SlideShare a Scribd company logo

Tracciamento delle attività di amministrazione mediante i BalaBit Shell Control Box

Babel
Babel

SHELL CONTROL BOX: IL GUSTO DELLA SICUREZZA I TechAdvisor Babel presentano i dettagli dell'ultima versione dello Shell Control Box, la soluzione di BalaBit dedicata al monitoraggio e all'audit degli accessi amministrativi remoti. L'evento ha avuto luogo il 21 novembre 2012 presso il Rome Cavalieri Hilton. BalaBit: www.balabit.com Babel: www.babel.it

Technology
1 of 10
Download to read offline
Tracciamento delle attività di amministrazione mediante i BalaBit Shell Control Box di Michelangelo Uberti BalaBit IT Security E’ già da diversi anni che Babel distribuisce, integra e supporta i prodotti di BalaBit IT Security, una software house ungherese fondata nel 1996 specializzata in soluzioni di sicurezza quali il monitoraggio delle attività, l’autenticazione sicura ed i gateway proxy-based. Uno dei loro prodotti più noti è sicuramente il syslog-ng – non a caso sono spesso identificati come “l’azienda del syslog-ng” – un’evoluzione del classico syslog presente su tutti i sistemi operativi Unix e Linux. L’agent syslog-ng, unito agli appliance denominati syslog-ng Store Box (SSB), consente di rispondere tecnicamente ai principali requisiti previsti dalla normativa vigente in termini di log collection. I tre amministratori: lo Sbadato, il Furbetto, il Pigro Per introdurre la tematica del monitoraggio degli amministratori è opportuno mostrare cosa accade quotidianamente all’interno di ogni team di gestione delle infrastrutture IT. L’incidente mostrato nel primo video si palesa rapidamente perché non sarà più possibile accedere ai log del sistema coinvolto. La parte difficile è identificare il responsabile e capire perché si è verificato l’incidente. Secondo la terminologia ISO 27001, l’amministratore del video rappresenta una “minaccia interna non ostile”. L’amministratore del secondo video si rivela dannoso sotto molti punti di vista: consuma risorse elaborative aziendali quali banda, storage, etc., compromette la sicurezza dei sistemi utilizzati per effettuare i download e cosa ancor più grave pone l’azienda in pericolo dal punto di vista legale. Secondo la terminologia ISO 27001, l’amministratore del video rappresenta una “minaccia interna ostile”. In quest’ultimo caso il soggetto del terzo video è un operatore in outsourcing che per semplicità o per consuetudine ha creato una breccia nelle difese perimetrali dell’infrastruttura. Eludendo le policy aziendali del Cliente ha compromesso la sicurezza dei sistemi e dei dati. BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
Secondo la terminologia ISO 27001, l’amministratore del video rappresenta una “minaccia esterna ostile”. Per alcuni manager di Operations situazioni di questo tipo non saranno una novità, probabilmente avranno dovuto fronteggiarle più di una volta, per altri sarà invece una doccia fredda. Una volta acquisita la consapevolezza di ciò che accade quotidianamente è doveroso porsi una domanda: sono davvero in grado di porvi rimedio e gestirle? Se si, con quali strumenti? La risposta tecnologica a questo tipo di minacce è una sola: BalaBit Shell Control Box. Introduzione allo Shell Control Box Nel 2006, 10 anni dopo la fondazione della società e dopo il grande successo ottenuto col syslog- ng e con la prima versione commerciale del proxy-firewall Zorp, Balabit ha presentato gli Shell Control Box (SCB). Lo Shell Control Box è un apparato utile ad effettuare il monitoraggio e l’audit degli accessi amministrativi remoti a uno o più server mediante il controllo delle connessioni, crittografate e non, usate per l’amministrazione dei server. E’ un apparato esterno, trasparente, completamente indipendente dai client e dai server. Infatti non è necessario modificare le applicazioni client/server per poter utilizzare l’apparato, che si integra senza problemi nelle infrastrutture esistenti. L’SCB traccia tutto il traffico amministrativo in code di audit; tutti i dati sono salvati in file crittografati, e firmati con timestamp, in modo da prevenirne l’alterazione post-recording; in caso di qualunque problema (errata configurazione di un server, manipolazione di un database, etc.) le circostanze dell’evento sono facilmente reperibili negli audit trail, identificando in tal modo l’autore e le circostanze che hanno portato al malfunzionamento o al cattivo uso di un server monitorato. Tutti gli audit trail sono salvati su un indexing server, il quale li rende disponibili sotto forma di “filmati” e fornisce report e ricerche tra i dati registrati. Inoltre, per prevenire un abuso delle informazioni sensibili contenute nelle registrazioni, è possibile crittografare le registrazioni delle due direzioni del traffico (client->server e server->client) con chiavi diverse, in modo che sia possibile vedere il flusso completo soltanto se si è in possesso di entrambe le chiavi (tipicamente distribuite a due persone diverse). E’ infine possibile configurare la 4-eyes authentication, una modalità in cui una volta richiesta una connessione verso uno specifico server, questa viene stabilita verso l’SCB e “congelata” in attesa che un autorizzatore permetta al client la connessione al server. BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
I protocolli al momento supportati dall’apparato sono SSH (v2), SCP e SFTP, X11 rediretto via SSH, RDP (v4-7), VMware View su client connessi in RDP, Telnet, TN3270, Citrix ICA e VNC (v3.3-3.8). Dalla prossima versione – a breve disponibile – sarà supportato anche il protocollo HTTP/HTTPS. La configurazione dell’SCB è possibile mediante una comoda interfaccia web/HTTPS. Gli aspetti legali del controllo remoto Per affrontare gli aspetti normativi relativi alla videosorveglianza e più genericamente al controllo remoto è necessario premettere quanto segue:  il datore di lavoro deve assicurare funzionalità e corretto impiego dei mezzi messi a disposizione dei lavoratori, adottando le adeguate misure di sicurezza atte a garantire disponibilità ed integrità delle informazione e prevenzione di utilizzi indebiti (rif: art 15, 31, 167 e 169 del Codice della Privacy)  I lavoratori devono essere tutelati in quanto l'utilizzo di internet o della posta ad esempio, comporta la possibilità di analisi dei log, etc traendo informazioni anche sensibili relative al lavoratore. I controlli che abbiano come scopo fini organizzativi, di sicurezza o di contrasto di comportamenti illegittimi non sono compresi nel divieto dell'art. 4 comma 1 legge 300/1970 (“Statuto dei lavoratori”), se sono organizzati in modo tale che da essi non possa derivare controllo dei lavoratori durante l'attività; in caso contrario possono essere utilizzati solo dopo accordo con la rappresentanza sindacale o la rappresentanza dei lavoratori. Secondo quanto prescritto dagli art. 3 e 11 del Codice della Privacy, tutte le misure e i controlli messi in campo dal datore di lavoro devono comunque rispettare i principi di:  necessità  correttezza  finalità determinate, esplicite, legittime  pertinenza  non eccedenza Come è possibile superare il conflitto tra le esigenze del datore di lavoro ed i diritti del lavoratore? Sia lo Statuto dei lavoratori che il Codice della Privacy stabiliscono la necessità di indicare chiaramente e preventivamente strumenti e metodi di lavoro che possono avere ad oggetto il lavoratore. Il Garante indica due obblighi indispensabili:  Linee guida o regolamento interno per l'utilizzo degli strumenti BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
 Informativa ex art. 13 Codice Privacy (es. banner all’accesso) Tali strumenti hanno il duplice scopo di informare preventivamente il lavoratore sulle misure difensive messe in atto dal datore di lavoro nonché consentire l’avvio di una specifica attività previa accettazione delle condizioni di utilizzo. La giurisprudenza ammette una deroga dell'art. 4 comma 1 dello Statuto dei lavoratori in relazione ai controlli c.d. “difensivi”, ossia di tutti quei sistemi di monitoraggio diretti ad accertare condotte illecite e sleali del personale oppure idonee a ledere il patrimonio della società e/o la sicurezza aziendale. Recenti sentenze della Corte di Cassazione hanno fornito spunti interessanti sul tema dei “controlli a distanza”:  Cassazione Civile, Sezione Lavoro, 24 luglio 2003, n. 11516  Cassazione Civile, Sezione Lavoro, 28 gennaio 2011, n. 2117  Cassazione Civile, Sezione Lavoro, 23 febbraio 2012, n. 2722  Cassazione, Sezione III Penale, 11 giugno 2012, n. 22611 Modalità di inserimento in rete E’ importante notare che l’SCB può analizzare soltanto il traffico remoto tra client e server che lo attraversa. Ciò significa che non può tracciare connessioni locali ai server (es. una console locale, o un notebook connesso via seriale o cavo cross al server stesso): il controllo degli accessi alle sale server continua ad essere un elemento fondamentale per garantire la sicurezza fisica di un datacenter. Dal punto di vista del networking, è un prerequisito che client e server siano localizzati su due segmenti di rete distinti o che sui server siano impostate delle ACL che impediscono il logon da IP non autorizzati (cioè tutti tranne quello dell’SCB). L’SCB esamina e traccia soltanto il traffico “utile” (connessioni SSH, RDP, SCP etc.), limitandosi a ignorare e forwardare i restanti tipi di traffico. Per fare ciò utilizza le classiche tecniche di man-in- the-middle per decifrare e terminare le connessioni soggette a ispezione. Separa fisicamente la connessione in due parti (client->SCB, SCB->server), in modo che non sia possibile trasferire direttamente dati sottoposti ad audit tra il client e il server. BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
Il traffico viene ispezionato a livello applicativo, layer 7 della pila OSI; di conseguenza l’SCB controlla le connessioni, che devono rispettare gli standard dei rispettivi protocolli; verranno rifiutate tutte le violazioni dei protocolli e altre anomalie di connessione, in modo da proteggere i server da eventuali attacchi. E’ inoltre possibile, dato che l’SCB interviene già al momento dell’handshake della connessione, definire quali parametri di crittografia sono utilizzabili (per es. escludere i tipi di crittografia deboli), e chi può connettersi a cosa e quando, limitando gli accessi in base a username, tipo di autenticazione usata, orari etc., per ogni “canale” permesso (client- >server). L’apparato prevede tre diverse modalità di inserimento in rete: bridge mode, router mode, e bastion/non-trasparent mode. Bridge mode Nella modalità Bridge, l’SCB connette fisicamente – a livello 2 della pila OSI – i due segmenti di rete su cui sono allocati i client e i server, per es.: Router mode Nella modalità Router, l’SCB agisce come un transparent router, connettendo a livello 3 i due segmenti di rete su cui sono allocati i client e i server, separando completamente i server dal resto della rete. BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
Bastion Mode/Non-transparent Mode E’ infine disponibile la modalità Bastion/Non-transparent, in cui l’SCB diventa la macchina a cui connettersi come “ponte” verso i server destinatari. Questa configurazione è particolarmente restrittiva e richiede che i client siano informati della presenza dell’SCB. Richiede inoltre una modifica all’indirizzamento delle connessioni sulle quali fare audit. Gestione delle connessioni cifrate Le connessioni cifrate hanno una gestione differente rispetto alle connessioni in chiaro, e rendono necessario l’uso di tecniche di man-in-the-middle. Il client si connetterà all’indirizzo IP “originale” del server; l’SCB riceve la richiesta di connessione, e stabilisce una connessione TCP con il client. Verifica quindi la richiesta di connessione, controllando che rispecchi le policy configurate sull’apparato (IP del client e del server, protocollo, porta, time policy, etc.), e qualora rispecchino una delle suddette policy, la connessione viene ispezionata in BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
dettaglio. Qualora la connessione non fosse da monitorare, l’SCB si limiterà a fare un forwarding dei pacchetti verso l’host destinatario. Successivamente l’SCB si connette al server destinatario, usando eventuali SNAT/DNAT configurate per la specifica policy, negoziando la connessione utilizzando i protocol settings specificati nella stessa policy. L’handshake SSH viene effettuato in contemporanea verso il client e verso il server. La hostkey utilizzata per SSH, mostrata al client, potrà essere una hostkey generata dall’SCB, oppure quella originale del server, se preventivamente installata all’interno della policy. In quest’ultimo caso, il client non sarà in alcun caso a conoscenza del fatto che la connessione è sottoposta ad audit. Viceversa, durante la connessione verso il server, l’SCB verificherà che la hostkey presentata dal server corrisponda a quella precedentemente caricata, negando la connessione qualora la chiave non fosse corretta. In alternativa è possibile configurare l’apparato in modo da accettare in maniera “silente” le hostkey presentate dai server, considerandoli “sicuri”. Se la connessione ha successo, l’SCB può verificare che lo specifico nome utente che sta effettuando la connessione sia presente nella lista di quelli permessi per la policy. E’ eventualmente possibile utilizzare un server LDAP per effettuare il lookup degli username e verificare l’appartenenza a un gruppo. La lista degli utenti può essere configurata come una whitelist o come una blacklist (bloccando soltanto determinati utenti). L’SCB si autentica verso il server utilizzando le credenziali fornite dal client, oppure utilizzando dei dati presi da un Credential Store, un database locale di utenti/chiavi/password; in tal modo è possibile configurare delle utenze di gruppo sui server, lasciando all’SCB l’onere di associare l’utente client al gruppo, e slegando in questo modo le credenziali in possesso degli utenti client con le credenziali configurate sui server. A questo punto la connessione è stabilita e autenticata; l’SCB verifica le eventuali “estensioni” ammesse per la policy utilizzata (per esempio, se sono permessi i TCP forwarding su canale SSH etc.). Una volta stabilita definitivamente la connessione, l’SCB registra l’intera comunicazione tra client e server, registrandola negli audit trail successivamente accessibili per controlli e auditing. Appliance Fisico e Virtuale L’appliance è disponibile in diversi formati in modo da potersi adattare all’ambiente nel quale dovrà integrarsi. Ogni dispositivo hardware è stato progettato per garantire alte performance, efficienza energetica e naturalmente un elevato grado di affidabilità. BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
L’appliance hardware è disponibile in tre modelli, tutti rackable e dotati delle medesime versioni del sistema operativo a 64 bit e del software di gestione e consentono la configurazione in HA active-passive. La tabella sottostante riassume le principali caratteristiche delle tre versioni: Rack Alimentatore Modello Processore RAM Storage Unit ridondato Intel X3430 2,4GHz 2x 1TB SATA SCB N1000 1 No 4GB QC (Software RAID1) 2 x Intel Xeon E5620 2x 1TB SATA SCB N1000d 2 Si 6x DDR3 4GB 2,26GHz (Software RAID1) 12x 1TB SATA 2 x Intel Xeon E5620 SCB N10000 2 Si 6x DDR3 4GB (ADAPTEC 5405 SAS 2,26GHz RAID Controller) Per chi predilige l’utilizzo o necessita di un sistema virtuale è disponibile il virtual appliance compatibile con VMware ESXi 4.0 (o successiva). Rispetto alla versione fisica non è possibile abilitare la modalità bridge e l’HA nativa di prodotto (è comunque possibile affidarsi a tool di terze parti quali l’HA di VMware). Licenze e supporto tecnico Il modello di licensing del prodotto prevede dei canoni basati sul numero di sistemi monitorati e sul livello di supporto selezionato: Base, Extended e Privilege. Il numero di server gestiti può variare secondo il seguente schema: 5, 10, 15, 25, 35, 50, 75, 100, 125, 150, 175, 200, 225, 250 e infine unlimited. La scelta del contratto di manutenzione dipende principalmente dal response time e dal tipo di assistenza richiesto. La tabella sottostante riepiloga tutti questi elementi. BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
Driver Base Extended Privilege 5x8 5x12 7x24 Disponibilità oraria Lun-Ven Lun-Ven Lun-Dom 9-17 CET 8-20 CET 0-24 CET Response time per eventi Critici (Priorità 1) NBD 4h 2h Software subscription Si Si Si Sostituzione delle componenti hardware in 10gg lavorativi 2gg lavorativi NBD garanzia Contatti tecnici abilitati a ricevere supporto 2 4 6 Ore di supporto tecnico incluse (per mese) 4 8 12 Tutti i livelli di supporto prevedono l’accesso alla knowledge base riservata ai Clienti e l’iscrizione alla mailing list del supporto tecnico. BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
Licenza d'uso “Attribuzione - Non commerciale - Non opere derivate”, secondo i criteri internazionali Creative Commons (http://creativecommons.org/licenses/by-nc-nd/2.5/it/) BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015

Recommended

Brochure sicurweb
Brochure sicurwebBrochure sicurweb
Brochure sicurwebPellegrino Albanese
 
Brochure sicurweb
Brochure sicurwebBrochure sicurweb
Brochure sicurwebPellegrino Albanese
 
Calentamiento
CalentamientoCalentamiento
Calentamientowilligonza87
 
Presentación maq 2012
Presentación maq 2012Presentación maq 2012
Presentación maq 2012elementosu
 
Mathias klotz
Mathias klotzMathias klotz
Mathias klotzelementosu
 
Mathias klotz
Mathias klotzMathias klotz
Mathias klotzelementosu
 
Trabajo práctico mathias klotz
Trabajo práctico mathias klotzTrabajo práctico mathias klotz
Trabajo práctico mathias klotzelementosu
 
Shell Control Box - Il Gusto della Sicurezza
Shell Control Box - Il Gusto della SicurezzaShell Control Box - Il Gusto della Sicurezza
Shell Control Box - Il Gusto della SicurezzaBabel
 

Recommended

Brochure sicurweb
Brochure sicurwebBrochure sicurweb
Brochure sicurwebPellegrino Albanese
 
Brochure sicurweb
Brochure sicurwebBrochure sicurweb
Brochure sicurwebPellegrino Albanese
 
Calentamiento
CalentamientoCalentamiento
Calentamientowilligonza87
 
Presentación maq 2012
Presentación maq 2012Presentación maq 2012
Presentación maq 2012elementosu
 
Mathias klotz
Mathias klotzMathias klotz
Mathias klotzelementosu
 
Mathias klotz
Mathias klotzMathias klotz
Mathias klotzelementosu
 
Trabajo práctico mathias klotz
Trabajo práctico mathias klotzTrabajo práctico mathias klotz
Trabajo práctico mathias klotzelementosu
 
Shell Control Box - Il Gusto della Sicurezza
Shell Control Box - Il Gusto della SicurezzaShell Control Box - Il Gusto della Sicurezza
Shell Control Box - Il Gusto della SicurezzaBabel
 
Brochure sicurweb #HSE 2018
Brochure sicurweb #HSE 2018Brochure sicurweb #HSE 2018
Brochure sicurweb #HSE 2018Pellegrino Albanese
 
[Se T 05 0044] T I Prs Secure Log Appliance [2
[Se T 05 0044] T I Prs Secure Log Appliance [2[Se T 05 0044] T I Prs Secure Log Appliance [2
[Se T 05 0044] T I Prs Secure Log Appliance [2Sandro Fontana
 
Brochure Ges 1
Brochure Ges 1Brochure Ges 1
Brochure Ges 1Fonte Creativa, Roma
 
Brochure Ges 1
Brochure Ges 1Brochure Ges 1
Brochure Ges 1fontecreativa
 
[Darnet][[ditedi] over layer 7 firewalling - part 2
[Darnet][[ditedi] over layer 7 firewalling - part 2[Darnet][[ditedi] over layer 7 firewalling - part 2
[Darnet][[ditedi] over layer 7 firewalling - part 2Dario Tion
 
TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMA...
TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMA...TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMA...
TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMA...Polaris Informatica srl
 
TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMATIVA
TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMATIVATUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMATIVA
TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMATIVAPolaris informatica
 
OpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSLOpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSLVincenzo Calabrò
 
Circolare in tema di art 4 S.L. e controlli datoriali doc (002)
Circolare in tema di art 4 S.L. e controlli datoriali doc (002)Circolare in tema di art 4 S.L. e controlli datoriali doc (002)
Circolare in tema di art 4 S.L. e controlli datoriali doc (002)Paola Cerullo
 
Con04 ispezione
Con04 ispezioneCon04 ispezione
Con04 ispezioneMichele Canalini
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
3pl
3pl3pl
3plbps84
 
Web box
Web boxWeb box
Web boxAntares srl
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoVincenzo Calabrò
 
OpenVAS, lo strumento open source per il vulnerability assessment
OpenVAS, lo strumento open source per il vulnerability assessmentOpenVAS, lo strumento open source per il vulnerability assessment
OpenVAS, lo strumento open source per il vulnerability assessmentBabel
 
Sicurezza lavoro Ospedali
Sicurezza lavoro OspedaliSicurezza lavoro Ospedali
Sicurezza lavoro Ospedaliportale consulenti
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Par-Tec S.p.A.
 
Normativa relativa al software sanitario e ai dispositivi medici
Normativa relativa al software sanitario e ai dispositivi mediciNormativa relativa al software sanitario e ai dispositivi medici
Normativa relativa al software sanitario e ai dispositivi mediciinformaticasanitaria
 
Il DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendaleIl DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendaleBabel
 
Le Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e RetiLe Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e RetiVincenzo Calabrò
 
Sophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezzaSophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezzaBabel
 
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...Babel
 

More Related Content

Similar to Tracciamento delle attività di amministrazione mediante i BalaBit Shell Control Box

[Se T 05 0044] T I Prs Secure Log Appliance [2
[Se T 05 0044] T I Prs Secure Log Appliance [2[Se T 05 0044] T I Prs Secure Log Appliance [2
[Se T 05 0044] T I Prs Secure Log Appliance [2Sandro Fontana
 
[Darnet][[ditedi] over layer 7 firewalling - part 2
[Darnet][[ditedi] over layer 7 firewalling - part 2[Darnet][[ditedi] over layer 7 firewalling - part 2
[Darnet][[ditedi] over layer 7 firewalling - part 2Dario Tion
 
TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMA...
TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMA...TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMA...
TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMA...Polaris Informatica srl
 
TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMATIVA
TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMATIVATUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMATIVA
TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMATIVAPolaris informatica
 
OpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSLOpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSLVincenzo Calabrò
 
Circolare in tema di art 4 S.L. e controlli datoriali doc (002)
Circolare in tema di art 4 S.L. e controlli datoriali doc (002)Circolare in tema di art 4 S.L. e controlli datoriali doc (002)
Circolare in tema di art 4 S.L. e controlli datoriali doc (002)Paola Cerullo
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoVincenzo Calabrò
 
OpenVAS, lo strumento open source per il vulnerability assessment
OpenVAS, lo strumento open source per il vulnerability assessmentOpenVAS, lo strumento open source per il vulnerability assessment
OpenVAS, lo strumento open source per il vulnerability assessmentBabel
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Par-Tec S.p.A.
 
Normativa relativa al software sanitario e ai dispositivi medici
Normativa relativa al software sanitario e ai dispositivi mediciNormativa relativa al software sanitario e ai dispositivi medici
Normativa relativa al software sanitario e ai dispositivi mediciinformaticasanitaria
 
Il DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendaleIl DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendaleBabel
 
Le Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e RetiLe Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e RetiVincenzo Calabrò
 

Similar to Tracciamento delle attività di amministrazione mediante i BalaBit Shell Control Box (20)

Brochure sicurweb #HSE 2018
Brochure sicurweb #HSE 2018Brochure sicurweb #HSE 2018
Brochure sicurweb #HSE 2018
 
[Se T 05 0044] T I Prs Secure Log Appliance [2
[Se T 05 0044] T I Prs Secure Log Appliance [2[Se T 05 0044] T I Prs Secure Log Appliance [2
[Se T 05 0044] T I Prs Secure Log Appliance [2
 
Brochure Ges 1
Brochure Ges 1Brochure Ges 1
Brochure Ges 1
 
Brochure Ges 1
Brochure Ges 1Brochure Ges 1
Brochure Ges 1
 
[Darnet][[ditedi] over layer 7 firewalling - part 2
[Darnet][[ditedi] over layer 7 firewalling - part 2[Darnet][[ditedi] over layer 7 firewalling - part 2
[Darnet][[ditedi] over layer 7 firewalling - part 2
 
TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMA...
TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMA...TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMA...
TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMA...
 
TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMATIVA
TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMATIVATUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMATIVA
TUTELARE IL PATRIMONIO INFORMATIVO AZIENDALE GARANTENDO LA COMPLIANCE NORMATIVA
 
OpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSLOpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSL
 
Circolare in tema di art 4 S.L. e controlli datoriali doc (002)
Circolare in tema di art 4 S.L. e controlli datoriali doc (002)Circolare in tema di art 4 S.L. e controlli datoriali doc (002)
Circolare in tema di art 4 S.L. e controlli datoriali doc (002)
 
Con04 ispezione
Con04 ispezioneCon04 ispezione
Con04 ispezione
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
 
3pl
3pl3pl
3pl
 
Web box
Web boxWeb box
Web box
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
 
OpenVAS, lo strumento open source per il vulnerability assessment
OpenVAS, lo strumento open source per il vulnerability assessmentOpenVAS, lo strumento open source per il vulnerability assessment
OpenVAS, lo strumento open source per il vulnerability assessment
 
Sicurezza lavoro Ospedali
Sicurezza lavoro OspedaliSicurezza lavoro Ospedali
Sicurezza lavoro Ospedali
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
 
Normativa relativa al software sanitario e ai dispositivi medici
Normativa relativa al software sanitario e ai dispositivi mediciNormativa relativa al software sanitario e ai dispositivi medici
Normativa relativa al software sanitario e ai dispositivi medici
 
Il DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendaleIl DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendale
 
Le Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e RetiLe Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e Reti
 

More from Babel

Sophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezzaSophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezzaBabel
 
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...Babel
 
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...Babel
 
Intercettazioni: guida alle nuove norme per i provider
Intercettazioni: guida alle nuove norme per i providerIntercettazioni: guida alle nuove norme per i provider
Intercettazioni: guida alle nuove norme per i providerBabel
 
Dalla virtualizzazione al private cloud: Il Patronato INCA rinnova la fiducia...
Dalla virtualizzazione al private cloud: Il Patronato INCA rinnova la fiducia...Dalla virtualizzazione al private cloud: Il Patronato INCA rinnova la fiducia...
Dalla virtualizzazione al private cloud: Il Patronato INCA rinnova la fiducia...Babel
 
Will iPython replace Bash?
Will iPython replace Bash?Will iPython replace Bash?
Will iPython replace Bash?Babel
 
La gestione integrata della sicurezza in ANSA: dal firewalling all'UTM
La gestione integrata della sicurezza in ANSA: dal firewalling all'UTMLa gestione integrata della sicurezza in ANSA: dal firewalling all'UTM
La gestione integrata della sicurezza in ANSA: dal firewalling all'UTMBabel
 
Installare i server via rete con Cobbler
Installare i server via rete con CobblerInstallare i server via rete con Cobbler
Installare i server via rete con CobblerBabel
 
La Desktop Virtualization
La Desktop VirtualizationLa Desktop Virtualization
La Desktop VirtualizationBabel
 
Crittografia e integrazione dei sistemi con Python
Crittografia e integrazione dei sistemi con PythonCrittografia e integrazione dei sistemi con Python
Crittografia e integrazione dei sistemi con PythonBabel
 
Intercettazioni e posta elettronica: le misure di sicurezza per i gestori
Intercettazioni e posta elettronica: le misure di sicurezza per i gestoriIntercettazioni e posta elettronica: le misure di sicurezza per i gestori
Intercettazioni e posta elettronica: le misure di sicurezza per i gestoriBabel
 
Babel presenta: Opsview
Babel presenta: OpsviewBabel presenta: Opsview
Babel presenta: OpsviewBabel
 
Monitoraggio di infrastrutture IT mediante Opsview Enteprise V4
Monitoraggio di infrastrutture IT mediante Opsview Enteprise V4Monitoraggio di infrastrutture IT mediante Opsview Enteprise V4
Monitoraggio di infrastrutture IT mediante Opsview Enteprise V4Babel
 
Testing with MySQL embedded
Testing with MySQL embeddedTesting with MySQL embedded
Testing with MySQL embeddedBabel
 
Cross compiler per uso domestico
Cross compiler per uso domesticoCross compiler per uso domestico
Cross compiler per uso domesticoBabel
 
Sicurezza flessibile con SELinux: architettura e configurazione
Sicurezza flessibile con SELinux: architettura e configurazioneSicurezza flessibile con SELinux: architettura e configurazione
Sicurezza flessibile con SELinux: architettura e configurazioneBabel
 
Ridirezionamento di I/O con Bash: un breve approfondimento
Ridirezionamento di I/O con Bash: un breve approfondimentoRidirezionamento di I/O con Bash: un breve approfondimento
Ridirezionamento di I/O con Bash: un breve approfondimentoBabel
 
Nagios in alta affidabilità con strumenti open source
Nagios in alta affidabilità con strumenti open sourceNagios in alta affidabilità con strumenti open source
Nagios in alta affidabilità con strumenti open sourceBabel
 
Il fenomeno dello spam: origine e contromisure
Il fenomeno dello spam: origine e contromisureIl fenomeno dello spam: origine e contromisure
Il fenomeno dello spam: origine e contromisureBabel
 
Il software open source: regole e licenze
Il software open source: regole e licenzeIl software open source: regole e licenze
Il software open source: regole e licenzeBabel
 

More from Babel (20)

Sophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezzaSophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezza
 
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
 
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
 
Intercettazioni: guida alle nuove norme per i provider
Intercettazioni: guida alle nuove norme per i providerIntercettazioni: guida alle nuove norme per i provider
Intercettazioni: guida alle nuove norme per i provider
 
Dalla virtualizzazione al private cloud: Il Patronato INCA rinnova la fiducia...
Dalla virtualizzazione al private cloud: Il Patronato INCA rinnova la fiducia...Dalla virtualizzazione al private cloud: Il Patronato INCA rinnova la fiducia...
Dalla virtualizzazione al private cloud: Il Patronato INCA rinnova la fiducia...
 
Will iPython replace Bash?
Will iPython replace Bash?Will iPython replace Bash?
Will iPython replace Bash?
 
La gestione integrata della sicurezza in ANSA: dal firewalling all'UTM
La gestione integrata della sicurezza in ANSA: dal firewalling all'UTMLa gestione integrata della sicurezza in ANSA: dal firewalling all'UTM
La gestione integrata della sicurezza in ANSA: dal firewalling all'UTM
 
Installare i server via rete con Cobbler
Installare i server via rete con CobblerInstallare i server via rete con Cobbler
Installare i server via rete con Cobbler
 
La Desktop Virtualization
La Desktop VirtualizationLa Desktop Virtualization
La Desktop Virtualization
 
Crittografia e integrazione dei sistemi con Python
Crittografia e integrazione dei sistemi con PythonCrittografia e integrazione dei sistemi con Python
Crittografia e integrazione dei sistemi con Python
 
Intercettazioni e posta elettronica: le misure di sicurezza per i gestori
Intercettazioni e posta elettronica: le misure di sicurezza per i gestoriIntercettazioni e posta elettronica: le misure di sicurezza per i gestori
Intercettazioni e posta elettronica: le misure di sicurezza per i gestori
 
Babel presenta: Opsview
Babel presenta: OpsviewBabel presenta: Opsview
Babel presenta: Opsview
 
Monitoraggio di infrastrutture IT mediante Opsview Enteprise V4
Monitoraggio di infrastrutture IT mediante Opsview Enteprise V4Monitoraggio di infrastrutture IT mediante Opsview Enteprise V4
Monitoraggio di infrastrutture IT mediante Opsview Enteprise V4
 
Testing with MySQL embedded
Testing with MySQL embeddedTesting with MySQL embedded
Testing with MySQL embedded
 
Cross compiler per uso domestico
Cross compiler per uso domesticoCross compiler per uso domestico
Cross compiler per uso domestico
 
Sicurezza flessibile con SELinux: architettura e configurazione
Sicurezza flessibile con SELinux: architettura e configurazioneSicurezza flessibile con SELinux: architettura e configurazione
Sicurezza flessibile con SELinux: architettura e configurazione
 
Ridirezionamento di I/O con Bash: un breve approfondimento
Ridirezionamento di I/O con Bash: un breve approfondimentoRidirezionamento di I/O con Bash: un breve approfondimento
Ridirezionamento di I/O con Bash: un breve approfondimento
 
Nagios in alta affidabilità con strumenti open source
Nagios in alta affidabilità con strumenti open sourceNagios in alta affidabilità con strumenti open source
Nagios in alta affidabilità con strumenti open source
 
Il fenomeno dello spam: origine e contromisure
Il fenomeno dello spam: origine e contromisureIl fenomeno dello spam: origine e contromisure
Il fenomeno dello spam: origine e contromisure
 
Il software open source: regole e licenze
Il software open source: regole e licenzeIl software open source: regole e licenze
Il software open source: regole e licenze
 

Tracciamento delle attività di amministrazione mediante i BalaBit Shell Control Box

  • 1. Tracciamento delle attività di amministrazione mediante i BalaBit Shell Control Box di Michelangelo Uberti BalaBit IT Security E’ già da diversi anni che Babel distribuisce, integra e supporta i prodotti di BalaBit IT Security, una software house ungherese fondata nel 1996 specializzata in soluzioni di sicurezza quali il monitoraggio delle attività, l’autenticazione sicura ed i gateway proxy-based. Uno dei loro prodotti più noti è sicuramente il syslog-ng – non a caso sono spesso identificati come “l’azienda del syslog-ng” – un’evoluzione del classico syslog presente su tutti i sistemi operativi Unix e Linux. L’agent syslog-ng, unito agli appliance denominati syslog-ng Store Box (SSB), consente di rispondere tecnicamente ai principali requisiti previsti dalla normativa vigente in termini di log collection. I tre amministratori: lo Sbadato, il Furbetto, il Pigro Per introdurre la tematica del monitoraggio degli amministratori è opportuno mostrare cosa accade quotidianamente all’interno di ogni team di gestione delle infrastrutture IT. L’incidente mostrato nel primo video si palesa rapidamente perché non sarà più possibile accedere ai log del sistema coinvolto. La parte difficile è identificare il responsabile e capire perché si è verificato l’incidente. Secondo la terminologia ISO 27001, l’amministratore del video rappresenta una “minaccia interna non ostile”. L’amministratore del secondo video si rivela dannoso sotto molti punti di vista: consuma risorse elaborative aziendali quali banda, storage, etc., compromette la sicurezza dei sistemi utilizzati per effettuare i download e cosa ancor più grave pone l’azienda in pericolo dal punto di vista legale. Secondo la terminologia ISO 27001, l’amministratore del video rappresenta una “minaccia interna ostile”. In quest’ultimo caso il soggetto del terzo video è un operatore in outsourcing che per semplicità o per consuetudine ha creato una breccia nelle difese perimetrali dell’infrastruttura. Eludendo le policy aziendali del Cliente ha compromesso la sicurezza dei sistemi e dei dati. BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
  • 2. Secondo la terminologia ISO 27001, l’amministratore del video rappresenta una “minaccia esterna ostile”. Per alcuni manager di Operations situazioni di questo tipo non saranno una novità, probabilmente avranno dovuto fronteggiarle più di una volta, per altri sarà invece una doccia fredda. Una volta acquisita la consapevolezza di ciò che accade quotidianamente è doveroso porsi una domanda: sono davvero in grado di porvi rimedio e gestirle? Se si, con quali strumenti? La risposta tecnologica a questo tipo di minacce è una sola: BalaBit Shell Control Box. Introduzione allo Shell Control Box Nel 2006, 10 anni dopo la fondazione della società e dopo il grande successo ottenuto col syslog- ng e con la prima versione commerciale del proxy-firewall Zorp, Balabit ha presentato gli Shell Control Box (SCB). Lo Shell Control Box è un apparato utile ad effettuare il monitoraggio e l’audit degli accessi amministrativi remoti a uno o più server mediante il controllo delle connessioni, crittografate e non, usate per l’amministrazione dei server. E’ un apparato esterno, trasparente, completamente indipendente dai client e dai server. Infatti non è necessario modificare le applicazioni client/server per poter utilizzare l’apparato, che si integra senza problemi nelle infrastrutture esistenti. L’SCB traccia tutto il traffico amministrativo in code di audit; tutti i dati sono salvati in file crittografati, e firmati con timestamp, in modo da prevenirne l’alterazione post-recording; in caso di qualunque problema (errata configurazione di un server, manipolazione di un database, etc.) le circostanze dell’evento sono facilmente reperibili negli audit trail, identificando in tal modo l’autore e le circostanze che hanno portato al malfunzionamento o al cattivo uso di un server monitorato. Tutti gli audit trail sono salvati su un indexing server, il quale li rende disponibili sotto forma di “filmati” e fornisce report e ricerche tra i dati registrati. Inoltre, per prevenire un abuso delle informazioni sensibili contenute nelle registrazioni, è possibile crittografare le registrazioni delle due direzioni del traffico (client->server e server->client) con chiavi diverse, in modo che sia possibile vedere il flusso completo soltanto se si è in possesso di entrambe le chiavi (tipicamente distribuite a due persone diverse). E’ infine possibile configurare la 4-eyes authentication, una modalità in cui una volta richiesta una connessione verso uno specifico server, questa viene stabilita verso l’SCB e “congelata” in attesa che un autorizzatore permetta al client la connessione al server. BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
  • 3. I protocolli al momento supportati dall’apparato sono SSH (v2), SCP e SFTP, X11 rediretto via SSH, RDP (v4-7), VMware View su client connessi in RDP, Telnet, TN3270, Citrix ICA e VNC (v3.3-3.8). Dalla prossima versione – a breve disponibile – sarà supportato anche il protocollo HTTP/HTTPS. La configurazione dell’SCB è possibile mediante una comoda interfaccia web/HTTPS. Gli aspetti legali del controllo remoto Per affrontare gli aspetti normativi relativi alla videosorveglianza e più genericamente al controllo remoto è necessario premettere quanto segue:  il datore di lavoro deve assicurare funzionalità e corretto impiego dei mezzi messi a disposizione dei lavoratori, adottando le adeguate misure di sicurezza atte a garantire disponibilità ed integrità delle informazione e prevenzione di utilizzi indebiti (rif: art 15, 31, 167 e 169 del Codice della Privacy)  I lavoratori devono essere tutelati in quanto l'utilizzo di internet o della posta ad esempio, comporta la possibilità di analisi dei log, etc traendo informazioni anche sensibili relative al lavoratore. I controlli che abbiano come scopo fini organizzativi, di sicurezza o di contrasto di comportamenti illegittimi non sono compresi nel divieto dell'art. 4 comma 1 legge 300/1970 (“Statuto dei lavoratori”), se sono organizzati in modo tale che da essi non possa derivare controllo dei lavoratori durante l'attività; in caso contrario possono essere utilizzati solo dopo accordo con la rappresentanza sindacale o la rappresentanza dei lavoratori. Secondo quanto prescritto dagli art. 3 e 11 del Codice della Privacy, tutte le misure e i controlli messi in campo dal datore di lavoro devono comunque rispettare i principi di:  necessità  correttezza  finalità determinate, esplicite, legittime  pertinenza  non eccedenza Come è possibile superare il conflitto tra le esigenze del datore di lavoro ed i diritti del lavoratore? Sia lo Statuto dei lavoratori che il Codice della Privacy stabiliscono la necessità di indicare chiaramente e preventivamente strumenti e metodi di lavoro che possono avere ad oggetto il lavoratore. Il Garante indica due obblighi indispensabili:  Linee guida o regolamento interno per l'utilizzo degli strumenti BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
  • 4. Informativa ex art. 13 Codice Privacy (es. banner all’accesso) Tali strumenti hanno il duplice scopo di informare preventivamente il lavoratore sulle misure difensive messe in atto dal datore di lavoro nonché consentire l’avvio di una specifica attività previa accettazione delle condizioni di utilizzo. La giurisprudenza ammette una deroga dell'art. 4 comma 1 dello Statuto dei lavoratori in relazione ai controlli c.d. “difensivi”, ossia di tutti quei sistemi di monitoraggio diretti ad accertare condotte illecite e sleali del personale oppure idonee a ledere il patrimonio della società e/o la sicurezza aziendale. Recenti sentenze della Corte di Cassazione hanno fornito spunti interessanti sul tema dei “controlli a distanza”:  Cassazione Civile, Sezione Lavoro, 24 luglio 2003, n. 11516  Cassazione Civile, Sezione Lavoro, 28 gennaio 2011, n. 2117  Cassazione Civile, Sezione Lavoro, 23 febbraio 2012, n. 2722  Cassazione, Sezione III Penale, 11 giugno 2012, n. 22611 Modalità di inserimento in rete E’ importante notare che l’SCB può analizzare soltanto il traffico remoto tra client e server che lo attraversa. Ciò significa che non può tracciare connessioni locali ai server (es. una console locale, o un notebook connesso via seriale o cavo cross al server stesso): il controllo degli accessi alle sale server continua ad essere un elemento fondamentale per garantire la sicurezza fisica di un datacenter. Dal punto di vista del networking, è un prerequisito che client e server siano localizzati su due segmenti di rete distinti o che sui server siano impostate delle ACL che impediscono il logon da IP non autorizzati (cioè tutti tranne quello dell’SCB). L’SCB esamina e traccia soltanto il traffico “utile” (connessioni SSH, RDP, SCP etc.), limitandosi a ignorare e forwardare i restanti tipi di traffico. Per fare ciò utilizza le classiche tecniche di man-in- the-middle per decifrare e terminare le connessioni soggette a ispezione. Separa fisicamente la connessione in due parti (client->SCB, SCB->server), in modo che non sia possibile trasferire direttamente dati sottoposti ad audit tra il client e il server. BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
  • 5. Il traffico viene ispezionato a livello applicativo, layer 7 della pila OSI; di conseguenza l’SCB controlla le connessioni, che devono rispettare gli standard dei rispettivi protocolli; verranno rifiutate tutte le violazioni dei protocolli e altre anomalie di connessione, in modo da proteggere i server da eventuali attacchi. E’ inoltre possibile, dato che l’SCB interviene già al momento dell’handshake della connessione, definire quali parametri di crittografia sono utilizzabili (per es. escludere i tipi di crittografia deboli), e chi può connettersi a cosa e quando, limitando gli accessi in base a username, tipo di autenticazione usata, orari etc., per ogni “canale” permesso (client- >server). L’apparato prevede tre diverse modalità di inserimento in rete: bridge mode, router mode, e bastion/non-trasparent mode. Bridge mode Nella modalità Bridge, l’SCB connette fisicamente – a livello 2 della pila OSI – i due segmenti di rete su cui sono allocati i client e i server, per es.: Router mode Nella modalità Router, l’SCB agisce come un transparent router, connettendo a livello 3 i due segmenti di rete su cui sono allocati i client e i server, separando completamente i server dal resto della rete. BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
  • 6. Bastion Mode/Non-transparent Mode E’ infine disponibile la modalità Bastion/Non-transparent, in cui l’SCB diventa la macchina a cui connettersi come “ponte” verso i server destinatari. Questa configurazione è particolarmente restrittiva e richiede che i client siano informati della presenza dell’SCB. Richiede inoltre una modifica all’indirizzamento delle connessioni sulle quali fare audit. Gestione delle connessioni cifrate Le connessioni cifrate hanno una gestione differente rispetto alle connessioni in chiaro, e rendono necessario l’uso di tecniche di man-in-the-middle. Il client si connetterà all’indirizzo IP “originale” del server; l’SCB riceve la richiesta di connessione, e stabilisce una connessione TCP con il client. Verifica quindi la richiesta di connessione, controllando che rispecchi le policy configurate sull’apparato (IP del client e del server, protocollo, porta, time policy, etc.), e qualora rispecchino una delle suddette policy, la connessione viene ispezionata in BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
  • 7. dettaglio. Qualora la connessione non fosse da monitorare, l’SCB si limiterà a fare un forwarding dei pacchetti verso l’host destinatario. Successivamente l’SCB si connette al server destinatario, usando eventuali SNAT/DNAT configurate per la specifica policy, negoziando la connessione utilizzando i protocol settings specificati nella stessa policy. L’handshake SSH viene effettuato in contemporanea verso il client e verso il server. La hostkey utilizzata per SSH, mostrata al client, potrà essere una hostkey generata dall’SCB, oppure quella originale del server, se preventivamente installata all’interno della policy. In quest’ultimo caso, il client non sarà in alcun caso a conoscenza del fatto che la connessione è sottoposta ad audit. Viceversa, durante la connessione verso il server, l’SCB verificherà che la hostkey presentata dal server corrisponda a quella precedentemente caricata, negando la connessione qualora la chiave non fosse corretta. In alternativa è possibile configurare l’apparato in modo da accettare in maniera “silente” le hostkey presentate dai server, considerandoli “sicuri”. Se la connessione ha successo, l’SCB può verificare che lo specifico nome utente che sta effettuando la connessione sia presente nella lista di quelli permessi per la policy. E’ eventualmente possibile utilizzare un server LDAP per effettuare il lookup degli username e verificare l’appartenenza a un gruppo. La lista degli utenti può essere configurata come una whitelist o come una blacklist (bloccando soltanto determinati utenti). L’SCB si autentica verso il server utilizzando le credenziali fornite dal client, oppure utilizzando dei dati presi da un Credential Store, un database locale di utenti/chiavi/password; in tal modo è possibile configurare delle utenze di gruppo sui server, lasciando all’SCB l’onere di associare l’utente client al gruppo, e slegando in questo modo le credenziali in possesso degli utenti client con le credenziali configurate sui server. A questo punto la connessione è stabilita e autenticata; l’SCB verifica le eventuali “estensioni” ammesse per la policy utilizzata (per esempio, se sono permessi i TCP forwarding su canale SSH etc.). Una volta stabilita definitivamente la connessione, l’SCB registra l’intera comunicazione tra client e server, registrandola negli audit trail successivamente accessibili per controlli e auditing. Appliance Fisico e Virtuale L’appliance è disponibile in diversi formati in modo da potersi adattare all’ambiente nel quale dovrà integrarsi. Ogni dispositivo hardware è stato progettato per garantire alte performance, efficienza energetica e naturalmente un elevato grado di affidabilità. BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
  • 8. L’appliance hardware è disponibile in tre modelli, tutti rackable e dotati delle medesime versioni del sistema operativo a 64 bit e del software di gestione e consentono la configurazione in HA active-passive. La tabella sottostante riassume le principali caratteristiche delle tre versioni: Rack Alimentatore Modello Processore RAM Storage Unit ridondato Intel X3430 2,4GHz 2x 1TB SATA SCB N1000 1 No 4GB QC (Software RAID1) 2 x Intel Xeon E5620 2x 1TB SATA SCB N1000d 2 Si 6x DDR3 4GB 2,26GHz (Software RAID1) 12x 1TB SATA 2 x Intel Xeon E5620 SCB N10000 2 Si 6x DDR3 4GB (ADAPTEC 5405 SAS 2,26GHz RAID Controller) Per chi predilige l’utilizzo o necessita di un sistema virtuale è disponibile il virtual appliance compatibile con VMware ESXi 4.0 (o successiva). Rispetto alla versione fisica non è possibile abilitare la modalità bridge e l’HA nativa di prodotto (è comunque possibile affidarsi a tool di terze parti quali l’HA di VMware). Licenze e supporto tecnico Il modello di licensing del prodotto prevede dei canoni basati sul numero di sistemi monitorati e sul livello di supporto selezionato: Base, Extended e Privilege. Il numero di server gestiti può variare secondo il seguente schema: 5, 10, 15, 25, 35, 50, 75, 100, 125, 150, 175, 200, 225, 250 e infine unlimited. La scelta del contratto di manutenzione dipende principalmente dal response time e dal tipo di assistenza richiesto. La tabella sottostante riepiloga tutti questi elementi. BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
  • 9. Driver Base Extended Privilege 5x8 5x12 7x24 Disponibilità oraria Lun-Ven Lun-Ven Lun-Dom 9-17 CET 8-20 CET 0-24 CET Response time per eventi Critici (Priorità 1) NBD 4h 2h Software subscription Si Si Si Sostituzione delle componenti hardware in 10gg lavorativi 2gg lavorativi NBD garanzia Contatti tecnici abilitati a ricevere supporto 2 4 6 Ore di supporto tecnico incluse (per mese) 4 8 12 Tutti i livelli di supporto prevedono l’accesso alla knowledge base riservata ai Clienti e l’iscrizione alla mailing list del supporto tecnico. BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
  • 10. Licenza d'uso “Attribuzione - Non commerciale - Non opere derivate”, secondo i criteri internazionali Creative Commons (http://creativecommons.org/licenses/by-nc-nd/2.5/it/) BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015