Secure Application Access. Anywhere. Accesso remoto sicuro alla
Transcript
Secure Application Access. Anywhere. Accesso remoto sicuro alla
Accesso remoto sicuro alla rete aziendale La tecnologia PortWise Luigi Mori Network Security Manager [email protected] 1 Secure Application Access. Anywhere. VPN SSL • Tecnologia di accesso remoto sicuro alla rete aziendale • I client possono essere Laptop, Desktop fissi, Internet Kiosk, PDA, ... • L’accesso avviene tramite un browser • Possono essere protette sia applicazioni Web (Web Intranet, OWA, SharePoint, iLotus, ...) sia applicazioni non-Web (Terminal Server, Windows File Sharing, POP3, IMAP, SMTP, Outlook-Exchange, MS-RPC, ...) • Nasce per sopperire alle limitazioni del protocollo IPSec 2 VPN SSL vs. IPSec 3 VPN SSL IPSec + Non richiede un client pre-installato + Non ci sono conflitti con il client + L’interfaccia utente è il browser + La configurazione viene gestita dall’amministratore + Policy di accesso granulare a livello applicazione + Non c’è il problema degli IP sovrapposti + Non ci sono problemi con il NAT - Non passano tutte le applicazioni - Richiede un client pre-installato - Spesso ci sono conflitti tra client e OS - L’interfaccia utente è complessa - La configurazione è sia sul client che sul gateway - Non è possibile specificare policy precise - Se il client ha un IP della subnet remota non funziona - Se è presente un device NAT spesso ci sono problemi + Passano tutte le applicazioni PortWise • Nasce nel 1997 come services company con la prima applicazione di VPN SSL sul mercato mondiale • Diventa una software company nel 2000 • Società svedese – Sede: Stoccolma • 275 clienti con più di 600,000 utenti effettivi • 100 sviluppatori dedicati • Quote di mercato in forte espansione in America e Asia • Leader assoluto in Europa • Tecnologia e linee di prodotto in fortissima espansione 4 PortWise Demo 5 Assessment Controllo dell’host client (laptop, PDA, smart-phone) per assicurare che chi si collega rispetti le policy di security dell’azienda per l’accesso remoto 6 Assessment Rischio basso ActiveX Configurazione di riferimento Rischio medio Alto rischio 7 Configurazione client Assessment • Client Scan – Componente ActiveX On-Demand – Collector utilizzati per ottenere informazioni sul device utilizzato dall’utente 8 File Collector Files Directory Registry keys Network Collector IP Address TCP/UDP network port MAC Address Subnet Mask Default Gateway DNS/DHCP Process Collector Running Processes Windows Collector Windows Domain Windows Version and Patch Assessment • Potente – può accedere ai processi del sistema, ai file, ai programmi o al registro di configurazione del device • Accesso parziale – device che non soddisfano completamente I requisiti delle policy di sicurezza possono accedere parzialmente alle risorse della rete aziendale • Computer di riferimento – per gli amministratori di rete rappresenta uno strumento che semplifica il confronto con il device che si collega • User guides – se non viene superato il test iniziale, l’utente è guidato su cosa fare attraverso istruzioni e wizard • Personalizzabile – tutto il processo di assessment è personalizzabile 9 Autenticazione Assicurare che l’utente sia chi dichiara di essere 10 Autenticazione • Il Servizio di Autenticazione può utilizzare più di 15 metodi per identificare l’utente Metodi di Autenticazione Scrambled Web Password SMS (One-Time Password) Software Token 11 PortWise MobileID RADIUS: SecurID, SafeWord etc User Certificate LDAP & Active Directory Basic & NTLM BankID Form-based Windows integrated login Custom Autenticazione Single Sign-On E-Mail • Gli utenti probabilmente lavorano con più di un’applicazione • La maggior parte di essi fatica a ricordare tutte le password necessarie al loro utilizzo e sono irritate per dover ridigitare il loro username e la relativa password • Per gli amministratori di rete/sistema tutto questo rappresenta un grosso problema per la gestione e la sicurezza: database password non aggiornato, password scritte sui Post-it e attaccate al video, etc. 12 File Server Intranet • Single Sign-On: permette a un utente di inserire username e password una sola volta per tutte le applicazioni (nel momento di accesso alla rete) • L’autenticazione si basa sulla definizione delle credenziali utente gestite centralmente da un database (Active Directory, LDAP etc.) • Facile collegamento tra le applicazioni delle informazioni degli utenti Autorizzazione Determinare a quali applicazioni l’utente può accedere 13 Autorizzazione • L’autorizzazione all’utilizzo delle applicazioni è determinato a ogni sessione dal PortWise Policy Server PortWise Policy Service • Le Policy possono contenere parametri diversi: – – – – – – – – – 14 Authentication Method User Group Membership IP address Client Device Type Date and Time User Store Device Assessment Access Point Custom Chiusura della sessione Rimozione di tutte le tracce dell’accesso alla rete aziendale nel momento della chiusura della sessione di lavoro 15 Chiusura della sessione • Il browser web lascia informazioni sulla sessione dopo che questa termina (browser history e browser cache) • Cache Cleaner – Viene eseguita una pulizia sicura del client per rimuovere il contenuto della cache del device: – eliminazione delle entry della cache del browser (username, password ip address etc.) – Eliminazione delle entry della history del browser (applicazioni utilizzate, dati elaborati etc.) • Download Monitor – Tutti I file scaricati sul device sono controllati da PortWise Access Point – Possibilità di eliminare I file che sono stati memorizzati utlizzando il comando “Salva con nome …” – Possibilità di utlizzare opzioni predefinite: es. eliminare file exe, bin, dll e mantenere file pdf, txt, doc, xls, ppt – I file cancellati non sono più recuperabili 16 PortWise Piattaforma UNICA per l’Accesso Sicuro alle Applicazioni Aeroporto Tipologia Utente Utenti interni Road Warriors Clienti & Partners Utenti Mobile Utenti Casuali Applicazioni Mainframe 17 Client-Server Terminal Services File Services Web Services Licenza Demo • Per avere una licenza demo è necessario mandare una e-mail con le seguenti informazioni a [email protected] – – – – Nome del responsabile Nome della società Nome DNS del portale Indirizzi IP del portale • Nella lista degli indirizzi IP è importante specificare sia l’IP privato della macchina sia l’eventuale IP pubblico 18 Grazie [email protected] Luigi Mori Network Security Manager [email protected] 19 Secure Application Access. Anywhere.