| Slide 1 |
Saluti
Presentazione Personale e Aziendale
Ringraziamenti all’associazione RioNeCa e in particolare al ing. Violetta per l’opportunità concessa
|
| Slide 2 |
L’agenda del nostro intervento
Breve presentazione della Società, Integrazione di Sistemi
Inquadriamo il problema…
Guardiamo la Soluzione NAC (ex Sygate, ora Symantec per via della acquisizione)
|
| Slide 3 |
Chart Transitoria ….
Permettetemi di presentare brevemente la Xronos Srl
|
| Slide 4 |
Descrizione della società, vision da Integratori di Sistemi
Valore umano e tecnologico delle partnership (formazione, incontri, demo.unit, fatturato)
|
| Slide 5 |
I nostri strumenti di lavoro sono le competenze certificate,
Sia a livello Aziendale (le 3 partnership)
Sia a livello Personale dei nostri Sistemisti…
|
| Slide 6 |
Non aggiungerei altro, se non qualche informazione generica e di contatto …
Saremo tutto il giorno presso lo stand per qualsiasi altra informazione desideriate …
|
| Slide 7 |
Chi siamo
|
| Slide 8 |
Chi siamo
|
| Slide 9 |
Avviati 2 protocolli di intesa ….
Impostati su AT switch
|
| Slide 10 |
Inquadriamo il contesto in cui ci muoveremo, individuiamo il problema, scomponiamolo nelle sue parti
E disegniamo la soluzione che per noi oggi sarà costituita dalla fusione di elementi Symantec (il software, anche se esiste la versione hardenizzata) e Allied Telesis.
|
| Slide 11 |
Ridurre la connettività aziendale non può essere un’opzione per limitare il problema.
La connettività oggi conduce alla produttività e a moderne pratiche di business
L’aumentata connettività ha incrementato I rischi per la security
|
| Slide 12 |
In meno di un decennio abbiamo assistito ad una crescita praticamente esponenziale delle forme di attacco (etiche e non) alle infrastrutture IT “worldwide” …
|
| Slide 13 |
I worms sono le minacce a più veloce propagazione perchè non necessitano di interazione degli utenti “incauti”.
sfruttano le vulnerabilità esistenti nelle applicazioni – e per questo possono diffondersi incontrollatamente nelle grandi reti aziendali
E’ ormai evidente che gli attacchi da parte di worms sono sempre + devastanti in termini di :
Interruzione improvvisa di operazioni di business
Perdita di produttività
Danni a largo spettro
Costo generale ed impatto in aumento
|
| Slide 14 |
60% of all exploits take advantage of misconfigurations such as:
file sharing being left on when wirelessly connected to the internet from Starbucks
Security applications that have been turned off
AV virus definitions that are not up-to-date
Use of forbidden applications, unnecessary services being turned on or unsafe usage patterns
25% take advantage of old patches that haven’t been installed on computers even though they have been around for ample time to have been installed
10% of exploits take advantage of known vulnerabilities that have been fixed by recent patches
5% or less are brand new vulnerabilities that are exploited before signatures or patches are available.
|
| Slide 17 |
Qual è la filosofia di una soluzione Self Defending Network …
|
| Slide 18 |
Ricapitoliamo i problemi che abbiamo immaginato ….
E pensiamo ad una soluzione…
|
| Slide 20 |
RICORDA: to enforce = FAR RISPETTARE !!!
|
| Slide 21 |
5 fasi che si ripetono ciclicamente .. Processo continuo !
|
| Slide 22 |
Spiegazione sommaria sulle 3 versioni esistenti: SSEP, SNAC, SODP …
Oggi parliamo un po’ più approfonditamente del NAC, incluso nel SEP, e dedicato alla ENDPOINTS SECURITY & COMPLIANCE. Vedremo I moduli che compongono NAC:
DHCP enf.
Gtwy enf.
LAN enf.
|
| Slide 23 |
Il complesso delle Soluzioni …. A più livelli …
|
| Slide 25 |
Commentare le animazioni: i passi del processo di monitoring !
Policy ! Importante !!!
DB SQL per le policy
|
| Slide 30 |
Panoramica degli switch Allied Telesis che implementano il 802.1x !!!
|
| Slide 34 |
Panoramica degli switch Allied Telesis che implementano il 802.1x !!!
|
| Slide 35 |
Panoramica degli switch Allied Telesis che implementano il 802.1x !!!
|
| Slide 37 |
Chiusura
|
| Slide 1 |
Architetture di Reti Sicure: Network Access Control
Acri, 21 Settembre 2006
|
| Slide 2 |
2005 Symantec Corporation, All Rights Reserved
2
Agenda
La Xronos S.r.l. e l’integrazione di sistemi
Lo scenario: la rete aziendale e la protezione degli endpoint
La soluzione: Network Access Control
I metodi di Enforcement
|
| Slide 3 |
2005 Symantec Corporation, All Rights Reserved
3
Agenda
La Xronos S.r.l. e l’integrazione di sistemi
Lo scenario: la rete aziendale e la protezione degli endpoint
La soluzione: Network Access Control
I metodi di Enforcement
|
| Slide 4 |
2005 Symantec Corporation, All Rights Reserved
4
Xronos S.r.l. è una Società di Servizi nel settore dell’Information Technology che progetta e implementa soluzioni tecnologiche avanzate finalizzate al miglioramento del Business Aziendale e della Qualità della Vita per Piccole e medie imprese private, Enti Pubblici (PA, Local Government, Poli di formazione).
Profilo Aziendale
La nostra System Integration è fondata essenzialmente sulle partnership tematiche:
Core/Edge switching, routing, VoIP, i-MG
|
| Slide 5 |
2005 Symantec Corporation, All Rights Reserved
5
CCNA & CCNP Cisco Certified Network Associate & Network Professional
CCDA & CCDP Cisco Certified Design Associate & Design Professional
CCIP Cisco Certified Internetwork Professional
CWNA Certified Wireless Network Administrator
MCP & MCSA Microsoft Certified Professional & Microsoft System Administrator
Raytalk Wireless Lan – Indoor & Outdoor – Installer
AT – NCTIS – FD NetCover Configuration and Installation Service
CAI R/S Certified Allied Telesis Installer Router/Layer 3 Switch
CAT – CAI R/S Certified Allied Telesis Trainer – CAI R/S
SCTS Symantec Certified Technical Specialist, SGS 2.0 Administration
Axis Axis Academy Certified Installer
Gold Partner (Enterprise Solution)
Certified Solution Provider
Advanced Business Partner
Le certificazioni Aziendali
Le certificazioni Professionali
|
| Slide 6 |
2005 Symantec Corporation, All Rights Reserved
6
Xronos S.r.l. ha conseguito la Certificazione ISO 9001:2000, per le categorie:
“Progettazione, Installazione, Configurazione ed Assistenza su reti e sistemi informatici”; “Commercializzazione ed assistenza prodotti software e hardware”
(BVQI, Cert. Num. 180248)
Profilo Aziendale: Qualità
Profilo Aziendale: Dove Siamo
|
| Slide 7 |
2005 Symantec Corporation, All Rights Reserved
7
Profilo Aziendale: Academy Net.Campus
Programma di Certificazione – Academy Net.Campus
Dal 30 Marzo 2006 Xronos S.r.l. è Training Center Autorizzato in Italia
Istruttori Certificati CAT - CAI/RS
Parte attiva nell’organizzazione dell’Academy
Corsi di Preparazione ed Esami di Certificazione
I Corsi CAI 2006:
Napoli
Catania
Roma
Bari (Ottobre e Novembre 2006)
|
| Slide 8 |
2005 Symantec Corporation, All Rights Reserved
8
Profilo Aziendale: Academy Net.Campus
CAI/RS
Questi corsi producono le competenze necessarie per installare e configurare gli switch Layer3 e i router di Allied Telesis.
Ai partecipanti viene offerta l’opportunità di provare quanto appreso mediante prove pratiche di troubleshooting e debugging delle Reti esistenti.
Destinatari
Utenti Finali
Integratori di Sistemi
Distributori
|
| Slide 9 |
2005 Symantec Corporation, All Rights Reserved
9
Profilo Aziendale: Learning Area
Università degli Studi “Federico II” - Napoli
Corso: Laboratorio di Reti di Telecomunicazione
III anno – Laurea di Primo Livello – CdL Informatica
V anno – Laurea di Secondo Livello – CdL Informatica
Prof. Ing. Angelo Violetta
Politecnico di Bari - DEE
Corso: Laboratorio di Reti di Telecomunicazione
V anno – Laurea di Secondo Livello
CdL Ing. Informatica, Ing. Telecomunicazioni
Prof. Pietro Camarda
Case History
|
| Slide 10 |
2005 Symantec Corporation, All Rights Reserved
10
Agenda
La Xronos S.r.l. e l’integrazione di sistemi
Lo scenario: la rete aziendale e la protezione degli endpoint
La soluzione: Network Access Control
I metodi di Enforcement
|
| Slide 11 |
2005 Symantec Corporation, All Rights Reserved
11
La rete aziendale e gli endpoint sono continuamente esposti alle minacce (threath) che l’uso intensivo della Rete ha comportato come effetto collaterale.
L’80% delle minacce all’infrastruttura proviene dall’interno!
Punti di accesso alla Rete Aziendale:
Wireless network
Wired LAN
SSL VPN
IPsec VPN
Applicazioni Web
Utenti autorizzati e non:
Consulenti esterni
Ospiti
Tele-lavoratori
Chioschi Internet & Computer condivisi
I rischi per la sicurezza
|
| Slide 12 |
2005 Symantec Corporation, All Rights Reserved
12
I rischi per la sicurezza
(Statistica Gartner)
|
| Slide 13 |
2005 Symantec Corporation, All Rights Reserved
13
I rischi per la sicurezza
I worm che sfruttano le vulnerabilità dei sistemi e delle reti crescono in frequenza e complessità.
Le minacce all‘integrità dei dati si presentano sotto molteplici forme.
|
| Slide 14 |
2005 Symantec Corporation, All Rights Reserved
14
Le vulnerabilità della rete
(Statistica Gartner)
60%
10%
25%
5%
|
| Slide 15 |
2005 Symantec Corporation, All Rights Reserved
15
Le Patch devono essere mantenute aggiornate per chiudere le falle di sicurezza!
Gli utenti che annullano gli aggiornamenti…
Le patch che impiegano del tempo per il test e il roll-out…
Le configurazioni devono essere rispettate per prevenire eventuali back-door!
Gli utenti che hanno spesso troppi privilegi e possono effettuare modifiche…
Il rispetto delle policy nelle Aziende molto grandi è di difficile impostazione e gestione…
Le firme (signature) devono essere mantenute aggiornate per garantire il riconoscimento e la rimozione delle varie minacce (threat)!
Gli utenti che disattivano gli aggiornamenti delle firme per svariati motivi…
Gli utenti che annullano gli aggiornamenti in corso…
La protezione degli EndPoint: scenario
|
| Slide 16 |
2005 Symantec Corporation, All Rights Reserved
16
La protezione degli EndPoint: scenario
Infrastruttura IT sempre più complessa
Dispositivi diversi, access point, utenti dai diversi privilegi, agent software, applicazioni
Exploit portano attacchi a tutti i livelli
Sistemi Operativi, applicazioni, rete
Si diffondono più velocemente delle relative patch
Difficile controllare senza ridurre i benefici
Wireless, ospiti, outsourcing, mobility
I prodotti tradizionali di sicurezza non sono più efficienti
99% degli utenti usa un AV – 68% prende virus
Nuovi agent per ogni minaccia: scarsa gestibilità, nessuna integrazione
Le imprese devono scegliere tra sicurezza e produttività
|
| Slide 17 |
2005 Symantec Corporation, All Rights Reserved
17
Agenda
La Xronos S.r.l. e l’integrazione di sistemi
Lo scenario: la rete aziendale e la protezione degli endpoint
La soluzione: Network Access Control
I metodi di Enforcement
|
| Slide 18 |
2005 Symantec Corporation, All Rights Reserved
18
Il problema…
Il tempo di disservizio della rete, causato da incidenti di Sicurezza (worm, virus, patch mancanti, errate configurazioni dei sistemi) è molto costoso ed espone l’Azienda al significativo rischio di perdita di proprietà intellettuali e/o di responsabilità legali.
Spesso questi problemi possono essere evitati mantenendo i sistemi compliant con gli standard definiti dall’IT Manager (policy).
NAC lavora con le infrastrutture per l’accesso alla rete per garantire che i sistemi siano allineati alle policy prestabilite, prima che sia loro consentito l’utilizzo delle risorse. Questo protegge la rete e ne aumenta produttività e disponibilità.
Il processo completamente automatico di aggiornamento/allineamento (remediation) dei sistemi che sono non-compliant semplifica la gestione da parte degli amministratori di rete.
…e la soluzione
|
| Slide 19 |
2005 Symantec Corporation, All Rights Reserved
19
NAC: Applicabilità
Utilizzo diffuso di Endpoint
Portatili, Computer Desktop, Server (managed)
Ospiti, Appaltatori, Home Computer (unmanaged)
Gestione delle Policy centralizzata, scalabile e flessibile
Server Distribuiti, Ridondanza, Replicazione di DataBase
|
| Slide 20 |
2005 Symantec Corporation, All Rights Reserved
20
Gli utenti autorizzati devono accedere ai sistemi solo da postazioni (EndPoint)
autorizzate
Network Access Control
Il controllo di chi può accedere alla rete crea un sistema chiuso
Conference Room, Wireless Hotspot, Dipendenti, Ospiti
Connettività Remote (IPSec, SSL, VPN)
Attività di remediation
Enforcement delle policy prima di garantire l’accesso ai sistemi
Aggiornamenti, Patch, Update, ecc.
Oltre l’authorizing degli utenti: l’authorizing degli EndPoint
|
| Slide 21 |
2005 Symantec Corporation, All Rights Reserved
21
Definizione delle policy
Verifica del rispetto delle policy
Agent
On-Demand Agent
Network Interrogation
Enforcement del NAC
LAN Enforcer
DHCP Enforcer
Gateway Enforcer
Azione di Rimedio per gli Endpoint Non-Compliant
Monitoring continuo
Il Processo del NAC
Policy
Discover
Enforce
Monitor
Remediate
Protect
Protect
Protect
Protect
|
| Slide 22 |
2005 Symantec Corporation, All Rights Reserved
22
Sygate Enterprise Protection
Network Access Control
La Soluzione Symantec
LAN Enforcer
DHCP Enforcer
Gateway Enforcer
|
| Slide 23 |
2005 Symantec Corporation, All Rights Reserved
23
Symantec Network Access Control
Symantec Embedded Security
Symantec On-Demand Protection
Symantec Sygate Enterprise Protection
Endpoint Compliance Solution
|
| Slide 24 |
2005 Symantec Corporation, All Rights Reserved
24
Network Access Control
Propagazione del malware
Perdita di informazioni sensibili
Rischio di sanzioni legali
Problema
|
| Slide 25 |
2005 Symantec Corporation, All Rights Reserved
25
Symantec Enforcement Agent
La Soluzione Symantec/Allied Telesis
IEEE 802.1x
|
| Slide 26 |
2005 Symantec Corporation, All Rights Reserved
26
Agenda
La Xronos S.r.l. e l’integrazione di sistemi
Lo scenario: la rete aziendale e la protezione degli endpoint
La soluzione: Network Access Control
I metodi di Enforcement
|
| Slide 27 |
2005 Symantec Corporation, All Rights Reserved
27
Gateway Enforcer
Il Gateway Enforcer fornisce il controllo degli accessi alle risorse critiche del sistema (Data Center, Server Applicativi, DB Server) che avvengono mediante collegamenti VPN, IPsec, SSL, WAN
NAC Enforcement: LAN, DHCP, Gateway Enforcer
DHCP Enforcer
Il DHCP Enforcer garantisce il controllo dell’accesso alla rete per quegli endpoint che utilizzano l'assegnazione dinamica dell'indirizzo IP
LAN (802.1x) Enforcer
Il LAN enforcer utilizza lo standard IEEE 802.1x (Admission Control Protocol) per autenticare i sistemi rispetto ad un determinato gruppo di switch, wired e wireless
|
| Slide 28 |
2005 Symantec Corporation, All Rights Reserved
28
LAN (802.1x) Enforcement: come funziona
Il LAN Enforcer
controlla il login
dell’utente
Ethernet
802.1x
Utente
RADIUS server
Symantec LAN Enforcer
Symantec Policy Manager
Lo Switch dialoga con il LAN Enforcer
Remediation
Server
Rete di Quarantena
Il LAN Enforcer connette l’utente alla Rete Aziendale
o alla Rete di Quarantena per la remediation
|
| Slide 29 |
2005 Symantec Corporation, All Rights Reserved
29
L’802.1x è uno standard IEEE basato sul controllo delle porte di accesso alla rete LAN/MAN.
Questo standard provvede ad autenticare ed autorizzare i dispositivi collegati alle porte della rete stabilendo un collegamento punto-punto e prevenendo collegamenti non autorizzati alla rete locale. Viene utilizzato dalle reti locali wireless per gestire le connessioni agli access point e si basa sul protocollo EAP, Extensible Authentication Protocol (RFC 2284).
L'802.1x è supportato dalla maggioranza dei nuovi switch Allied Telesis e può effettuare l'autenticazione in congiunzione con un programma installato sull’Endpoint, eliminando la possibilità di un accesso non autorizzato tramite collegamento al livello fisico della rete.
Normalmente, l'autenticazione è fatta da una terza parte, come un server RADIUS. Questo fornisce l'autenticazione del client o l'autenticazione mutua.
802.1x - Port Based Network Access Control
|
| Slide 30 |
2005 Symantec Corporation, All Rights Reserved
30
Il sistema appena collegato ottiene un lease dal server DHCP per un tempo limitato e in uno spazio di indirizzi di quarantena
Il DHCP Enforcer verifica la presenza del Symantec Enforcement Agent
Se l’Agent è presente e il sistema è aggiornato, il DHCP Enforcer effettua un nuovo lease nello spazio di indirizzi opportuno
Se l’Agent è presente, ma il sistema non è aggiornato, parte la procedura di remediation
Se l’Agent non è presente, l’Endpoint rimane in quarantena
DHCP Enforcement: come funziona
|
| Slide 31 |
2005 Symantec Corporation, All Rights Reserved
31
Utente mobile
Wireless
Utente
DHCP Server
DHCP Enforcer
Switch
DHCP Request
Unknown system- send route filters or Quarantine Address
Probe for agent and policy status
Trigger release/renew on pass
10.1.1.100
Route 10.2.2.2
DHCP Request
Compliant- send regular address
10.1.1.100
DHCP Enforcement: EndPoint Compliant
|
| Slide 32 |
2005 Symantec Corporation, All Rights Reserved
32
DHCP Enforcement: EndPoint Non-Compliant
Wireless
Utente
DHCP Server
DHCP Enforcer
Switch
Remediation Server
DHCP Request
Unknown system- send route filters
Probe for agent and policy status
Trigger remediation on failure
10.1.1.100 Route 10.2.2.2
Perform Remediation action
Trigger Release/Renew upon completion
DHCP Request
Compliant—Remove route filters
10.1.1.100
Utente mobile
|
| Slide 33 |
2005 Symantec Corporation, All Rights Reserved
33
Gateway Enforcement: come funziona
I sistemi privi di agent o con le policy non aggiornate non hanno accesso alle risorse protette dal Gateway Enforcer (Data Center, DB-Server, Application Server)
|
| Slide 34 |
2005 Symantec Corporation, All Rights Reserved
34
NAC Enforcement: LAN, DHCP, Gateway Enforcer
|
| Slide 35 |
2005 Symantec Corporation, All Rights Reserved
35
Network Access Control: Regole
Antivirus (multivendor)
Anti-Spyware (multivendor)
Microsoft Patch
Microsoft Service Pack
Personal Firewall (multivendor)
Regole Personali
|
| Slide 36 |
36
802.1x Enforcement
Compliant
Non-Compliant
Remediation
Guest Access
Gateway Enforcement
Compliant
Non-Compliant
Universal NAC Solution
|
| Slide 37 |
Grazie per la Vostra attenzione!
|
