Architetture di Reti Sicure: Network Access Control Architetture di Reti Sicure: Network Access Control Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – [email protected]Acri, 21 Settembre 2006 Ing. Maurizio Maggiora Project Engineer - Networking Ing. Giancarlo La Scola Sales Area Engineer
reti sicure - soluzioni tecnologicamente avanzate per enti, comuni e pubbliche amministrazioni
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Architetture di Reti Sicure: Network Access ControlArchitetture di Reti Sicure: Network Access ControlArchitetture di Reti Sicure: Network Access ControlArchitetture di Reti Sicure: Network Access Control
2005 Symantec Corporation, All Rights Reserved 4Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – [email protected]
Xronos S.r.l.Xronos S.r.l. è una Società di Servizi nel settore dell’Information Technology che progetta e implementa soluzioni tecnologiche avanzate finalizzate al miglioramento del Business Aziendale e della Qualità della Vita per Piccole e medie imprese private, Enti Pubblici (PA, Local Government, Poli di formazione).
Profilo Aziendale
La nostra System IntegrationSystem Integration è fondata essenzialmente sulle partnership tematiche:
2005 Symantec Corporation, All Rights Reserved 6Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – [email protected]
Sede Legale/Operativa:Sede Legale/Operativa: via Osvaldo Marzano, 34via Osvaldo Marzano, 3470125 Bari (BA)70125 Bari (BA)tel./fax (+39) 080 5026835tel./fax (+39) 080 5026835
Xronos S.r.l.Xronos S.r.l. ha conseguito la Certificazione ISO 9001:2000Certificazione ISO 9001:2000, per le categorie:
“Progettazione, Installazione, Configurazione ed Assistenza su reti e sistemi informatici”; “Commercializzazione ed assistenza prodotti software e hardware”
2005 Symantec Corporation, All Rights Reserved 11Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – [email protected]
La rete aziendale e gli endpoint sono continuamente esposti alle minacce (threath) che l’uso intensivo della Rete ha comportato come effetto collaterale.
L’80% delle minacce all’infrastruttura proviene dall’interno! L’80% delle minacce all’infrastruttura proviene dall’interno!
2005 Symantec Corporation, All Rights Reserved 15Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – [email protected]
• Le Patch devono essere mantenute aggiornate per chiudere le falle di sicurezza!
– Gli utenti che annullano gli aggiornamenti… Gli utenti che annullano gli aggiornamenti…
– Le patch che impiegano del tempo per il test e il roll-out…Le patch che impiegano del tempo per il test e il roll-out…
• Le configurazioni devono essere rispettate per prevenire eventuali back-door!
– Gli utenti che hanno spesso troppi privilegi e possono effettuare modifiche…Gli utenti che hanno spesso troppi privilegi e possono effettuare modifiche…
– Il rispetto delle Il rispetto delle policypolicy nelle Aziende molto grandi è di difficile impostazione e gestione… nelle Aziende molto grandi è di difficile impostazione e gestione…
• Le firme (signature) devono essere mantenute aggiornate per garantire il riconoscimento e la rimozione delle varie minacce (threat)!
– Gli utenti che disattivano gli aggiornamenti delle firme per svariati motivi…Gli utenti che disattivano gli aggiornamenti delle firme per svariati motivi…
– Gli utenti che annullano gli aggiornamenti in corso…Gli utenti che annullano gli aggiornamenti in corso…
2005 Symantec Corporation, All Rights Reserved 24Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – [email protected]
Network Access Control
• Propagazione del malware
• Perdita di informazioni sensibili
• Rischio di sanzioni legali
Problema
“Endpoint compliance” e “NetworkAccess Control” per sistemi gestiti
• Individua gli endpoint e la loro compliance con le security policy
• Consente alla rete di individuare e controllare gli accessi dei dispositivi
• Rimedia in caso di endpoint non-compliant
• Consente bassi costi di gestione
Soluzione
2005 Symantec Corporation, All Rights Reserved 25Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – [email protected]
Symantec Enforcement Agent
DHCP Server
Microsoft SQL Database
Symantec Policy Manager
LAN Enforcer
DHCP Enforcer
Gateway Enforcer
La Soluzione Symantec/Allied Telesis
IEEE 802.1x
2005 Symantec Corporation, All Rights Reserved 26Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – [email protected]
Agenda
• La Xronos S.r.l.Xronos S.r.l. e l’integrazione di sistemi
• Lo scenario: la rete aziendale e la protezione degli endpoint
• La soluzione: Network Access Control
• I metodi di Enforcement
2005 Symantec Corporation, All Rights Reserved 27Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – [email protected]
Gateway EnforcerGateway Enforcer
Il Gateway Enforcer fornisce il controllo degli accessi alle risorse critiche del
sistema (Data Center, Server Applicativi, DB Server) che avvengono mediante
collegamenti VPN, IPsec, SSL, WAN
NAC Enforcement: LAN, DHCP, Gateway Enforcer
DHCP EnforcerDHCP Enforcer
Il DHCP Enforcer garantisce il controllo dell’accesso alla rete per quegli endpoint
che utilizzano l'assegnazione dinamica dell'indirizzo IP
LAN (802.1x) EnforcerLAN (802.1x) Enforcer
Il LAN enforcer utilizza lo standard IEEE 802.1x (Admission Control Protocol) per
autenticare i sistemi rispetto ad un determinato gruppo di switch, wired e wireless
2005 Symantec Corporation, All Rights Reserved 28Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – [email protected]
LAN (802.1x) Enforcement: come funziona
Il LAN Enforcer controlla il login
dell’utente
Ethernet802.1x802.1x
Utente
RADIUS serverSymantec LAN Enforcer
Symantec Policy ManagerLo Switchdialoga con il LAN Enforcer
RemediationServer
Rete di Quarantena
Il LAN Enforcer connette l’utente alla Rete Aziendaleo alla Rete di Quarantena per la remediation
2005 Symantec Corporation, All Rights Reserved 29Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – [email protected]
L’802.1x è uno standard IEEE basato sul controllo delle porte di accesso alla rete LAN/MAN.
Questo standard provvede ad autenticare ed autorizzare i dispositivi collegati alle porte della rete stabilendo un collegamento punto-punto e prevenendo collegamenti non autorizzati alla rete locale. Viene utilizzato dalle reti locali wireless per gestire le connessioni agli access point e si basa sul protocollo EAP, Extensible Authentication Protocol (RFC 2284).
L'802.1x è supportato dalla maggioranza dei nuovi switch Allied TelesisAllied Telesis e può effettuare l'autenticazione in congiunzione con un programma installato sull’Endpoint, eliminando la possibilità di un accesso non autorizzato tramite collegamento al livello fisico della rete.
Normalmente, l'autenticazione è fatta da una terza parte, come un server RADIUS. Questo fornisce l'autenticazione del client o l'autenticazione mutua.
802.1x - Port Based Network Access Control
2005 Symantec Corporation, All Rights Reserved 30Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – [email protected]
• Il sistema appena collegato ottiene un lease dal server DHCP per un tempo
limitato e in uno spazio di indirizzi di quarantena
• Il DHCP Enforcer verifica la presenza del Symantec Enforcement Agent
• Se l’Agent è presente e il sistema è aggiornato, il DHCP Enforcer effettua un nuovo
lease nello spazio di indirizzi opportuno
• Se l’Agent è presente, ma il sistema non è aggiornato, parte la procedura di
remediation
• Se l’Agent non è presente, l’Endpoint rimane in quarantena
DHCP Enforcement: come funziona
2005 Symantec Corporation, All Rights Reserved 31Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – [email protected]
Utente mobile
Wireless
Utente
DHCP Server
DHCP Enforcer
Switch
DHCP Request
Unknown system- send route filters or Quarantine Address
Probe for agent and policy status
Trigger release/renew on pass
10.1.1.100Route 10.2.2.2
DHCP Request
Compliant- send regular address10.1.1.100
DHCP Enforcement: EndPoint Compliant
2005 Symantec Corporation, All Rights Reserved 32Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – [email protected]
DHCP Enforcement: EndPoint Non-Compliant
Wireless
Utente
DHCP Server
DHCP Enforcer
Switch
RemediationServer
DHCP Request
Unknown system- send route filters
Probe for agent and policy status
Trigger remediation on failure
10.1.1.100Route 10.2.2.2
Perform Remediation action
Trigger Release/Renew upon completion
DHCP Request
Compliant—Remove route filters10.1.1.100
Utente mobile
2005 Symantec Corporation, All Rights Reserved 33Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – [email protected]
Gateway Enforcement: come funziona
Gateway Enforcer Utente
Server Farm(rete aziandale protetta)
Policy Manager
I sistemi privi di agent o con le policy non aggiornate non hanno accesso alle risorse
protette dal Gateway Enforcer (Data Center, DB-Server, Application Server)
2005 Symantec Corporation, All Rights Reserved 34Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – [email protected]
NAC Enforcement: LAN, DHCP, Gateway Enforcer
2005 Symantec Corporation, All Rights Reserved 35Xronos S.r.l. - Via Osvaldo Marzano, 34 - 70125 Bari (BA) - tel./fax (+39) 080 5026835 - www.xronos.it – [email protected]