Secure Application Access. Anywhere. Accesso remoto sicuro alla

Accesso remoto sicuro alla rete aziendale
La tecnologia PortWise
Luigi Mori
Network Security Manager
[email protected]
1
Secure Application Access.
Anywhere.
VPN SSL
• Tecnologia di accesso remoto sicuro alla rete aziendale
• I client possono essere Laptop, Desktop fissi, Internet Kiosk,
PDA, ...
• L’accesso avviene tramite un browser
• Possono essere protette sia applicazioni Web (Web Intranet,
OWA, SharePoint, iLotus, ...) sia applicazioni non-Web
(Terminal Server, Windows File Sharing, POP3, IMAP, SMTP,
Outlook-Exchange, MS-RPC, ...)
• Nasce per sopperire alle limitazioni del protocollo IPSec
2
VPN SSL vs. IPSec
3
VPN SSL
IPSec
+ Non richiede un client pre-installato
+ Non ci sono conflitti con il client
+ L’interfaccia utente è il browser
+ La configurazione viene gestita
dall’amministratore
+ Policy di accesso granulare a livello
applicazione
+ Non c’è il problema degli IP
sovrapposti
+ Non ci sono problemi con il NAT
- Non passano tutte le applicazioni
- Richiede un client pre-installato
- Spesso ci sono conflitti tra client e
OS
- L’interfaccia utente è complessa
- La configurazione è sia sul client che
sul gateway
- Non è possibile specificare policy
precise
- Se il client ha un IP della subnet
remota non funziona
- Se è presente un device NAT
spesso ci sono problemi
+ Passano tutte le applicazioni
PortWise
• Nasce nel 1997 come services company con la prima applicazione di
VPN SSL sul mercato mondiale
• Diventa una software company nel 2000
• Società svedese – Sede: Stoccolma
• 275 clienti con più di 600,000 utenti effettivi
• 100 sviluppatori dedicati
• Quote di mercato in forte espansione in America e Asia
• Leader assoluto in Europa
• Tecnologia e linee di prodotto in fortissima espansione
4
PortWise
Demo
5
Assessment
Controllo dell’host client (laptop, PDA,
smart-phone) per assicurare che chi si
collega rispetti le policy di security
dell’azienda per l’accesso remoto
6
Assessment
Rischio basso
ActiveX
Configurazione
di riferimento
Rischio medio
Alto rischio
7
Configurazione
client
Assessment
• Client Scan
– Componente ActiveX On-Demand
– Collector utilizzati per ottenere informazioni sul device
utilizzato dall’utente
8
File
Collector
Files
Directory
Registry keys
Network
Collector
IP Address
TCP/UDP network port
MAC Address
Subnet Mask
Default Gateway
DNS/DHCP
Process
Collector
Running Processes
Windows
Collector
Windows Domain
Windows Version and Patch
Assessment
• Potente – può accedere ai processi del sistema, ai file, ai
programmi o al registro di configurazione del device
• Accesso parziale – device che non soddisfano
completamente I requisiti delle policy di sicurezza possono
accedere parzialmente alle risorse della rete aziendale
• Computer di riferimento – per gli amministratori di rete
rappresenta uno strumento che semplifica il confronto con il
device che si collega
• User guides – se non viene superato il test iniziale, l’utente è
guidato su cosa fare attraverso istruzioni e wizard
• Personalizzabile – tutto il processo di assessment è
personalizzabile
9
Autenticazione
Assicurare che l’utente sia
chi dichiara di essere
10
Autenticazione
• Il Servizio di Autenticazione può utilizzare più di 15 metodi per
identificare l’utente
Metodi di Autenticazione
Scrambled Web Password
SMS (One-Time Password)
Software Token
11
PortWise MobileID
RADIUS: SecurID, SafeWord etc
User Certificate
LDAP & Active Directory
Basic & NTLM
BankID
Form-based
Windows integrated login
Custom
Autenticazione Single Sign-On
E-Mail
• Gli utenti probabilmente lavorano
con più di un’applicazione
• La maggior parte di essi fatica a
ricordare tutte le password
necessarie al loro utilizzo e sono
irritate per dover ridigitare il loro
username e la relativa password
• Per gli amministratori di
rete/sistema tutto questo
rappresenta un grosso problema
per la gestione e la sicurezza:
database password non
aggiornato, password scritte sui
Post-it e attaccate al video, etc.
12
File
Server
Intranet
• Single Sign-On: permette a un
utente di inserire username e
password una sola volta per tutte le
applicazioni (nel momento di
accesso alla rete)
• L’autenticazione si basa sulla
definizione delle credenziali utente
gestite centralmente da un
database (Active Directory, LDAP
etc.)
• Facile collegamento tra le
applicazioni delle informazioni degli
utenti
Autorizzazione
Determinare a quali applicazioni
l’utente può accedere
13
Autorizzazione
• L’autorizzazione all’utilizzo delle applicazioni è
determinato a ogni sessione dal PortWise Policy
Server
PortWise
Policy Service
• Le Policy possono contenere parametri diversi:
–
–
–
–
–
–
–
–
–
14
Authentication Method
User Group Membership
IP address
Client Device Type
Date and Time
User Store
Device Assessment
Access Point
Custom
Chiusura della sessione
Rimozione di tutte le tracce dell’accesso
alla rete aziendale nel momento della
chiusura della sessione di lavoro
15
Chiusura della sessione
• Il browser web lascia informazioni sulla sessione dopo
che questa termina (browser history e browser cache)
• Cache Cleaner
– Viene eseguita una pulizia sicura del client per rimuovere il
contenuto della cache del device:
– eliminazione delle entry della cache del browser
(username, password ip address etc.)
– Eliminazione delle entry della history del browser
(applicazioni utilizzate, dati elaborati etc.)
• Download Monitor
– Tutti I file scaricati sul device sono controllati da PortWise
Access Point
– Possibilità di eliminare I file che sono stati memorizzati
utlizzando il comando “Salva con nome …”
– Possibilità di utlizzare opzioni predefinite: es. eliminare file
exe, bin, dll e mantenere file pdf, txt, doc, xls, ppt
– I file cancellati non sono più recuperabili
16
PortWise
Piattaforma UNICA per l’Accesso Sicuro alle Applicazioni
Aeroporto
Tipologia
Utente
Utenti interni
Road Warriors
Clienti & Partners
Utenti Mobile Utenti Casuali
Applicazioni
Mainframe
17
Client-Server
Terminal
Services
File
Services
Web
Services
Licenza Demo
• Per avere una licenza demo è necessario mandare una e-mail
con le seguenti informazioni a [email protected]
–
–
–
–
Nome del responsabile
Nome della società
Nome DNS del portale
Indirizzi IP del portale
• Nella lista degli indirizzi IP è importante specificare sia l’IP
privato della macchina sia l’eventuale IP pubblico
18
Grazie
[email protected]
Luigi Mori
Network Security Manager
[email protected]
19
Secure Application Access.
Anywhere.