportato dalla maggioranza dei nuovi switch Allied Telesis e può effettuare l'autenticazione in congiunzione con un programma installato sull’ Endpoint , eliminando la possibilità di un accesso non autorizzato tramite collegamento al livello fisico della rete. Normalmente, l'autenticazione è fatta da una terza parte, come un server RADIUS . Questo fornisce l'autenticazione del client o l'autenticazione mutua. Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – info@xronos.it
30.
31. DHCP Enforcement: EndPoint Compliant Utente mobile Wireless Utente DHCP Server DHCP Enforcer Switch DHCP Request Unknown system- send route filters or Quarantine Address Probe for agent and policy status Trigger release/renew on pass 10.1.1.100 Route 10.2.2.2 DHCP Request Compliant- send regular address 10.1.1.100 Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – info@xronos.it
32. DHCP Enforcement: EndPoint Non-Compliant Wireless Utente DHCP Server DHCP Enforcer Switch Remediation Server DHCP Request Unknown system- send route filters Probe for agent and policy status Trigger remediation on failure 10.1.1.100 Route 10.2.2.2 Perform Remediation action Trigger Release/Renew upon completion DHCP Request Compliant—Remove route filters 10.1.1.100 Utente mobile Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – info@xronos.it
33. Gateway Enforcement: come funziona I sistemi privi di agent o con le policy non aggiornate non hanno accesso alle risorse protette dal Gateway Enforcer (Data Center, DB-Server, Application Server) Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – info@xronos.it Gateway Enforcer Utente Server Farm (rete aziandale protetta) Policy Manager
36. Universal NAC Solution 802.1x Enforcement Compliant Non-Compliant Remediation Guest Access Gateway Enforcement Compliant Non-Compliant Symantec Gateway Enforcer Server Desktop Guest Wireless Radius Remediation DHCP Applications Router Switch Symantec Policy Manager Symantec LAN Enforcer Symantec DHCP Enforcer Hackers Kiosk Mobile User Telecommuter Partner Thieves IPSEC VPN SSL VPN UNPROTECTED NETWORKS Symantec On-Demand Policy Manager Password Token User Name Status EAP Patch Updated Service Pack Updated Personal Firewall On Anti-Virus Updated Anti-Virus On Status Host Integrity Rule Password Token User Name Status EAP Patch Updated Service Pack Updated Personal Firewall On Anti-Virus Updated Anti-Virus On Status Host Integrity Rule Patch Updated Service Pack Updated Personal Firewall On Anti-Virus Updated Anti-Virus On Status Host Integrity Rule Patch Updated Service Pack Updated Personal Firewall On Anti-Virus Updated Anti-Virus On Status Host Integrity Rule Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – info@xronos.it
37. Grazie per la Vostra attenzione! Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – info@xronos.it Buon Coffee Break! Ing. Maurizio Maggiora Project Engineer - Networking Ing. Giancarlo La Scola Sales Area Engineer
Editor's Notes
Saluti Presentazione Personale e Aziendale Ringraziamenti all’associazione RioNeCa e in particolare al ing. Violetta per l’opportunità concessa