Accesso tramite VPN con Cisco ASA 5510

Accesso tramite VPN con Cisco ASA 5510
L'appliance Cisco ASA5510 al suo interno ha un firewall, delle group Policy (ACL) un proxy ed un
portale web ssl.
Gli utenti e le credenziali sono anch'esse all'interno dell'ASA5510 in un apposito DB.
I files di log vengono esportati su un server dedicato.
L'apparato consente tre diversie modalità di connessione.
Gli algoritmi ed i protocolli utilizzati nelle connessioni che i client mobili stabiliscono verso
l’ASA5510 del comune di Pesaro sono i seguenti:
1. Accesso al portale Web avviene attraverso una connessione cifrata via HTTPS. L' ASA, al
suo interno crea un tunnel a livello 7 ISO-OSI fra il portale dove viene pubblicato
l'applicativo ed il firewall, utilizzando un proxy che è sempre all'interno dell' ASA.
2. Accesso alle risorse del Comune via client Anyconnect avviene attraverso una connessione
SSL sulla porta TCP/443. In questo caso la comunicazione è cifrata nel solo tratto
compreso tra il client remoto ed il firewall ASA5510.
3. Accesso alle risorse del Comune via client VPN IPsec (layer4 modello ISO-OSI) avviene
tramite protocollo IPsec e vengono utilizzati gli algoritmi di hashing ed encryption SHA e
AES-128. Tramite un tunnel cifrato.
Viene utilizzato per :
• Telelavoro
• Manutenzione server e procedure
• Uffici periferici
• Fornitori di Pubblici Servizi
L’accesso d'utenti esterni ai servizi del Comune avviene utilizzando un'appliance sul quale è installato
un certificato digitale. E’ necessario pertanto che gli utenti abbiano a disposizione un accesso ad
internet.
Per il punto 1 è 2 è sufficiente la sola connessione ad internet in https / tcp 443
Per il punto 3 è necessario che venga installato sul PC il software Cisco VPN Client e sul firewall
aziendale vanno aperte le porte UDP / 4500 e 500 e il protocollo ESP.
Sono definite da protocolli d’intesa o contratti di manutenzione tutte le procedure dell’Ente e gli utenti
esterni che devono averne accesso ai dati,. Tutte le domande devono essere sottoposte per iscritto al
vaglio del responsabile di servizio o settore alle quali le procedure stesse sono in uso.
Il responsabile o l’utente, che ha fatto richiesta d’accesso, dovrà firmare per ricevuta e per presa
d’atto delle seguenti condizioni:
• la validazione del collegamento VPN SSL avviene tramite certificato digitale per i punti 1 e 2,
mentre per il punto 3 avviene tramite installazione del software Cisco VPN client.
• Incaso di sostituzione del PC il software deve essere disinstallato.
• L'accesso per i punti 1 e 2 avviene tramite utente e password.
• Tutte le informazioni consegnate all’utente sono da considerarsi strettamente riservate. Egli s’
impegna a mantenerle tali in ogni loro formato, digitale, cartaceo, verbale, ecc.
• Solo l’utente incaricato al trattamento potrà avere accesso a tale PC e solamente per le finalità
•
•
•
•
•
indicate dalla convenzione o contratto di manutenzione.
Il collegamento va aperto solo per il periodo necessario all'utilizzo.
Il PC di lavoro deve avere un anti-virus aggiornato nonché fix e service pack del sistema
operativo.
Nel caso in cui l’utente sospetti che le credenziali non siano più sicure, dovrà tempestivamente
informare il Comune di Pesaro, che provvederà alla loro disattivazione inibendo l’accesso. Si
potrà inoltrare richiesta per il rilascio di nuove credenziali in sostituzione delle vecchie.
Nel caso in cui, per motivi logistici, il richiedente faccia domanda esplicita di una sola
credenziale per più postazioni, diverrà suo compito, tramite le proprie procedure di sicurezza
interne, identificare l’utente che si è collegato utilizzando la credenziale rilasciata. A tal fine
s’impegna nel proprio DPS. L’ Ip pubblico dovrà essere, in questo caso, statico.
L'utente sarà ritenuto responsabile in ogni caso di tutte le transazioni avvenute con le sue
credenziali.
Tutti i file di log vengono registrati su di un server. Una apposita procedura consentirà di controllare
chi si è collegato, su quali server, con quali protocolli ed in quali orari e da quali ip pubblici, su questo
dato viene eseguito un controllo nel caso gli ip definiti come statici dovessero variare.
Sono conservati in ogni caso i file di log delle connessioni.