IT Security Telecom Italia
Transcript
IT Security Telecom Italia
Telecommunication Manager Next Generation Network Azienda ospitante Telecom Italia IT Consulting – IT Security Telecom Italia Tesi di fine corso di : Aresu Marco Tutor del corso : D’Aloisi Cristian Tutor aziendale : Formicola Segio – Chiavoni Danilo 1 Indice Introduzione............................................................................4 Il corso..........................................................................................4 Azienda........................................................................................6 Attività Attivazione Windows Firewall su PdL Windows XP SP2 Introduzione……………………………………………………………….. 7 Funzionalità…………………………………………………………………. 7 Problemi……………………………………………………………………….9 Conclusioni…………………………………………………………………..9 Password Policy Introduzione………………………………………………………………… 9 Soluzioni………………………………………………………………………. 10 Problemi……………………………………………………………………….11 Conclusioni…………………………………………………………………..12 Windows Vista Introduzione………………………………………………………………… 12 Novità…………………………………………………………………………… 13 Windows Defender……………………………………………………..29 2 BitLocker……………………………………………………………………….31 Impatto aziendale………………………………………………………..35 Conclusioni…………………………………………………………………..37 Web Filtering proxy Griffon Introduzione………………………………………………………………..38 Soluzioni proposte………………………………………………………40 Impatto aziendale……………………………………………………….53 Conclusioni…………………………………………………………………..54 Trusted Computing Platform Introduzione………………………………………………………………… 55 Impatto aziendale………………………………………………………..56 Soluzioni proposte……………………………………………………….57 Conclusioni……………………………………………………………………71 Controllo interface rete PC portatili Introduzione…………………………………………………………………. 72 Piattaforme d’utilizzo…………………………………………………..73 Come funziona……………………………………………………………… 73 Requisiti………………………………………………………………………….74 Conclusioni…………………………………………………………………….74 Microsoft ForeFront Introduzione…………………………………………………………………. 75 Come funziona……………………………………………………………… 76 Conclusioni…………………………………………………………………….80 Conclusioni.................................................................................80 3 Introduzione Lo stage di cinque mesi svolto presso Telecom Italia mi ha trasmesso molte competenze non solo tecniche ma anche personale. L’integrazione e l’approccio con un’azienda di questo spessore è stato inizialmente un pò complesso ma, essendo la prima esperienza, non mi ha preoccupato più di tanto. All’interno di Telecom Italia ho collaborato, assieme al personale interno Telecom Italia e ad alcuni consulenti, alla consulenza sulla parte Security Solution del settore IT. Grazie al contributo di Danilo Chiavoni, Sergio Formicola di Telecom Italia e alcuni consulenti di diverse aziende mi è stato possibile seguire diversi progetti riguardanti il tema IT. Grazie alle competenza tecniche acquisite durante l’anno e mezzo trascorso in aula presso il centro Elis mi è stato possibile affrontare diversi aspetti dell’ambito IT. Il progetto principale a cui ho fatto parte sin dall’inizio è stato quello sul nuovo sistema operativo Microsoft, Windows Vista. Grazie allo stretto legame esistente tra Telecom Italia e Microsoft è stato possibile confrontarmi con del personale Microsoft per la discussione di alcuni aspetti del nuovo sistema operativo e non solo. Il corso A partire dal 1° Ottobre 2005 ho avuto la fortuna di partecipare al corso post-diploma Telecommunication Manager – Next Generation Network presso il centro Elis. Un corso biennale che mi ha dato la possibilità di acquisire delle competenze tecniche, ma soprattutto personali ottime. 4 Una dei principale aspetti del corso biennale è stato quello della formazione a 360°. Oltre alle competenze tecniche, da non sottovalutare, ci son state quelle trasversali riguardanti il lavoro di gruppo, l’autoaggiormento, il saper presentare e presentarsi davanti un gruppo di persone. Questi sono aspetti che inizialmente non pensavo fossero cosi importanti per un futuro lavoro, ma durante il periodo di stage mi sono accorto che questi sono i principali aspetti che garantiscono un approccio ed un inserimento all’interno dell’azienda molto positivo. Grazie alla collaborazione di diverse persone abbastanza preparate e formate in materia, è stato possibile acquisire queste conoscenze nel più breve tempo possibile. Durante i primi mesi del corso abbiamo seguito dei corso sulle basi dell’informatica, partendo dagli albori dell’informatica. Dopo un breve periodo di introduzione abbiamo seguito dei corso più specializzati al nostro ambito di Information Communication Tecnology. Partendo dall’ambito sistemistico (Windows Server 2003, Sun Solaris e altri sistemi operativi Unix-like), passando per i vari linguaggi di programmazione (Java, Visual Basic, PHP, SQL) finendo con la parte di Networking e Mobile (LAN, WAN, Wireless, VoIP, Security). Su tutti i corsi seguiti durante i due anni c’è sempre stato l’aspetto Security, che è anche uno degli obbiettivi che il corso prevedeva. Uno dei fattori che ha contribuito alla buona riuscita del corso è stato quello dell’amicizia e dello spirito di gruppo. La presenza di aziende dello spessore di Vodafone, RAI, Telecom Italia, Wind etc., mi ha dato la possibilità di confrontarmi con persone di alto livello che mi hanno fatto capire che per raggiungere degli obbiettivi è necessario fare degli sforzi, anche se inizialmente molto difficile da affrontare. 5 Azienda Telecom Italia è una delle più grosse aziende in Italia. Il sapersi integrare e muoversi all’interno dell’azienda non è dei più semplici, ma grazie al personale tutto ciò non è risultato molto complicato. La struttura aziendale è molto complessa; il seguire progetti in aziende di questo spessore comporta dei vantaggi e degli svantaggi. I principali vantaggi sono che si ha a che fare con persone molto qualificate, ma soprattutto si ha un contatto diretto con le aziende fornitrici di prodotti. Uno svantaggio può essere il periodo. Essendo una grossa azienda, i progetti son tanti e i tempi di sviluppo sono abbastanza lunghi. Il fatto di svolgere uno stage di 5 mesi mi ha dato la possibilità si seguire progetti in corso d’opera e progetti dall’inizio. In entrambe i casi non è stato possibile seguire la conclusione di tali progetti. Per quanto riguarda la struttura aziendale, Telecom presenta diverse sedi a Roma. Il settore su cui ho svolto lo stage è quello di Security Solution di cui Giovanni Ciminari ne è a capo. Tale settore si occupa dello studio e della progettazione di soluzioni di sicurezza per la rete di gruppo interna di Telecom Italia. Essendo Telecom Italia una grossa azienda molto ramificata, ci sono diversi settori che implementano soluzioni di sicurezza. Il settore in qui ho svolto lo stage non mi dava la possibilità di “mettere le mani sul pezzo” perchè tra i vari settori di Telecom c’è quello che ha il compito di rendere operativo quello che gli altri settori propongono. 6 Attivazione Firewall su PdL Windows XP SP2 Introduzione Con la migrazione delle postazione di lavoro da Windows XP SP1 a SP2 è nata la proposta di attivare una delle novità principali che il nuovo Service Pack prevedeva, il Firewall. Per la prima volta, Microsoft Windows prevedeva all’interno del proprio sistema operativo un Firewall che dava la possibilità di rendere più sicuro e affidabile il proprio sistema operativo. Funzionalità Windows Firewall, precedentemente noto come Firewall connessione Internet o ICF, rappresenta una barriera di protezione in grado di monitorare e limitare le informazioni trasmesse tra il computer e una rete o Internet. In questo modo, è possibile difendersi da tentativi di accesso al computer dall'esterno di Windows Firewall effettuati senza l'autorizzazione dell'utente. Quando qualcuno in Internet o in una rete cerca di connettersi al computer dell'utente, tale tentativo viene definito "richiesta indesiderata". Quando il computer riceve una richiesta indesiderata, la connessione viene bloccata da Windows Firewall. Se si esegue un programma, ad esempio un'applicazione di messaggistica immediata o una partita in rete a più giocatori, che richiede la ricezione di informazioni da Internet o da una rete, verrà chiesto se si desidera bloccare o consentire la connessione. Se si decide di consentire la connessione, verrà creata un'eccezione, in modo tale che, se tale programma in futuro dovrà ricevere informazioni, il firewall non interverrà. 7 Operazione eseguite Supporto per il blocco di virus e worm affinché non accedano al computer. Richiesta di autorizzazione dell'utente per bloccare o consentire richieste di connessione specifiche. Creazione di un registro di protezione, se lo si desidera, in cui vengono memorizzati tutti i tentativi, riusciti o meno, di Operazioni non eseguite Individuazione o disattivazione di virus e worm qualora siano già presenti nel computer. Per questo motivo, è necessario installare anche un software antivirus e mantenerlo aggiornato, affinché virus, worm e altre minacce alla protezione non possano danneggiare il computer o utilizzarlo per diffondere virus in altri computer. Blocco dell'apertura di messaggi di posta elettronica con allegati pericolosi. Non aprire gli allegati di posta elettronica provenienti da mittenti sconosciuti. Fare attenzione anche nel caso in cui si conosca l'origine del messaggio. Se si riceve un allegato di posta elettronica proveniente da un mittente conosciuto, osservare attentamente la riga dell'oggetto prima di aprirlo. Se l'oggetto è incomprensibile o non ha senso, rivolgersi al mittente prima di aprire l'allegato. Blocco dello spamming o dei messaggi di posta indesiderati affinché non vengano visualizzati nella cartella Posta in arrivo. Tale 8 connessione al proprio computer. funzione è disponibile tuttavia in Tale registro può costituire un alcuni programmi di posta utile strumento per la risoluzione elettronica dei problemi. Problemi L’attivazione del firewall su Windows XP SP2 può causare svariati problemi all’interno di un’azienda cosi grande. All’interno dell’azienda ci sono migliaia di postazioni di lavoro che svolgono funzioni diversi. Ogni postazione presenta un sistema operativo customizzato chiamato “Griffon”. L’attivazione del firewall potrebbe causare il disservizio di alcune postazioni di lavoro. A causa del firewall molti software presenti all’interno del pc potrebbero non funzionare correttamente e questo porterebbe ad un disservizio generale che causa l’apertura di centinaia di Ticket verso l’Help Desk di Telecom Italia. Il settore Security Solution, ha giustamente proposto l’attivazione del firewall, in quanto non essendo un prodotto esterno al sistema operativo, è uno dei principali servizi che rendono un pc “sicuro”. Conclusioni Attualmente questo progetto è ancora in corso d’opera. Si spera che nel più breve tempo possibile venga attuata una soluzione per la salvaguardia del pc e della rete aziendale 9 Password Policy Introduzione Il progetto di password consisteva nel porre delle politiche di sicurezza all’interno del sistema di gestione delle password in Telecom Italia. Con le nuove leggi sulla privacy, le aziende hanno dovuto mettersi in regola con le nuove leggi. Telecom Italia, essendo un’azienda fornitrice di servizi, ma nello stesso tempo con migliaia di dipendenti, è stata coinvolta in prima linea con le nuove leggi. Principalmente, le politiche di gestione password da regolarizzare all’interno di Telecom sono tre: 1. 2. 3. Password History Blocco account Numero caratteri modificabili Soluzioni 1. La politica sul password history prevede che, per ogni utente deve essere memorizzato un numero determinato di password, per fare in modo che l’utente, al momento del cambio password (la policy in Telecom prevede il cambio password ogni 3 mesi), non possa reinserire la stessa password. La soluzione proposta da Security Solution è di almeno 4-5 password memorizzabili 2. La politica sul blocco utente prevede che, dopo un determinato numero di combinazioni user-password errati, l’account venga bloccato. La soluzione proposta da Security Solution era di 5 tentativi errati di inserimento della combinazione user-password 3. La politica sul numero di caratteri modificabili prevede che, al momento del cambio password, ogni utente debba modificare un 10 determinato numero di caratteri. La soluzione pensata da Security Solution è che, essendo 8 il numero di caratteri minimi per ogni password, almeno 4 caratteri (50%) debbano essere modificati. Problemi 1. Sulla politica del password history il problema principale stava sul fatto dell’infrastruttura che dovrebbe memorizzare le password. Per poter applicare questa soluzione è necessario effettuare uno studio sull’infrastruttura di gestione password, che compete al settore Infrastruttura di rete di Telecom 2. Il blocco utente è una soluzione molto critica. L’applicazione di questa policy causerebbe molti problemi all’interno dell’azienda. Questo perchè il nome matricola(user) di ogni dipendente è pubblico, o meglio, è facilmente reperibile dall’esterno. Una volta reperita la matricola(user) di un dipendente, basterebbe tentare di accedere alla webmail dell’utente per causare un attacco di tipo DoS. Per questo tale soluzione è molto difficile da implementare. Oltre al fatto del DoS, il blocco utente causerebbe un’apertura di ticket verso l’Help Desk Telecom Italia sopra i limiti aziendali. Per porre rimmedio alla riattivazione dell’account son state pensate due soluzioni: Creazione di una pagina web per la riattivazione personale dell’account. Ciò prevede l’implementazione di un’infrastruttura non semplicissima 11 Utilizzo di PIN da inviare sul telefono dell’utente con l’account bloccato. Soluzione non semplicissima da implementare ma molto affidabile 3. La soluzione sul numero di caratteri modificabili, come la prima, è fortemente legata all’infrastruttura. A differenza della prima però, è quella più facilmente implementabile in quanto basterebbe effettuare un controllo sulla password precedente. Conclusioni Attualmente il progetto è in fase di stallo. Le pressioni maggiori sono arrivate dal garante che chiedeva delle informazione sulla policy del blocco utente Windows Vista Introduzione Il progetto riguardante l’implementazione del nuovo sistema operativo Microsoft all’interno di Telecom Italia, lo ritengo quello più interessante e stimolante. Grazie al forte legame presente tra Telecom Italia e Microsoft, mi è stato possibile acquisire delle buone competenze tecniche in ambito sistemistico su Windows Vista. Telecom Italia è stata una delle aziende pilota di Microsoft per il nuovo sistema operativo. Il progetto ha dei tempi abbastanza lunghi, in quanto non è semplice implementare un nuovo 12 sistema operativo all’interno di un’azienda di migliaia di dipendenti. Personalmente ho assistito all’evolversi di Windows Vista, sia in ambito tecnologico che all’interno dell’azienda. Inizialmente erano presenti solamente poche macchine con Windows Vista installato e le policy aziendali non erano ancora presenti. Attualmente sono presenti un centinaio di macchine su cui è installato Windows Vista e su molti di questi son presenti le nuove policy aziendali. Novità Windows Vista (noto precedentemente con il nome in codice Longhorn) è la più recente versione dei sistemi operativi Windows della famiglia Microsoft. E' un sistema operativo della famiglia Windows NT, ed è stato sviluppato a partire dal codice di Windows 2003 Server e ne costituisce una importante evoluzione dal punto di vista della tecnologia kernel. Windows Vista viene indicato come Windows NT 6.0. È prevista anche una versione server del nuovo sistema operativo, che ha nome in codice "Longhorn Server" e sarà rilasciato sotto il nome di "Windows Server 2008". Windows Vista è un sistema operativo della famiglia Windows NT, con architettura a kernel ibrido. Vista ha un'innovativa interfaccia utente task-based (centrata sull'attività da compiere). È presente una versione di esplora risorse (ora chiamato Windows Explorer) molto diversa da quella precedente, probabilmente la maggiore evoluzione dai tempi di Windows 95. Un'altra caratteristica è l'evoluzione del sottosistema grafico, che sfruttando le potenzialità tridimensionali delle moderne schede grafiche pesa di meno sulla CPU. In alcune delle prime versioni "alpha" di Vista (a grandi linee le Milestone 4, build 4xxx) l'interfaccia utente era implementata utilizzando codice gestito .NET, in modo da garantire una maggiore sicurezza e protezione, ma era percepibile un notevole 13 peggioramento delle prestazioni. Dalla beta 1, invece, tutta l'interfaccia è nuovamente scritta in codice nativo. Componenti di base: La libreria DirectX 10, precedentemente nota come Windows Graphic Foundation (WGF), ha nuove DLL più veloci grazie anche all'abbandono della retrocompatibilità con le versioni precedenti. Questa non viene quindi gestita dalle DirectX 10, bensì dalle DirectX 9.0L che sono parallelamente presenti nel sistema operativo. Supporto dei Shader Model 4.0 e dei Geometry Shaders. Le DirectX 10 grazie al nuovo kernel di Vista, permettono di renderizzare scene più complesse senza l'intervento della CPU mediante una gestione del bilanciamento di carico fra la CPU e la GPU, con ottimizzazione dei trasferimenti. Transactional NTFS (NTFS 6.0) è la nuova versione di NTFS che in Windows Vista diventa un file system completamente transazionale (NTFS di Windows XP è transazionale solo per le operazioni su metadati cancella, rinomina ecc. - e non nei confronti dei dati veri e propri). Registro di sistema migliorato ed anch'esso completamente transazionale. Windows Installer 4.0 (MSI 4.0) che sfrutta le nuove caratteristiche di Vista: UAC (User Account Control), Restart Manager, Multiple User Interface, ecc... Funzionalità utente 14 Interfaccia utente task-based, chiamata Aero (acronimo di Authentic, Energetic, Reflective and Open). Non è presente nella versione Home Basic. A differenza delle precedenti versioni di Windows, è esterna al kernel di Vista per migliorare la stabilità del sistema operativo, infatti anche il DirectX Runtime esegue in user mode Motore grafico tridimensionale di gestione delle finestre (basato su Avalon) che è in grado di sfruttare le GPU delle moderne schede video liberando quindi carico dalla CPU. Inoltre le finestre vengono memorizzate direttamente nella memoria della scheda grafica. Se si muove il mouse su una finestra presente sulla taskbar, viene mostrata in tempo reale l'anteprima di quella finestra (live thumbnails). Presenza di una "sidebar" opzionale, un pannello posto sul lato destro dello schermo, nel quale l'utente può inserire collegamenti a programmi, applet interattive e mini-applicazioni chiamate gadget. Con questi gadget è possibile interagire in vario modo, per esempio staccandoli dalla sidebar e riattaccandoveli a proprio piacimento. I gadget possono essere implementati utilizzando una tecnologia in stile AJAX oppure utilizzando le classi del .NET framework. La sidebar non occupa spazio alle altre finestre aperte, poiché di default risulta sullo stesso piano del desktop. Ricerca istantanea di programmi, documenti, file, messaggi e-mail, ecc. (basata anche sul contenuto) tramite casella di ricerca nel menù di Start, in ogni finestra di esplora risorse, ecc. Di default indicizza solo il menù di Start, i nomi dei file aperti in precedenza, la cartella Documenti e le e-mail che vengono di volta in volta aperte e quindi è veloce e leggera. Le opzioni avanzate consentono di specificare per ogni tipo di file, se indicizzarne solo le proprietà o anche il contenuto, oltre a poter escludere certi tipi di file. Per la ricerca istantanea è possibile usare operatori 15 booleani, filtri e tag, parentesi, ecc. oppure configurarla per usare il linguaggio naturale. E' anche possibile aggiungere tag personalizzati (metadati) ai propri file in modo da classificarli e ritrovarli più in fretta. Supporto nativo ai Feed RSS, con API programmabili. Restart Manager consente, all'amministratore di sistema e ai programmi che ne fanno uso, di chiudere e sostituire determinate DLL senza necessariamente riavviare il computer. Freeze Dry, che permette di salvare automaticamente lo stato delle applicazioni e dei documenti aperti, prima di una richiesta di reboot e di ripristinali una volta che il sistema riparte. Link simbolici sono puntatori a file o cartelle e possono essere usati da ogni applicazione. Gli attuali .lnk di Windows 2000/XP sono usati solo dalla shell di Windows (explorer.exe) e quindi l'apertura di file .lnk da un'applicazione non comporta l'apertura del file linkato, mentre con i link simbolici sì (analogamente ai link simbolici implementati da tempo nei sistemi di classe Unix). Cartelle virtuali è possibile creare delle cartelle dinamiche che catalogano documenti e file che soddisfano un determinato criterio di ricerca (per la ricerca è possibile usare anche gli operatori booleani AND, OR e NOT). Il vantaggio rispetto alla normale ricerca di Windows XP è che non occorre tutte le volte ripetere la ricerca (poiché sono le cartelle virtuali stesse che salvano il risultato della ricerca) e soprattutto che al variare dei file e del contenuto dei documenti, le cartelle virtuali si aggiornano automaticamente. Previous Versions : permette a ogni singola cartella di poter essere ripristinata a piacere dall'utente ad un qualsiasi stato precedente per ripristinare documenti o file d'utente modificati da una nuova versione (le copie vengono create con frequenza giornaliera automaticamente). È 16 infatti presente un nuovo tab nelle proprietà delle cartelle in cui si vedono le precedenti versioni dei file e documenti ed è possibile ripristinare una versione o copiarla da un'altra parte. Masterizzazione di file su CD e DVD integrata in Esplora risorse, con supporto anche a Mount Rainier (packet writing). Masterizzazione dei CD audio integrata in Windows Media Player 11. Masterizzazione di file multimediali e DVD con Windows Media Center. Pianificazione automatica dell'utilità di deframmentazione dischi. Non interferisce con le altre attività in quanto il nuovo kernel di Vista gestisce gli accessi al disco basandosi sulle priorità. Settaggi audio indipendenti per ciascuna applicazione che si desidera configurare. Introdotte nuove funzionalità quali Room Correction, Bass Management, Speaker Fill e Headphone virtualization. La Gestione disco di Vista presente in Gestione Computer permette di creare o ridimensionare le partizioni (ingrandirle o rimpicciolirle) senza perdere i dati esistenti. Riconoscimento vocale permette di comandare le applicazioni con la voce o dettare un documento o una e-mail. L'accuratezza migliora con l'uso e si adatta allo stile di chi parla e al suo vocabolario, inoltre supporta lingue multiple, ma non quella italiana. Windows Boot Manager è il nuovo boot loader più flessibile, che sostituisce il vecchio NTLDR. Inoltre attraverso il Windows Memory Diagnostic, presente fra le opzioni di boot, è possibile testare in modo approfondito i moduli hardware della memoria. Documenti XPS - XPS è un nuovo formato nato con .NET Framework 3.0 e che permette di memorizzare documenti in maniera indipendente dall'applicazione (si tratta di un salvataggio dei pixel dell'immagine del documento originale nel formato vettoriale XPS), cioè da ogni applicazione 17 di Vista è possibile salvare il documento corrente nel formato XPS, selezionando la stampante virtuale Microsoft XPS Document Writer attraverso le opzioni di stampa. È anche possibile aggiungere permessi e firme digitali ai documenti XPS. I documenti XPS vengono aperti in IE7 che ha un lettore integrato dotato di ricerca per ricercare parole all'interno del documento. Migliorato Task manager: ha una nuova scheda che mostra i Servizi di sistema e consente di fermarli. La scheda Processi permette di: visualizzare le proprietà dei file, la linea di comando e il path completo dei processi in esecuzione, lo stato di DEP dei processi, attivare o disabilitare la Virtualizzazione dei file e del registro dello UAC per un dato processo. Migliorata Utilità di Pianificazione offre nuove possibilità di configurazione per pianificare attività da eseguire automaticamente, grazie all'aggiunta di molti nuovi filtri e condizioni. Nuovo strumento Panoramica delle risorse in Gestione Computer, che permette di controllare le attività della CPU, Disco, Rete e Memoria. Per esempio vengono mostrati i singoli file che vengono usati in quel dato istante con tutti i dettagli sulle operazioni che stanno avvenendo, la velocità di trasferimento; l'elenco delle connessioni aperte per ogni processo con tutti i dettagli sugli indirizzi, ecc. Nuovo strumento Monitoraggio affidabilità in Gestione Computer, che mostra un rapporto dettagliato sulla stabilità del sistema, anche sotto forma di grafico e un indice numerico che riassume la stabilità complessiva attuale: Disinstallazioni software, Errori applicazione, Errori hardware, Errori Windows e Altri errori. Migliorata e semplificata la funzione per Riparare una installazione di Windows. Infatti è sufficiente avviare il computer con il DVD di Vista inserito (verificare la sequenza di boot nel bios) e tramite la finestra 18 grafica che compare, selezionare "Repair your Computer" (Ripara il tuo computer) e poi scegliere una di queste funzioni: correggere automaticamente i problemi che impediscono a Windows di avviarsi, ripristinare Windows a un punto precedente, ripristinare completamente da un backup o aprire un prompt di comandi. Migliorata la procedura d'installazione del sistema operativo che permette di scaricare tutti gli aggiornamenti, prima ancora di installare il sistema operativo stesso. Inoltre cliccando sulle opzioni avanzate di installazione è possibile creare, estendere, cancellare e formattare partizioni dell'hard disk. Ricerca automatica dei driver: quando si è nella fase di installazione di una periferica, si può lasciare a Vista la ricerca e l'installazione del driver migliore per la periferica. Il driver viene scaricato da Windows Update in automatico e anche quando è disponibile una nuova versione di quel driver, verrà automaticamente scaricato e installato. Inoltre i driver delle periferiche di Windows e quelli pre-approvati dall'amministratore vengono installati anche se si è utenti Standard (in Windows XP invece occorreva essere amministratori). Migliorato Esplora risorse: permette di visualizzare un Riquadro di anteprima per guardare i file senza doverli aprire, in maniera simile a quando si visualizza l'anteprima di una e-mail. Barra di navigazione mostra l'intero percorso ed è clickabile in ogni suo punto, permettendo di muoversi più velocemente fra le cartelle. Il layout è personalizzabile ed inoltre è possibile aggiungere nei Collegamenti preferiti le cartelle che si usano più frequentemente. Nuovi comodi pulsanti sulla barra strumenti permettono di: Masterizzare su CD, Condividere con altri utenti, Inviare per posta elettronica, Stampare, i file selezionati. 19 Migliorata la funzionalità di Backup: permette di eseguire il backup dei file d'utente oppure dell'intero PC con file immagine, pianificare ed eseguire i backup automaticamente ad intervalli regolari di tempo e backup incrementali. È possibile ripristinare il PC utilizzando le immagini del backup, anche facendo il boot dal DVD di Windows Vista, utile nel caso in cui il PC non si avvii più. Funzionalità MUI (Multi-lingual User Interface) - permette agli utenti di Windows Vista Enterprise e Ultimate di cambiare la lingua dell'intero sistema operativo e passare da una lingua ad un'altra ogni volta che lo desiderano (sono disponibili 36 lingue diverse). Questo è possibile grazie al fatto che in Windows Vista le stringhe delle risorse dell'interfaccia utente sono separate dagli eseguibili. Security UAC (User Account Control) è una nuova modalità di gestione degli account e dei permessi che permette a tutti i processi di avere il minimo indispensabile dei privilegi (l'account principale è uno speciale tipo di utente limitato che, se necessario, è in grado di eseguire tutte le operazioni che richiedono privilegi superiori grazie ad una gestione dinamica che consente ad un processo di passare temporaneamente e automaticamente ad un livello di privilegio superiore: il passaggio avviene basandosi sui permessi che l'utente dà o che Windows ha preimpostati ed in assenza di tali permessi viene richiesta automaticamente una password). Lo UAC chiede il permesso in una speciale modalità chiamata Secure Desktop in cui l'intero schermo viene parzialmente oscurato, 20 tranne la finestra di permesso; inoltre il Secure Desktop isola questa finestra di permesso da tutte le altre applicazioni proteggendola dallo spoofing e dai cosiddetti Shatter attacks. Lo UAC viene anche usato dalla modalità protetta di IE7. File virtuali sono usati e gestiti dallo UAC quando un'applicazione non espressamente progettata per gestire la multiutenza tenta di creare o modificare file o chiavi di registro di cui non dispone i permessi. Essendo copie di file private, non si va a intaccare la sicurezza dell'intero sistema operativo e nello stesso tempo si permette di far funzionare le applicazioni mal progettate per la multiutenza. In Esplora risorse se una cartella contiene dei file virtuali dell'utente corrente, compare un pulsante chiamato "File compatibilità" che se premuto permette di accedere a quei file in maniera semplice e intuitiva. User Interface Privilege Isolation (UIPI) evita che i processi possano inviare i cosiddetti window messages, hook, attach o effettuare DLLinjection, a processi che hanno un livello d'integrità superiore. Windows Service Hardening impedisce che i servizi di Windows critici possano fare dei cambiamenti non autorizzati sul file system, nel registro, accedere alla rete o altre risorse. Inoltre questi permessi sono settabili dagli amministratori e dagli sviluppatori anche per tutti gli altri servizi di terze parti. Versione migliorata del Windows Firewall con funzionalità di application firewalling con anche la possibilità di controllare le connessioni in uscita, gestione diretta dei servizi di Windows, e packet filtering avanzato. Windows Defender previene l'installazione indesiderata di malware, spyware e rootkit. È integrato nel Centro Sicurezza PC e aggiornabile 21 tramite gli aggiornamenti automatici di Windows. Si integra con Internet Explorer per scansionare automaticamente i file scaricati. Migliorata la funzione di "DEP" (Data Execution Prevention) rispetto a quella presente in Windows XP SP2. DEP sfrutta la tecnologia "NX bit" (NoExecute bit) che è disponibile da diversi anni nei recenti microprocessori Intel e AMD, per prevenire attacchi di tipo buffer overflow e bloccare i code execution. ASLR (Address Space Layout Randomization) è una tecnologia di sicurezza che permette di prevenire attacchi da buffer overflow di tipo Return-to-libc I servizi del sistema vengono eseguiti in una sessione separata rispetto a quella dell'utente in modo da risultare completamente protetti dagli agenti maligni che si nascondono nelle applicazioni dell'utente (in Windows XP SP2 ed in Windows Server 2003 vengono invece eseguiti all'interno della stessa sessione). Il codice di molti componenti è stato revisionato al fine di diminuire la "superficie d'attacco" del sistema operativo ed offrire quindi una maggiore resistenza contro i Denial of Service (DoS) ed altri tipi d'attacco. Kernel Patch Protection su sistemi x64, protegge l'integrità del kernel da attacchi pericolosi per la sua sicurezza e stabilità. BitLocker Drive Encryption è una tecnologia che consente di criptare, con un algoritmo di crittografia simmetrica, l'intero contenuto dell'hard disk. La chiave di cifratura viene memorizzata in un chip TPM (Trusted Platform Module) presente sulle nuove schede madri oppure su chiavetta USB. Tale tecnologia garantisce che i dati siano accessibili solo se il sistema operativo è 'fidato', cioè non è stato manomesso. Il vantaggio di tale tecnologia è che l'intero disco rigido sarà inaccessibile nel caso in cui dei 22 malintenzionati provassero a sottrarre i vostri dati facendo il boot da un altro sistema operativo o nel caso di furto del PC o dell'hard disk. Vista include un sistema di Digital rights management secondo le specifiche TCG, che consente ai produttori di proteggere file multimediali e applicazioni coperte da Copyright sfruttando questa tecnologia. I file Mp3, i DivX e i programmi open source freeware ecc., essendo creati dagli utenti, non sono firmati digitalmente con questa tecnologia e quindi continueranno a funzionare come prima. System Protection è la nuova versione transazionale del System Restore. Migliorata la gestione dei punti di ripristino (con risparmio notevole sui dati delle immagini del sistema da salvare) e del backup grazie anche al nuovo metodo di memorizzazione più efficiente basato sulle shadow copies (lo stesso metodo usato anche dalla funzionalità di "Previuous versions"). Deadlock Detection Technology è in grado di rilevare condizioni di deadlock di un'applicazione. Inoltre si ha una maggiore affidabilità grazie alla possibilità di correggere le più comuni situazioni di blocco e crash e una nuova tecnologia che è in grado di prevenire le cause che portano a questi blocchi e crash. Nuovi stack Audio e stack Stampanti completamente riscritti con nuove API ed eseguono a livello utente anziché al livello del kernel, sempre per garantire la massima stabilità del sistema operativo. Lo stack audio PUMA (protected user-mode audio) integra inoltre funzionalita DRM per assicurarsi che software non fidati non possano rubare del contenuto protetto. Credential Security Service Provider (CredSSP) e Security Support Provider Interface (SSPI) sostituiscono i vecchi sottosistemi GINA e CAPI. Aggiunti anche i metodi di cifratura AES, ECC e SHA-2 (Windows 2000 e 23 Windows Server 2003 invece non supportano AES). Windows Vista può accettare Smart Card o Smart Card+Password per autenticare gli utenti. Aggiunte tantissime Nuove group policy in Windows Vista. Coprono molti aspetti delle nuove funzionalità presenti in Vista, una maggiore configurabilità delle reti wireless, policy sui dispositivi rimuovibili, ecc. Code Integrity check-sum verification: Windows Vista controlla l'integrità di tutti i file che lo compongono (dll e file di sistema) per verificare che il sistema non sia stato compromesso. Il sistema controlla anche l'integrità (ovverosia, la presenza di una firma valida) di tutti i driver che vengono caricati in kernel mode. Windows Update di Windows Vista non utilizza più il browser Internet per scaricare gli aggiornamenti, ma è un'applicazione a sé e inoltre gli aggiornamenti automatici sfruttano il nuovo Transactional-NTFS di Vista per garantire una maggiore affidabilità degli aggiornamenti anche in caso di caduta della corrente elettrica. Gestione avanzata dei permessi sui file e cartelle in maniera simile a Windows XP Professional, anche in Vista Home Basic (Controllo completo, Modifica, Lettura ed esecuzione, Visualizzazione contenuti cartella, Lettura, Scrittura, Autorizzazioni speciali, ecc.). Windows XP Home invece permetteva solo la Condivisione file semplice e non si potevano modificare questi permessi avanzati da esplora risorse. Prestazioni Tempi di risposta migliorati grazie ai nuovi algoritmi di scheduling, alla gestione migliorata della memoria e dell'Input/Output (il nuovo kernel di Windows Vista infatti supporta la cancellazione sincrona delle richieste di I/O permettendo alle applicazioni di riprendersi quando una risorsa richiesta è in uso da un'altra applicazione). Gli accessi al disco e in 24 generale all'I/O hanno priorità diversa, stabilita di default dalla priorità del processo/thread (in Windows XP invece tutti i processi accedono all'I/O con la stessa priorità). Il tempo di avvio (a freddo) del sistema si è sensibilmente ridotto rispetto a quello di Windows XP. Modalità Sleep (Sospensione) e avvio rapido permette al PC di avviarsi in 2 o 3 secondi grazie alla combinazione delle modalità di standby e ibernazione in un unico stato di Sleep. La sessione corrente di lavoro viene salvata sia in memoria centrale che sull'hard disk e il PC entra in una modalità a bassissimo consumo energetico. SuperFetch è la nuova funzione di prefetch che consente di precaricare in memoria le applicazioni utilizzate più frequentemente e di renderle prioritarie rispetto alle applicazioni che lavorano in background, al contrario di quanto accadeva con il prefetch di Windows XP, che gestiva ogni applicazione indistintamente. Inoltre è persino in grado di capire a quale ora del giorno o della settimana una data applicazione verrà eseguita, e quindi la precarica in anticipo durante i tempi morti. ReadyBoost consente di utilizzare la memoria di periferiche esterne (chiavette USB 2.0 o altre..) per estendere la quantità di memoria di sistema da usare per il SuperFetch e l'avvio più veloce di Windows (le memorie flash esterne non sono veloci quanto la RAM, ma possono comunque offrire prestazioni superiori a quelle dei dischi rigidi magnetici). È possibile rimuovere un'unità EMD (External Memory Devices) in qualsiasi momento senza perdite di dati. Una periferica USB può essere utilizzata come unità EMD per diversi anni anche se viene utilizzata intensivamente, grazie all'uso di un algoritmo di ottimizzazione. Infine, i dati contenuti nell'unità EMD sono crittografati per impedire l'accesso non autorizzato ai dati quando viene rimossa l'unità. 25 ReadyDrive consente ai PC equipaggiati con dischi rigidi ibridi (cioè dotati di memoria flash aggiuntiva) di effettuare il boot più velocemente, il ripristino dall'ibernazione in meno tempo e soprattutto di risparmiare energia. Possibilità di fermare i servizi e le applicazioni in background (congelandoli nella memoria virtuale) prima di eseguire un gioco o un'applicazione in full screen, in modo da dedicare tutte le risorse al processo che è correntemente in esecuzione. L'installazione del sistema operativo è molto più veloce rispetto a Windows XP e dura circa 20 minuti su un Vista Capable PC, grazie anche al fatto che il DVD di Vista è una immagine .WIM e quindi praticamente una copia esatta del file system Enable advanced performance è una impostazione, presente anche in Windows 2003 server, che migliora notevolmente le prestazioni degli Hard Disk (si consiglia di abilitarla solo se si ha un gruppo di continuità oppure su un computer portatile alimentato a batterie). Quando questa impostazione è abilitata l'HDD opera nella modalità di write-back cache, in cui tutti i dati vengono prima scritti nella cache e poi in un secondo momento su disco. Se disabilitata l'HDD opera nella modalità writethrough cache come su Windows XP, in cui tutti i dati sono scritti immediatamente su disco e anche nella cache, cioè in questo caso le scritture non sono gestite dalla cache, ma solo le letture. Avvio ritardato dei servizi è una nuova modalità di avvio dei servizi che permette di posticiparne l'avvio in modo da snellire la fase di boot e permetterne il caricamento in background 26 Network Windows Internet Explorer 7 è la nuova versione del web browser di Microsoft che in Windows Vista viene eseguito in modalità protetta in una specie di sandbox che blocca l'accesso in scrittura al di fuori delle cartelle dei file temporanei Internet. Windows Mail è il nuovo client di posta elettronica (che sostituisce Outlook Express): ha un nuovo motore che utilizza un database transazionale per portare una maggiore stabilità ai dati e permettere ricerche istantanee sia dentro il programma che dalla shell di Windows Vista, filtro anti-spam che viene aggiornato tramite aggiornamenti automatici di Windows, filtro anti-phishing come in IE7, newsgroup con supporto ad icone che individuano domanda e risposta e voto ecc.). Centro connessione di rete e condivisione mostra la mappa della topologia della rete, permette di visualizzare lo stato della rete, attivare o disattivare l'individuazione della rete, la condivisione dei file, condivisione cartella pubblica, condivisione stampanti, condivisione protetta da password, condivisione file multimediali, permette di visualizzare tutti i file e le cartelle condivise e visualizzare tutte le cartelle di rete condivise. Centro sincronizzazione consente di mantenere sincronizzate le informazioni tra il computer e dispositivi mobili che vengono collegati al computer o ai quali ci si collega in modalità wireless (lettori musicali mobili, fotocamere digitali e cellulari), file archiviati in cartelle di server di rete e programmi che supportano Centro sincronizzazione. Remote Differential Compression (RDC) permette ai dati di essere sincronizzati con una fonte remota usando tecniche di compressione 27 differenziale per minimizzare il quantitativo di dati da inviare attraverso la rete. Microsoft Peer Name Resolution Protocol (PNRP) è il nuovo sottosistema di P2P di Microsoft che viene usato per collegare macchine nella stessa maniera in cui le applicazioni come eDonkey/eMule, BitTorrent o programmi di messaggistica immediata fanno già, senza richiedere l'utilizzo di server. Next Generation TCP/IP stack è la nuova implementazione di TCP/IP, completamente riprogettata con una nuova architettura a doppio layer IP (IPv6 e IPv4) con condivisione dei livelli di trasporto e di framing. Lo stack Next Generation TCP/IP permette l'inserimento e la rimozione dinamica di componenti modulari. Ha inoltre capacità di autosensing per configurarsi automaticamente (ad esempio per determinare dinamicamente la dimensione della finestra TCP di ricezione). Il nuovo stack TCP/IP supporta ECN (Explicit Congestion Notification) e Compound TCP (CTCP) che migliora le performance TCP nei collegamenti con maggior latenza e minor ampiezza di banda tipici degli ambienti Wan. Supporto a IEEE 802.11i o Wpa2 che è lo standard di autenticazione alle risorse wireless che consente la protezione del traffico dati con algoritmi AES. Internet Information Services (IIS) 7.0 è la nuova versione del server Web, incluso anche in Vista Home Premium, ma non installato di default. IIS 7.0 è un server Web modulare composto da un server di base leggero a cui è possibile aggiungere più di 40 moduli funzionali che possono essere connessi al server di base su necessità. Server Message Block 2.0 è la nuova versione del protocollo SMB che supporta i link simbolici e con prestazioni migliorate (invio di comandi SMB multipli in un unico pacchetto, buffer di dimensioni maggiori, ecc.). 28 Link Layer Topology Discovery (LLTD) è un nuovo protocollo che permette ai dispositivi di essere mostrati con una icona in una mappa che mostra la topologia della rete Network Access Protection (NAP) fa sì che ogni client di un dominio possa accedere alla rete locale solo se risulta conforme alle policy aziendali in termini di configurazione del firewall, dell'antivirus, di aggiornamenti sulla sicurezza, ecc. supporto del protocollo Juniper Infranet Controller (Juniper Networks Unified Access Control) Windows Defender Windows Defender rileva ed elimina gli spyware noti dal computer, contribuendo così a rendere più sicura l'esplorazione del Web. Il software utilizza gli aggiornamenti automatici delle definizioni forniti dagli analisti Microsoft per rilevare e rimuovere le nuove minacce non appena vengono identificate. Miglioramenti in Windows Defender • Prestazioni ottimizzate grazie a un nuovo motore di scansione. • Interfaccia utente e avvisi semplificati e ottimizzati. • Controllo migliorato sui programmi del computer con Gestione software ottimizzato. • Supporto multilingue con funzioni di globalizzazione e localizzazione. • Funzioni di protezione per tutti gli utenti, con o senza diritti di amministratore sul computer. 29 • Tecnologie per l'accesso facilitato per gli utenti con difficoltà fisiche o cognitive, problemi o disabilità. • Supporto per Microsoft Windows XP Professional x64 Edition. • Pulizia automatica in base alle impostazioni dell'utente durante scansioni periodiche pianificate. Vantaggi di Windows Defender Rilevamento e rimozione degli spyware • Rilevamento degli spyware. Individua in modo facile e veloce gli spyware e altri programmi indesiderati in grado di rallentare il computer, visualizzare fastidiosi popup pubblicitari, modificare le impostazioni Internet o utilizzare le informazioni personali all'insaputa dell'utente. • Funzionamento semplificato e tecnologia di rimozione completa. Elimina facilmente gli spyware rilevati quando l'utente lo richiede. Se alcuni programmi sono stati rimossi per errore, è possibile ripristinarli in modo semplice. • Scansione e rimozione pianificata. Esegue le operazioni di scansione e rimozione secondo i tempi stabiliti dall'utente, sia su richiesta che in modalità pianificata. Maggiore protezione durante l'esplorazione del Web 30 • Blocco degli spyware prima che vengano installati nel computer. Offre una difesa continua contro tutti i possibili tentativi di infiltrazione di spyware nel computer. • Funzionamento senza distrazioni per l'utente. Il programma viene eseguito in background e gestisce automaticamente gli spyware in base alle preferenze impostate dall'utente. Utilizzo del computer quasi senza interruzioni. Blocco delle minacce più recenti • Competenza e affidabilità. Un team dedicato di ricercatori Microsoft analizza costantemente Internet per scoprire nuovi spyware e sviluppare le necessarie contromisure. • Blocca velocemente le nuove minacce. Una rete globale e volontaria di utenti di Windows Defender collabora con Microsoft per determinare quali programmi sospetti classificare come spyware. La partecipazione degli utenti consente di scoprire e notificare rapidamente le nuove minacce agli analisti Microsoft che lavorano per garantire una migliore protezione a tutti i clienti. A questa rete possono partecipare tutti gli utenti di Windows Defender che desiderano segnalare potenziali spyware a Microsoft. • Aggiornamento automatico. Per proteggere il computer dalle ultime minacce, è possibile attivare il download automatico degli aggiornamenti in grado di contrastare i nuovi spyware. 31 BitLocker BitLocker garantisce tre modalità operative. Le prime due modalità richiedono un dispositivo hardware per la cifratura, ovvero un Trusted Platform Module (versione 1.2 o successivo) e un BIOS compatibile: Modo operativo trasparente: questa modalità sfrutta le capacità dell'hardware TPM 1.2 per garantire una esperienza di utilizzo trasparente; l'utente effettua il login al sistema operativo normalmente. La chiave usata per la criptazione del disco rigido viene memorizzata (in forma sempre crittografata) all'interno del chip TPM che viene restituita al loader dell'OS solo se i file di avvio appaiono non manomessi. I componenti pre-OS di BitLocker sfruttano la endorsement key. Modo autenticazione utente: questa modalità richiede che l'utente inserisca una chiave di autenticazione nell'ambiente pre-boot in modo da poter avviare l'OS. Due diversi modi di autenticazione sono supportati: un PIN inserito dall'utente oppure un dispositivo USB che contiene la chiave di avvio necessaria. La terza modalità non richiede un chip TPM: Chiave USB: l'utente deve inserire un dispositivo USB che contiene la chiave di avvio nel computer per poter avviare il sistema operativo protetto. È da notare che questa modalità richiede che il BIOS sulla macchina protetta supporti la lettura dei dispositivi USB nell'ambiente pre-OS. Per permettere il funzionamento di BitLocker, l'hard disk ha bisogno di essere formattato in almeno due volumi NTFS: un "volume di 32 sistema" con una dimensione minima di 1.5GB, e un "volume di avvio" che contiene Windows Vista. Attenzione: il volume di sistema dove è installato BitLocker non è crittografato, quindi non deve essere usato per conservare informazioni riservate. La funzionalità utilizza idealmente un TPM 1.2 (Trusted Platform Module) per proteggere i dati dell'utente e garantire che un PC che esegue Windows Vista non venga manomesso mentre il sistema era fuori linea. BitLocker fornisce agli information worker aziendali e mobili una migliore protezione dei dati in caso di smarrimento o furto dei propri sistemi e un'eliminazione sicura dei dati quando si presenta la necessità di decommissionare tali risorse. BitLocker migliora la protezione dei dati combinando tra di loro due importanti sottofunzioni: crittografia dell'unità e controllo dell'integrità dei componenti iniziali dell'avvio. La crittografia dell'unità protegge i dati impedendo che gli utenti non autorizzati violino la protezione dei file e del sistema di Windows su computer smarriti, rubati o decommissionati in modo inadeguato. Questa protezione viene ottenuta crittografando l'intero volume Windows; tramite BitLocker tutti i file utente e di sistema vengono crittografati, compresi i file di scambio e di sospensione. Il controllo di integrità dei componenti che intervengono prima dell'avvio aiuta a garantire che la decrittografia dei dati venga eseguita solo se tali componenti risultano inalterati e che l'unità crittografata sia situata nel computer originale. BitLocker è strettamente integrato in Windows Vista e offre alle aziende una soluzione per la protezione dei dati trasparente, sicura e facile da 33 gestire. Ad esempio, BitLocker sfrutta facoltativamente l'infrastruttura dei Servizi di dominio Active Directory esistente per conservare le chiavi di ripristino in modalità remota. BitLocker dispone anche di una console di ripristino di emergenza integrata nei componenti che intervengono prima dell'avvio per fornire un recupero dei dati 'sul campo'. Un utilizzo di BitLocker secondo le impostazioni predefinite non richiede alcun intervento da parte dell'utente finale e anche l'attivazione stessa può essere eseguita automaticamente in modalità remota. BitLocker offre l'opzione di bloccare il nomale processo di avvio fino a quando l'utente non fornisce un PIN, simile a quello di un Bancomat, o non inserisce un'unità flash USB che contiene il materiale con le informazioni della chiave. Queste misure di protezione aggiuntive forniscono un'autenticazione a più fattori e la garanzia che il computer non verrà avviato o riattivato da una sospensione se non vengono presentati il PIN o l'unità flash USB corretti. BitLocker dispone di una procedura guidata per l'installazione e la gestione, oltre a funzioni di estensibilità e gestibilità per mezzo di un'interfaccia WMI (Windows Management Instrumentation) con il supporto degli script. Inoltre, BitLocker semplifica il riciclo dei computer accelerando notevolmente il processo di pulizia sicura del disco. L'utilizzo quotidiano di un computer Windows Vista protetto tramite BitLocker può essere completamente trasparente all'utente. Inoltre, nell'improbabile eventualità che si verifichi un blocco del sistema, magari a causa di un guasto hardware o come effetto di un attacco diretto, BitLocker offre un semplice ed efficiente processo di ripristino. Questi scenari comprendono eventi come lo spostamento del disco rigido che 34 contiene il volume del sistema operativo su un altro computer o la sostituzione della scheda madre di sistema. In conclusione, i vantaggi dell'utilizzo della funzionalità Crittografia unità BitLocker di Windows Vista comprendono: • Protezione dei dati inattivi notevolmente migliorata tramite la crittografia completa delle unità • Eccellente grado di utilizzatibilità con protezioni scalabili del livello di sicurezza • Funzionalità di distribuzione predisposte per le aziende, tra cui l'integrazione con Active Directory • Resistenza alla manomissione del sistema fuori linea • Riutilizzo e decomissionamento più efficaci dell'hardware • Funzionalità di ripristino di emergenza integrate Impatto aziendale Windows Vista è un sistema operativo con tante funzionalità. Molte di esse richiedono una configurazione hardware abbastanza robusta. Il problema dell’hardware in azienda è molto risentito. Il requisito fondamentale per l’utilizzo in modo efficente di Windows Vista è la memoria RAM. Il minimo necessario per un funzionamento stabile è di 512 MB. All’interno di Telecom Italia significherebbe installare su tutti le postazioni di lavoro almeno un banco di memoria da 256 MB. 35 Situazione attuale Telecom Italia Attività Stato Policy - Test /Documento /Deployment Completata Disco-Immagine Release 6.6 con antivirus Trend Micro 8.0 Completata SAP GUI 7.10 (verifica integrazione con Office 2007 e SAP BW) In Corso Sito Aziendale Survey per distribuzione postazioni VISTA Completata Definizione Processi di Certificazione/Distribuzione SW Completata Deployment Processi di Certificazione/Distribuzione SW (patch SMS) In corso Definizione Processi di Patching VISTA Completata Deployment Processo di Patching Vista Completata Definizione Processi di Patching Office 2007 su VISTA Completata Deployment Processo di Patching Office 2007 su VISTA Completata 36 Due Date ? 30 Giugno VPN Completata Certficazioni SSC (con policy Vista) In corso –Fine posticipata al Identificazione e contatto partecipanti prepilota VISTA Completata Deployment Pre-Pilota ZTI In corso (3 installazioni) Deployment Pre-Pilota on-site In corso (14 installazioni) Analisi dei Feedback In Corso Formazione di HP DCS ? N.a. ? Test e Benchmark di confronto tra Vista e XP (512MB/1GB) Completata Creazione sito per raccolta feedback di vista In corso 17 Luglio Conclusioni La tabella presente sopra rappresenta la situazione attuale del progetto sul nuovo sistema operativo Window Vista. Naturalmente, essendo un sistema operativo uscito da poco tempo è necessario un periodo di test per il corretto integramento all’interno del sistema aziendale. Perciò alcuni problemi di tempo e mal funzionamento del sistema sono “giustificati”. Ora bisognerà aspettare la risoluzione di alcuni problemi di sistema ma soprattutto è necessario un rinnovo dell’hardware dei pc per un corretto funzionamento del sistema operativo. 37 Web Filtering proxy Griffon Introduzione Impedire il download di software malevolo sui computer attestati sulla rete aziendale e’ un obiettivo di sicurezza che puo’ essere conseguito solo se si interviene su molteplici livelli dell’infrastruttura di sicurezza. Per le macchine Windows assoggettate a Windows Group Policy, o comunque gestite dall’azienda, l’installazione di apposito SW e la configurazione opportuna del sistema operativo potrebbero certamente ridurre la dimensione del problema originato da tali postazioni. D’altra parte la presenza (e prevedibile permanenza futura) nella rete aziendale di dispositivi che non rientrano nella categoria menzionata sopra è comunque così elevata da richiedere di ridurre il rischio operando sui sistemi ai bordi della intranet. Attualmente una misura di sicurezza pertinente viene realizzata consentendo agli utenti della intranet di raggiungere internet esclusivamente attraverso sistemi proxy (Microsoft ISA server) che, tra le altre cose, sono in grado di impedire l’accesso sulla base di apposite “Black List” aggiornate da personale aziendale. 38 Attualmente il personale del SOC (Security Operation Centre) provvede ad aggiornare le black list applicate ai server Proxy manualmente sulla base di richieste specifiche formulate da un’altra funzione aziendale I difetti della situazione attuale sono i seguenti: 1. L’identificazione, da parte del SOC, dei siti o indirizzi IP, che devono essere bloccati avviene utilizzando varie fonti, ma non si dispone di un benchmark per valutare il grado di copertura rispetto alla popolazione di siti che costituiscono minacci 2. L’attività di “svecchiamento” delle black-list ovvero dell’eliminazione dalle black-list dei siti che, in un certo momento hanno costituito un pericolo, ma sono in seguito divenuti innocui non è oggi svolta in modo puntuale inibendo talvolta l’accesso a siti utili all’attivita’ lavorativa 3. L’assenza di automatizzazione dell’applicazione del blocco ai siti espone per un periodo di tempo non trascurabile al rischio di download malevolo Obiettivi della soluzione ricercata sono dunque: 1. Acquisire uno strumento e un servizio che svolga un’azione di continuo screening dei siti pericolosi e comunichi in tempo reale i siti pericolosi e, se possibile, di uno strumento in-line per valutare in real time la sicurezza di siti non censiti ai quali viene richiesto accesso dagli utenti. Alla lista dei siti ottenuti in questo modo deve potersi aggiungere la lista dei siti individuati attraverso le pratiche attualmente svolte dal SOC 39 2. Acquisire uno strumento e un servizio che monitori nel tempo il persistere della pericolosita’ dei siti in Black-list e elimini dalla Black list siti non più pericolosi 3. Acquisire uno strumento che, minimizzi il tempo che trascorre dall’identificazione di un sito malevolo all’inserimento di tale sito nelle black-list Soluzioni proposte Requisiti commerciali per la soluzione al problema: Parametro Risposte Elenco dei protocolli supportati (http, https, ftp, irc,…) HTTP, HTTPS per quanto riguarda l’URL Filtering. Per quanto riguarda controlli sul maware: HTTP, HTTPS, FTP, IMAP, POP3, AIM, ICQ, MSN, Yahoo!, NNTP 1. via L4 redirection Integrazione con MS ISA server 2004 Note 2. intergazione a livello NTLM 3. inserimento in modaltà trasparente 40 Integrazione con MS ISA server 2006 Il modello di licensing è licenza (annuale o pluriennale) per singolo apparato, il servizio URL Filtering può essere attivato su una macchina per un periodo di uno o piu’ anni indipendentemente dal numero di utenti protetti, il costo è dipendente dal modello di macchina. Numero di Apparati/server che devono essere introdotti per installare la soluzione in uno scenario con due cluster di 8 Proxy MS ISA ciascuno e 70.000 utenti complessivi. 4 schede 5005FA2 + 2 Fortimanager 3000 per gestire le query locali Frequenza degli La frequenza può aggiornamenti presso variare di settimana il cliente del DB dei in settimana. 41 siti. Statisticamente nell’ultimo anno gli aggiornamenti sono stati in media 30 alla settimana, quindi circa 4.2 al giorno (settimana di 7 giorni) Il database contiene attualmente 30.000.000 di siti censiti Tempo di latenza introdotto dal sistema nell’erogazione di pagine web Copertura di siti malevoli individuati durante il periodo di tempo del test (circa un mese). Tipi di malware individuati ed efficacia nell’individuazione di Malware proveniente E’ possible attivare l’AV engine per coprire al 100% i possibili malware 42 da siti non censiti. Scalabilita’ rispetto al 10.000 richieste numero di utenze e al contemporanee / traffico. 250Mbit throughput per blade. Gestione e amministrazione centralizzata della soluzione. La soluzione può essere gestita e amministrata centralmente dall’apparato FortiManager che diventa anche il repository del Database degli URL. E’ anche possibile inserire nella piattaforma di gestione il prodotto FortiAnalyzer che permette di raccogliere i log e generare report dettagliati oltre ad essere un ottimo strumento in caso di analisi forense. 43 Consentire l’accesso a siti in black-list sulla base di autorizzazione specifica per specifici utenti/gruppi di utenti e autenticazione preliminare degli utenti con tali esigenze e dotati di NAP client con policy conforme. L’accesso ai siti puo’ essere differenziato per utente/gruppo utente. Quindi particolari categorie di utenze possono avere diritti di accesso differenti. Il protocollo NAP non e’ supportato nativamente, ma interfacciandosi a Active Directory e’ possibile riconoscere tutto ciò che viene autenticato attraverso Active Directory La navigazione sicura puo’ essere garantita dall’insermento di piattaforme Fortigate in grado di filtrare il traffico utilizzando i motori di url filtering, antivirus e intrusion prevention per evitare il diffondersi del malware all’interno della rete protetta. • Il motore di URL filternig garantisce il filtro delle url richieste attraverso protocolli HTTP e HTTPs in funzione delle politiche definite su 44 base categorizzazione dei siti web fornite e aggiornate grazie al servizio Fortiguard Web Filtering. • Il motore Antivirus garantisce la scansione del traffico e lo ripulisce da eventuali virus, spyware, e malware in modo da evitare il download di codice malevolo anche proveniente da siti considerati affidabili. • Il motore Intrusion Prevention garantisce la protezione da worm limitando i casi di traffico anomalo o identificando l’utilizzo anomalo di protocolli, bloccando gli attacchi. Le politiche di filtraggio imposte al traffico possono essere differenziate per utenti/gruppi garantendo la massima granularita’ e flessibilita’ di configurazione. Il sistema di filtraggio puo’ essere inserito inline prima o dopo il sistema proxy in modalita’ “transparent” oppure “NAT/route”; in alternativa il sistema puo’ analizzare il traffico rediretto da un trasparent proxy a livello 4. La scelta della modalita’ di inserimento sara’ determinata dall’analisi di dettaglio dell’architettura di rete. Logica del servizio Web Content Filtering Facendo riferimento allo schema della figura seguente si descrivono i vari passi seguiti da una richiesta URL originata da un utente protetto dal Fortigate. 45 1. L’utente richiede un URL. 2. Se la categoria per l’URL e’ gia’ in cache sul Fortigate viene applicata la policy per l’utente. Se il sito e’ permesso la pagina e’ richiesta (3a) e viene scaricata (4b). 3. Se la pagina non e’ presente nella cache del fortigate, la pagina e’ richiesta (3a) e contemporaneamente viene effettuata la richiesta di categorizzazione verso il Fortiguard Rating Server (3b). 4. Quando la risposta di categorizzazione e’ ricevuta dal Fortigate (4a), essa viene confrontata con la policy associata all’utente (2). La pagina web richiesta rimane sul fortigate fino a quando non sia stata ricevuta la richiesta di categorizzazione. 5. Se la policy permette il download della pagina richiesta, la risposta del sito (4b) e’ passata all’utente (5). Altrimenti l’utente riceve una pagina “customizzabile” di navigazione bloccata e viene scritto un evento nel content filtering log. 46 La richiesta dell’utente puo’ essere direttamente eseguita dal client verso il sito web oppure attraverso HTTP / HTTPs proxy. Il Fortiguard Rating Server puo’ essere remoto (FDN Network) oppure locale, utilizzando uno o piu’ Fortimanager dove risiede il database delle categorie di siti censiti Caratteristiche salienti degli apparati Fortigate • Il prodotto riunisce in un’unica soluzione “hardened” un firewall di tipo stateful, antivirus, IDS/IDP, antispam, filtraggio Web, VPN e organizzazione del traffico, fornendo caratteristiche, funzionalità e prestazioni senza confronti. 47 • Il sistema rileva e blocca dinamicamente e in tempo reale minacce quali virus, worm, cavalli di Troia, programmi spyware e altri contenuti nocivi. • Il prodotto rappresenta una difesa efficace da oltre 6000 minacce, con aggiornamenti automatici che assicurano una protezione tempestiva contro le più recenti minacce alla sicurezza. • Il sistema sfrutta una tecnologia che ha ricevuto importanti riconoscimenti che combina ispezioni stateful, confronto delle impronte virali, ispezioni approfondite dei pacchetti, riassemblaggio completo dei contenuti e analisi delle attività di rete mediante l’unico motore di correlazione delle minacce disponibile sul mercato, vale a dire • il Sistema dinamico di prevenzione delle minacce (Dynamic Threat Prevention System). • Con un costo totale di possesso leader nella sua categoria, il prodotto offre un’interfaccia grafica facile da utilizzare, tempi di installazione e di implementazione contenuti oltre ad un TCO (Total Cost of Ownership) ridotto. • Il sistema riduce le spese di amministrazione IT eliminando le minacce e le infezioni prima che penetrino nella vostra rete. • Riduce inoltre l’esposizione delle aziende alle azioni legali derivanti da un uso improprio o non autorizzato delle reti. • Il prodotto ha ottenuto ampi riconoscimenti da parte di terzi, molte certificazioni - presso i laboratori ICSA, FIPS 140-2, Common Criteria EAL4+ - e numerosi premi della stampa. 48 • È una soluzione completa per la sicurezza a livello aziendale, che si avvale di una gestione centralizzata, di strumenti di registrazione delle attività di rete, di reporting e dei servizi di sicurezza FortiGuard. • L’intuitiva interfaccia grafica con procedure guidate di installazione assicura costi totali di possesso minimi, i più bassi della categoria. Servizi Man mano che le minacce alla sicurezza evolvono e diventano più sofisticate, le tradizionali tecnologie per la sicurezza non sono più sufficienti. Per fornire una protezione contro attacchi combinati, virus, worm, cavalli di Troia, spyware, phishing e altro traffico nocivo, Fortinet ha sviluppato le piattaforme unificate FortiGate per la sicurezza e la gestione delle minacce, dotate della tecnologia più recente ed avanzata per identificare e bloccare dinamicamente le minacce della nuova generazione. 49 Grazie all’integrazione con i servizi automatici in abbonamento FortiGuard di Fortinet per la sicurezza, comprensivi di antivirus, rilevamento e prevenzione delle intrusioni, filtraggio Web e antispam, restare al passo con le minacce più recenti per la sicurezza è più facile che mai. I servizi FortiGuard per la sicurezza vengono creati, aggiornati e gestiti da un team globale di professionisti Fortinet della sicurezza attivi ventiquattro ore al giorno, sette giorni su sette, per garantire il rilevamento e il blocco delle minacce più recenti prima che riescano a danneggiare le risorse aziendali o infettare le apparecchiature informatiche degli utenti finali. Servizio Antivirus La disponibilità dei motori euristici e delle impronte per il rilevamento dei virus più recenti è di vitale importanza per bloccare le ultime generazioni di virus, worm, cavalli di Troia e altri programmi nocivi. L’antivirus FortiGuard di Fortinet fornisce una protezione automatica completa per i firewall antivirus FortiGate, e li mantiene costantemente aggiornati tramite le più recenti difese antivirus contro le minacce in rete. Dieci server (FDN Network) sparsi in tutto il mondo garantiscono un accesso rapido e affidabile agli aggiornamenti critici. Caratteristiche e vantaggi Aggiornamenti automatici Difese sempre aggiornate con i sistemi di rilevamento di virus e spyware e con i motori euristici più recenti. 50 Libreria dinamica delle minacce Protezione completa contro tutte le minacce contenute nella Wildlist e contro la vulnerabilità dei sistemi operativi e degli applicativi più diffusi. Configurazione semplice Messa in opera rapida senza ulteriori interventi di manutenzione, per garantire una vera e propria funzionalità “set and forget”. Duplice modalità di aggiornamento Aggiornamenti push e pull che assicurano i tempi di aggiornamento più brevi. Licenze per chassis Riduzione significativa dei costi iniziali e di quelli necessari anno per anno per la manutenzione. Servizio di rilevamento e prevenzione delle intrusioni Gli attacchi e le minacce in rete provengono da molte fonti, e la semplice protezione antivirus non è più adeguata per garantire la sicurezza delle 51 reti che svolgono funzioni di importanza critica. Il rilevamento e la prevenzione delle intrusioni (IDP, Intrusion Detection & Prevention) forniti dal servizio FortiGuard di Fortinet mette a disposizione dei clienti FortiGate le difese più recenti contro attività dannose e sospette altrimenti non visibili in rete. Gli specialisti Fortinet della sicurezza collaborano ventiquattro ore al giorno con organizzazioni di tutto il mondo per isolare le vulnerabilità degli applicativi e dei sistemi operativi più recenti, sviluppando tecnologie di rilevamento e prevenzione sempre aggiornate, per assicurare ai clienti un vantaggio sugli attaccanti. Caratteristiche e vantaggi Aggiornamenti automatici Difese per il rilevamento e la prevenzione delle intrusioni sempre aggiornate con le impronte degli attacchi e i motori di rilevamento più recenti. Libreria IDP completa Aggiornamento dinamico su base giornaliera delle oltre 1400 impronte e dei motori di ispezione delle anomalie più recenti, di ispezione approfondita dei pacchetti, dei contenuti e delle attività di rete. Politiche flessibili Controllo completo di tutti i metodi di rilevamento degli attacchi, per adeguarsi agli standard per la sicurezza più 52 stringenti. Duplice modalità di aggiornamento Supporto per i metodi push e pull, per garantire i tempi di aggiornamento più rapidi. Licenze per chassis Riduzione significativa dei costi iniziali e di quelli necessari anno per anno per la manutenzione. Servizio di filtraggio Web La navigazione su Internet è diventata un elemento chiave per lo svolgimento degli affari, ed è spesso indispensabile per gli enti pubblici e di istruzione; l’uso improprio di Internet causa tuttavia riduzioni della produttività, uso non corretto delle risorse aziendali, fastidi, problemi di responsabilità civile e altre questioni associate alle risorse umane. Il servizio di filtraggio Web FortiGuard di Fortinet permette di disciplinare tutte le attività su Web, nonché di acquisire una preziosa visibilità sulle stesse, consentendo ai clienti di soddisfare i nuovi regolamenti pubblici, criteri di conformità nel settore dell’istruzione, le politiche relative alle risorse umane e quelle in materia di uso di Internet a livello aziendale. Grazie a 76 categorie di contenuti Web, a oltre 30 milioni di domini valutati e a più di 2 miliardi di pagine Web, il servizio integrato di filtraggio Web fornito da FortiGuard è uno dei più accurati del settore. Caratteristiche e vantaggi Blocco e filtraggio granulari Consente di selezionare con 53 rapidità e semplicità le categorie Web da permettere, loggare o bloccare. Database di URL completo Elevata precisione, con un tasso di efficacia superiore a quello della concorrenza. Licenze per macchina Bassi costi di messa in opera e assenza di costi di esercizio per utente, con un notevole risparmio economico. Integrazione di FortiGate Non è richiesto alcun hardware o software aggiuntivo. Facilità di configurazione Installazione e configurazione in pochi minuti, con una minima attività di manutenzione richiesta. Impatto aziendale Attualmente tutto il traffico ad oggi generato dagli utenti Griffon di Telecom Italia viene convogliato verso il data center fisicamente dislocato a Pomezia. Presso tale centro avviene il filtraggio del traffico grazie ad otto server proxy; il software proxy utilizzato è Microsoft ISA server 2004, sebbene sia già stata messa a piano la migrazione a ISA 2006. Attualmente tale architettura filtra la connettivita` di tutti i dipendenti Telecom Italia esclusi quelli di TIM; e` in corso un progetto che ha come scopo far 54 entrare nel dominio Griffon anche le postazioni di lavoro di TIM, pertanto il GdL ha condiviso la necessità di concentrarsi su tale piattaforma di accesso. Ad oggi non sono segnalate particolari criticita` da un punto di vista delle performance dei proxy del data center; e` comunque attivo un progetto per la duplicazione del sito di Pomezia a Milano, con lo scopo di garantire un sito di supporto a quello operativo attuale. Gli otto proxy hanno indirizzo pubblico e sono in DMZ; gestiscono anche il traffico degli APN aziendali per l`accesso Internet dal mobile. Inoltre si stava anche ad un coinvolgimento di HR allo scopo di verificare se , possa essere piu` o meno rilevante il requisito di filtrare il traffico anche con l`obiettivo di evitare che siti web non consoni all`attivita` dell`azienda siano visitabili dalle postazioni Griffon Conclusioni Dopo aver analizzato le varie soluzioni proposte, i risultati sono i seguenti: Sophos offre un’integrazione con ISA server insufficiente (impossibilità di profilare i siti raggiungibili sulla base dell’utente), inoltre l’adozione di 70-100 appliance è un numero davvero elevato, che comporta costi di manutenzione e di consumo energetico davvero rilevanti. Topologia WebSense: 55 Trusted Computing Platform Introduzione Il progetto Trusted Computing Platform nasce dalla necessità di rendere sempre più sicure le informazioni all’interna di un’azienda, soprattutto aziende come Telecom Italia che gestiscono una quantità di dati sensibile elevata. Digital Workstyle Trend Rischi Mobile Computing Sottrazione informazioni per furto o smarrimento di laptop Digitalizzazione delle Condivisione/fruizione delle informazioni con personale non 56 informazioni autorizzato Pervasività della posta elettronica Intercettazione ed accesso alle informazioni e servizi da parte di utenti e sistemi non autorizzati Impatto aziendale I danni potenziali per l’azienda possono essere: Impatti Finanziari, legali, regolatori Il costo del “digital leakage” è stimato in miliardi di dollari per anno Aumento del numero e complessità dei regimi regolatori La non-compliance con i regimi regolatori e la perdita di dati può ingenerare sanzioni legali, economiche, penali Danni di immagine e credibilità Perdita di credibilità nei clienti Impatto finanziario sull’azienda La fuoriuscita non autorizzata di e-mail o meno danneggia l’immagine dell’azienda e dei suoi executives Perdita di vantaggio competitivo La diffusione di piani strategici, informazioni relative ad aquisizioni possono portare a perdita di revenues o capitalizzazione di mercato Perdita di controllo su proprietà intellettuale, risultati di ricerca 57 Attualmente Telecom Italia ha definito della politiche per la categorizzazione delle informazioni e del loro livello di confidenzialità (Pubblico, Uso interno, Confidenziale, Esclusivo), sensibilizzando opportunamente il personale. Ad oggi il rispetto di tali policy è lasciato agli utenti: non sono attivi servizi IT che ne forzino il rispetto La piattaforma Griffon per l’erogazione di servizi di base è però dotata dei principali elementi di base per la costruzione di tali servizi IT: Griffon PKI, capace di emettere certificati digitali standard Postazioni di lavoro gestite centralmente Posta elettronica che supporta S/MIME (il principale standard per la firma e cifra della posta elettronica) Directory Aziendale come unica infrastruttura per l’erogazione dei servizi di autenticazione Soluzioni proposte La soluzione identificata è caratterizzata dalla integrazione dei seguenti servizi: Cifratura dei dati utente sulle postazioni di lavoro portatili Il dato utente sulla PdL viene cifrato, senza impatti sulla usabilità dei servizi e sull’accessibilità ai documenti Viene innalzato il livello di protezione del dato laddove il portatile venga smarrito o rubato Cifratura della posta elettronica La posta elettronica può essere cifrata, e resa inaccessibile a chiunque se non al destinatario 58 Impedisce l’intercettazione sia in transito, sia tramite l’accesso diretto sui server di posta Isolamento dei servizi critici Consente l’accesso verso determinati servizi “sensibili” alle sole postazioni di lavoro “Trusted” L’accesso al servizio da parte di postazione “untrusted” non è possibile, anche se si possiedono crdenziali valide Information Rights Managment Rende possibile il controllo dell’uso che deve ssere fatto di documenti ed email, anche quando essi lascinano la PdL Controlla la possibilità di copia, stampa, modifica, inoltro, etc. I documenti restano cifrati anche quando lasciano la PdL “Trusted” Tecnologie identificate 59 La gran parte delle tecnologie identificate è già presente (ma non attiva) sulle postazioni di lavoro aziendali, ed utilizzabile senza costi di licensing aggiuntivi Caratteristiche di integrazione e facilità di adozione Ai fini di valutare la facilità di inserimento dei servizi in oggetto, eventuali costi di integrazione indiretti, e la facilità di fruizione si è analizzato quanto segue: Integrazione con il directory aziendale Griffon (Active Directory): la capacità di integrazione con i sistemi di autenticazione ed autorizzazione Griffon, la capacità del servizio di essere fruito in “Single-Sign-On” Attività necessarie per la gestione completa: la necessità eventuale di dover intervenire sugli attuali sistemi di gestione e managment dei servizi di base al fine di ottenere una gestione completa del servizio Integrazione della user experience: se il servizio è utilizzabile dai tradizionali strumenti di produttività (Windows, Office), se richiede di utilizzare client diversi da quelli abituali Curva di apprendimento: se il servizio è o meno trasparente all’utente, se richiede invece un uso esplicito, se richiede di adottare abitudini di lavoro non intuitive 60 Architettura di riferimento Cifratura dei dati utente Caratteristiche e funzionalità Consente di cifrare i dati sensibili sulle postazioni di lavoro (in particolare i portatili in quanto per essi è più elevato il rischio di smarrimento o furto del device stesso) Una volta attivata, la cifratura è trasparente sia per l’utente sia per le applicazioni sulla postazione di lavoro Il servizio è controllabile e gestibile centralmente Ad alcuni utenti/funzioni può essere fornita l’autorià di decifrare dati, al fine di garantirne il recupero nei casi di: 61 Guasti alla postazione di lavoro dell’utente Utenti che lasciano Telecom Italia, ma con dati cifrati importanti che rimangono sulla loro postazione Business value Riduce l’impatto in termini di danni finanziari e di immagine in casi di furto o smarrimento di computer portatili Valorizza tecnologie già in campo ed investimenti già effettuati in passato La soluzione, senza richiedere costi per hardware e software, può essere sperimentata rapidamente, sensibilizzando e coinvolgendo le strutture opportune Elementi architetturali 62 Cifratura posta elettronica Caratteristiche e funzionalità Cifratura della posta elettronica utilizzando lo standard S/MIME In quanto standard, è utilizzabile anche verso l’esterno di Telecom Italia Possono essere cifrati tutti o solo alcuni messaggi, ritenuti sensibili Solo l’effettivo destinatario è in grado di decifrarne il contenuto La soluzione utilizza certificati digitali standard, integrandoli con il directory aziendale per ragioni di gestibilità e di fruibilità 63 La stessa tecnologia supporta potenzialmente anche il ocncetto di firma digitale sulle e-mail Business Value Riduce il rischio di intercettazione ed accesso da parte di utenti non autorizzati ai contenuti delle mail Valorizza tecnologie già in campo ed investimenti già effettuati in passato La soluzione, senza richiedere costi per hardware e software, può essere sperimentata rapidamente, sensibilizzando e coinvolgendo le strutture opportune Elementi architetturali 64 Information Rights Managment Caratteristiche e funzionalità Consente la definizione ed il rispetto delle politiche d’uso dei documenti e delle email Senza richiedere un client aggiuntivo, gli autori dei documenti possono concedere o rimuovere ai destinatari i diritti di: visualizzazione, modifica, inoltro, stampa, etc. 65 Tali politiche d’uso sono impresse sul documento anche quando il documento abbandona la postazione di lavoro del suo autore Si applica ai documenti Word, presentazioni PowerPoint, fogli di Excel, email di Outlook Pertanto ben integrato dal punto di vista della user experience in Office 2003/2007 Business Value Impedisce un uso improprio (volontario o involontario) delle informazioni sensibili Riduce il rischio di danni di immagine e finanziari dovuti alla condivisione non autorizzata di informazioni aziendali (cfr. Forward verso l’esterno di una email) Rappresenta un complemento integrato e naturale dell’infrastruttura Griffon Complementare agli strumenti aziendali di valutazione della sensibilità dei documenti Elementi architetturali 66 Isolamento dei servizi critici Caratteristiche e funzionalità consente l’accesso ad un insieme di servizi arbitrari alle sole postazioni di lavoro “trusted” Inibisce l’accesso in rete da parte di personali non autorizzato, sebbene in possesso dell’accesso fisico alla rete stessa (cfr. consulenti esterni) Utilizza il protocollo standard IPSEC-AH, ed è pertanto trasparente ai servizi che devono essere fruiti dalle sole postazioni “trusted” tramite tale protocollo 67 Nativamente supportato dalle postazioni di lavoro “Griffon” e dall’infrastruttura dei servizi di base Non richiede interventi sugli apparati di rete Business Value Riduce il rischio di accesso non autorizzato verso servizi sensibili esposti sulla rete di gruppo Stimola l’adozione (ed il mantenimento) di postazioni di lavoro gestite, con ovvi benefici in termini di costo di esercizio Valorizza tecnologie già in campo ed investimenti già effettuati in passato Consente effettivamente di identificare e distinguere le postazioni “trusted” dalle altre Può essere applicato su poche postazioni o su tutte le postazioni aziendali senza costi hardware e software aggiuntivi 68 Elementi architetturali Mitigazione dei rischi risultante Rischio Mitigazione Mezzo per la mitigazione Sottrazione L’accesso ai dati utente viene reso molto Cifratura dei informazioni per furto o più complesso, anche se si è in possesso dati utente smarrimento di laptop di un portatile smarrito o sottratto Condivisione/fruizione delle informazioni con L’autore delle informazioni/documento può imporre delle policy di utilizzo che 69 Information Rights personale non autorizzato viaggiano con il documento stesso, impedendone usi non conformi Managment Intercettazione ed accesso alle informazioni e servizi da parte di utenti e sistemi non autorizzati I messaggi di posta elettronica sensibili vengono cifrati, e ne viene impedito l’accesso anche agli amministratori del servizio L’accesso ai servizi critici viene concesso solo alle postazioni di lavoro “trusted” Cifratura posta elettronica Isolamento servizi critici Rischi di implementazione Oltre agli aspetti meramente tecnologici, l’introduzione della piattaforma in oggetto presenta dei potenziali rischi che vengono di seguito elencati: L’estensione delle funzionalità di “isolamento servizi critici” a servizi acceduti su larga scala (cfr. posta, collaboration, instant messagging) necessita una forte decisione e sponsorship centrale Gli utilizzatori di una PdL non “gestita” non accederanno al servizio L’attivazione delle funzionalità di cifratura della posta elettronica e di Information Rights Managment potrebbero rendere i messaggi cifrati non accessibili da client “downlevel” Blackberry Windows Mobile (fino alla versione Windows Mobile 2005. La eversione Windows Mobile 6, rilasciata a Febbraio 2007, è invece compatibile) Web Mail 70 Potenziali evoluzioni future Alla soluzione descritta (Fase 1), potrebbe eseguire una potenziale fase successiva (“Fase 2”) che ne estenda ulteriormente i servizi offrendo un grado di sicurezza ancora maggiore Rischio di mitigare Fase 1 Fase 2 Prerequisito Fase 2 Sottrazione di informazioni per furto o smarrimento laptop Encrypted File System Cifratura Windows Vista1 intero hard disk 1 Hardware compatibile Condivisione/frui zione delle informazioni con personale non autorizzato Information Rights Management Uso interno a Telecom Italia Intercettazione ed accesso alle informazioni e servizi da parte di utenti e sistemi non autorizzati Isolamento servizi critici Concetto di postazione di lavoro “trusted” Information Rights Management Federazione con altre aziene del gruppo Concetto di postazione “healty” (ben configurata, installata, manutenuta) 1 Windows Server 2008 Windows Server 2008 Network Access Protection La cifratura dell’intero hard disk richiede il sistema operativo Windows Vista sulle postazioni di lavoro 71 Conclusioni La soluzione identificata offre i seguenti servizi: Cifratura dei dati utente Cifratura delle mail Isolamento dei servizi critici alle sole PdL “trusted” Controllo sull’uso che viene fatto delle informazioni aziendali (Information Rights Management) a prescindere da dove esse vengano collocate Tale soluzione ha le seguenti caratteristiche: È relativamente semplice e presenta costi contenuti, valorizzando di fatto componenti già in campo Può mitigare rapidamente alcuni dei rischi che Telecom Italia corre È integrata nella realtà della rete di gruppo Attualmente, assieme al settore Security Innovation, si è deciso di cominciare la fase test sulla soluzione per l’accesso alle postazioni di lavoro Griffon tramite token e l’utilizzo del servizio Posta Sicura basato su S-MIME in ambiente Microsoft Outlook. I settore interessati a questo progetto sono diversi, a partire dall’ambiente di test (Security Innovation) a quello di rilascio dei certificati (Certification Autority). 72 Proposta di processo per il Trial Controllo interfacce rete PC portatili Introduzione Il progetto sulle interfacce di rete consiste nella creazione di un software in grado di interagire con le DLL del sistema operativo Windows per il controllo delle interfacce di rete dei PC portatili. In particolar modo il 73 software è stato sviluppato per il controllo automatizzato dell’abilitazione delle interfacce WiFi sui PC portatili in funzione dello stato di attività dell’interfaccia Ethernet . Piattaforme d’utilizzo Il software è stato realizzato con l’obiettivo di essere integrato all’interno delle postazione di test per il nuovo sistema operativo Windows Vista. Non è stato possibile integrare questo software all’interno delle postazione con sistema operativo Windows XP, in quanto il comando “NETSH” per l’abilitazione e la disabilitazione delle interfacce, non poteva essere eseguito a causa di un errore alquanto misterioso. Come funziona Il file eseguibile viene inserito all’interno dei processi che vengono eseguiti in automatico successivamente all’autenticazione sulla postazione di lavoro. Allo start-up il software disabilita l’interfaccia Wireless e verifica lo stato dell’interfaccia Ethernet. Se lo stato dell’interfaccia Ethernet risulta “DOWN”, attraverso l’utilizzo dell’utility Microsoft “NETSH”, eseguita con privilegi Administrator, viene abilitata l’interfaccia Wireless. Contrariamente, se lo stato dell’interfaccia Ethernet risulta “UP”, viene disabilitata l’interfaccia Wireless. 74 Requisiti Come descritto precedentemente il software, per funzionare correttamente necessita di alcuni privilegi. Attualmente ci sono due versioni di questo software. La prima versione prevede solamente la presenza di un file eseguibile. Il problema principale presente su Windows Vista è che: questo software verrà inserito all’interno delle postazione di lavoro griffon, ed ogni utente ha i privilegi “User” all’interno della postazione stessa. Anche se l’”Administrator” del pc imposta che il file venga eseguito in modalità “Administrator”, quando il file eseguibile verrà eseguito viene richiesta la password di “Administrator” che normalmente gli utenti della postazione non possiedono. La seconda versione del software non richiede che il file venga eseguito con privilegi di “Administrator” ma, in aggiunta al file eseguibile viene inserito uno script VBS che non fa altro che effettuare il RUN AS del file eseguibile. In questo caso è necessario inserire una sola volta la password di “Administrator” all’interno del codice del file di progettazzione del programma. Una volta inserita la password verrà creato un file “.exe” che farà in modo che la password non sia facilmente reperibile dagli utenti. Conclusioni Attualmente il progetto è un attimo in fase di stallo in quanto il documento e il relativo lascia passare per il test sulle postazioni di lavoro è al vaglio del responsabile di Security Solution di Telecom Italia 75 Microsoft ForeFront Introduzione Microsoft Forefront Client Security offre una protezione unificata contro il malware per i sistemi operativi dei desktop, portatili e server aziendali, grazie a una soluzione molto semplice da gestire e controllare. Forefront Client Security assicura la protezione da minacce emergenti come spyware e rootkit, oltre che da minacce tradizionali come virus, worm e trojan horse. Semplificando l'amministrazione grazie a funzionalità di gestione centralizzate e offrendo la massima visibilità su minacce e vulnerabilità, Forefront Client Security permette di proteggere le aziende in modo efficiente e sicuro. Forefront Client Security si integra con l'infrastruttura software esistente, come Microsoft Active Directory, e completa altre tecnologie di protezione Microsoft per un livello superiore di sicurezza e controllo. La soluzione Forefront Client Security è composta da due elementi. Il primo è l'agente di protezione (installato nei sistemi operativi dei computer desktop, portatili e server) che fornisce una protezione in tempo reale e scansioni pianificate per minacce come spyware, virus e rootkit. Il secondo è il server di gestione centrale, che permette agli amministratori di gestire e aggiornare con facilità agenti preconfigurati o personalizzati anti-malware e di generare report e avvisi sullo stato di protezione dell'ambiente. 76 Piattaforme ForeFront Come funziona Forefront Client Security assicura un'amministrazione semplificata e un livello superiore di visibilità e controllo tramite due componenti basati su server: il server di gestione e il server di reporting e per gli avvisi. Il server di gestione esegue una console centrale, da cui l'amministratore può selezionare impostazioni preconfigurate o modificare le impostazioni dei client per adattare la soluzione allo specifico ambiente. Le impostazioni includono pianificazioni delle scansioni, attivazione e disattivazione della protezione in tempo reale, azioni predefinite per specifiche minacce e livelli di avvisi e report. Per semplificare la distribuzione delle impostazioni ai computer client, Microsoft Forefront Client Security è ottimizzato per l'utilizzo di Criteri di gruppo di Active Directory. I clienti possono anche scegliere di utilizzare qualsiasi sistema esistente di distribuzione del software. 77 Gli aggiornamenti delle definizioni del malware sono distribuiti tramite Microsoft Update. Microsoft Forefront Client Security semplifica la distribuzione ai computer client degli aggiornamenti delle definizioni grazie all'ottimizzazione per Microsoft Windows Server Update Services (WSUS). WSUS consente agli amministratori di approvare automaticamente le definizioni più recenti o di testare e approvare ogni aggiornamento. I clienti possono anche utilizzare nel proprio ambiente qualsiasi sistema esistente di distribuzione del software. Gli utenti remoti possono essere configurati per il failover su Microsoft Update, in modo da ricevere gli aggiornamenti delle definizioni. Per il deployment iniziale degli agenti di protezione nei computer, i clienti possono utilizzare un sistema esistente di distribuzione del software o scaricare gli agenti di protezione direttamente da Microsoft Update e distribuirli a singoli computer tramite Windows Server Update Services (WSUS). Gli eventi che si verificano nei sistemi client sono trasmessi al server di reporting e per gli avvisi. Questo server genera avvisi per gli eventi di maggiore rilevanza, come l'individuazione di malware o l'impossibilità di rimuovere una minaccia, oltre a creare report accessibili tramite la console. Il sistema di registrazione degli eventi e di invio di avvisi di Forefront Client Security è basato sulle avanzate tecnologie di Microsoft Operation Manager (MOM) 2005. I componenti MOM necessari sono integrati in Forefront Client Security per semplificare il deployment e l'utilizzo. Forefront Client Security utilizza database e sistemi di reporting di Microsoft SQL Server, che è incluso nel pacchetto Forefront Client Security 78 (i clienti hanno anche la possibilità di acquistare Forefront Client Security senza SQL Server se dispongono già di un'installazione esistente). Vantaggi ForeFront Client Security: Protezione unificata. Forefront Client Security offre avanzate funzionalità contro il malware, assicurando una superiore protezione dei sistemi aziendali da un'ampia varietà di minacce. Grazie a un 79 singolo agente, Forefront Client Security assicura il rilevamento e la rimozione in tempo reale di spyware, rootkit e altre minacce emergenti, oltre che di attacchi tradizionali come virus e worm. Amministrazione semplificata. Forefront Client Security garantisce un'amministrazione semplificata tramite funzionalità di gestione centralizzate, per la massima efficienza nella protezione delle organizzazioni. Con una singola console per semplificare l'amministrazione dei client, Forefront Client Security permette di risparmiare tempo e ridurre le complessità. Utilizzando interfacce familiari e simili a quelle di altri strumenti Microsoft, la console supporta l'accesso sia locale che remoto a tutte le funzioni amministrative, incluse quelle di configurazione, aggiornamento delle definizioni, reporting e invio di avvisi. Un livello superiore di visibilità e controllo. Forefront Client Security produce dettagliati report sulla protezione, per garantire un livello senza confronti di visibilità e controllo sulle minacce del malware e altre vulnerabilità. Una singola istantanea dello stato di protezione attuale consente di capire immediatamente dove è necessario intervenire. Funzionalità ForeFront Client Security Motore antivirus e antispyware integrato, che fornisce una protezione in tempo reale e scansioni pianificate per spyware, virus e altre minacce. 80 Sistema di gestione centrale, per generare report e avvisi sullo stato di protezione dell'ambiente. Scansioni di valutazione dello stato, per determinare quali computer gestiti necessitano di patch o non sono configurati in modo protetto. Conclusioni Attualmente Microsoft ForeFront Client Security è presente all’interno del sistema operativo Windows Vista Griffon ed è in fase di test parallelamente a Windows Vista. Conclusioni Dopo cinque mesi posso affermare con sicurezza che l’esperienza dello stage è stata davvero utile alla mia formazione tecnica è personale. Ho capito cosa significa lavorare in una grossa azienda e affrontare problematiche di diverso genere. Lavorare al fianco di persone tecnicamente e personalmente molto preparate mi ha permesso di affrontare al meglio alcuni problemi incontrati durante questi mesi. Posso affermare con certezza che all’interno di una grossa azienda come Telecom Italia non mancano gli stimoli; lavorare al fianco di persone di Microsoft, Hp, etc... è un stimolo molto forte per svolgere al meglio il lavoro. Sono convinto che quest’esperienza sia stata fondamentale per un futura esperienza professionale. Ringrazio tutte le persone che mi hanno aiutato durante questi mesi, sia il personale Telecom Italia che i consulenti. 81