Accesso remoto ai servizi della rete aziendale: tecnologie di protezione Alessandro Appiani...
-
Upload
teofila-zamboni -
Category
Documents
-
view
215 -
download
1
Transcript of Accesso remoto ai servizi della rete aziendale: tecnologie di protezione Alessandro Appiani...
Accesso remoto ai servizi della Accesso remoto ai servizi della rete aziendale: tecnologie di rete aziendale: tecnologie di
protezioneprotezione
Alessandro AppianiAlessandro AppianiDirettore tecnico Pulsar ITDirettore tecnico Pulsar IT
AgendaAgenda
L’accesso remoto ai servizi della rete L’accesso remoto ai servizi della rete aziendaleaziendale Componenti tecnologici per la sicurezzaComponenti tecnologici per la sicurezza
perimetraleperimetrale nelle comunicazioni di retenelle comunicazioni di rete
Tecnologie di baseTecnologie di base Remote Access all’intera rete (VPN)Remote Access all’intera rete (VPN) Accesso sicuro alla posta elettronica ed ai Accesso sicuro alla posta elettronica ed ai
servizi Exchangeservizi Exchange
Componenti tecnologici per la Componenti tecnologici per la sicurezzasicurezza
PerimetralePerimetrale FirewallingFirewalling E-mail protectionE-mail protection
ComunicazioniComunicazioni EncryptionEncryption Secure Socket LayerSecure Socket Layer Virtual Private NetworkVirtual Private Network Remote AccessRemote Access
Sicurezza perimetraleSicurezza perimetrale
FirewallFirewall““Uno o più componenti/dispositivi Uno o più componenti/dispositivi
che controllano l’accesso da una che controllano l’accesso da una rete protetta verso/da Internet e/o rete protetta verso/da Internet e/o
altre reti” altre reti” **
**Zwicky, Cooper, Chapman – Building Internet Firewalls – O’Reilly 1995/2000Zwicky, Cooper, Chapman – Building Internet Firewalls – O’Reilly 1995/2000
Filters and Network AccessFilters and Network Access
Streaming Media
SMTP
DNS Intrusion Firewall
Access Policy
Allow HTTP
All Destinations
Internal/Protected NetworkInternal/Protected NetworkExternal/Unsecured NetworkExternal/Unsecured Network
Rules A
pplied
Streaming Media
SMTP
Firewall in Small Business Firewall in Small Business Server e in reti semplici (no dmz)Server e in reti semplici (no dmz)A Controlled Point of Access for All Traffic that A Controlled Point of Access for All Traffic that EntersEnters the Internal Network the Internal Network A Controlled Point of Access for All Traffic that A Controlled Point of Access for All Traffic that LeavesLeaves the Internal Network the Internal Network
Inside/OutsideInside/Outside
Windows Server 2003Windows Server 2003 ISA ServerISA Server
Windows Firewall vs ISA ServerWindows Firewall vs ISA Server Windows Server Firewall (SBS standard)Windows Server Firewall (SBS standard)
basic firewallbasic firewall session level firewall (packet filtering + stateful session level firewall (packet filtering + stateful
inspection)inspection) publishing esclusivamente di servizi ospitati su SBSpublishing esclusivamente di servizi ospitati su SBS nessuna funzionalità Proxy e/o Cachenessuna funzionalità Proxy e/o Cache nessun controllo in uscitanessun controllo in uscita
ISA Server (SBS premium)ISA Server (SBS premium) advanced enterprise firewalladvanced enterprise firewall application level firewall (packet filtering + stateful application level firewall (packet filtering + stateful
inspection + application proxies)inspection + application proxies) publishing anche di servizi ospitati da altri server publishing anche di servizi ospitati da altri server
(anche non Microsoft, es: AS/400, Linux, ...)(anche non Microsoft, es: AS/400, Linux, ...) ottimizzazione banda e architettura proxyottimizzazione banda e architettura proxy pieno controllo (user-level) in uscitapieno controllo (user-level) in uscita
Windows Server FirewallWindows Server Firewall SBS ICW Firewall settingsSBS ICW Firewall settings
Sicurezza nelle Sicurezza nelle comunicazionicomunicazioni
Quali problemi abbiamo con una Quali problemi abbiamo con una comunicazione di rete che usa comunicazione di rete che usa connettività pubblica come Internet?connettività pubblica come Internet?
NetworkNetworkMonitoringMonitoringNetworkNetwork
MonitoringMonitoring
DataDataModificationModification
DataDataModificationModification
IdentityIdentitySpoofingSpoofingIdentityIdentity
SpoofingSpoofingMan-in-Man-in-
the-Middlethe-MiddleMan-in-Man-in-
the-Middlethe-Middle
Password-Password-basedbased
Password-Password-basedbased
Encrypts Data at the Encrypts Data at the ApplicationApplication Layer Layer SSLSSL TLSTLS
Encrypts Data at the Encrypts Data at the NetworkNetwork Layer (VPN) Layer (VPN) Tunneling ProtocolTunneling Protocol IPSecIPSec
La soluzione: la cifratura dei dati La soluzione: la cifratura dei dati trasmessitrasmessi
Encrypted IP Packet
CrittografiaCrittografia
Encryption Keys & AlgorithmsEncryption Keys & Algorithms Symmetric EncryptionSymmetric Encryption Public Key Encryption (Asymmetric)Public Key Encryption (Asymmetric)
Encryption Encryption AlgorithmAlgorithm
Encryption KeysEncryption Keys
Key typeKey type DescriptionDescription
SymmetricSymmetric
La stessa chiave è usata per cifrare e decifrare i La stessa chiave è usata per cifrare e decifrare i datidati
Protegge i dati dall’intercettazioneProtegge i dati dall’intercettazione
AsymmetricAsymmetric
Consiste in una chiave pubblica e una privataConsiste in una chiave pubblica e una privata
La chiave privata è protetta e confidenziale, la La chiave privata è protetta e confidenziale, la chiave pubblica è liberamente distribuibilechiave pubblica è liberamente distribuibile
Se viene usata la chiave privata per cifrare dei Se viene usata la chiave privata per cifrare dei dati, gli stessi possono essere decifrati dati, gli stessi possono essere decifrati esclusivamente con la corrispondente chiave esclusivamente con la corrispondente chiave pubblica, e vice versapubblica, e vice versa
Cosa è un Certificato Digitale?Cosa è un Certificato Digitale?
Un Certificato Digitale rappresenta le credenziali elettroniche per autenticare/riconoscere un utente (o altre entità quali i computer) in una rete Internet/Intranet
Un Certificato Digitale rappresenta le credenziali elettroniche per autenticare/riconoscere un utente (o altre entità quali i computer) in una rete Internet/Intranet
Certificati:Certificati:
Associa in modo sicuro la public key all’entità che possiede la corrispondente private key
Sono firmati digitalmente da una certificate authority emittente (CA)
Consente di verificare l’identità di un utente, computer, o servizio
Contiene dettagli descrittivi del soggetto e dell’ente emittente (CA)
Associa in modo sicuro la public key all’entità che possiede la corrispondente private key
Sono firmati digitalmente da una certificate authority emittente (CA)
Consente di verificare l’identità di un utente, computer, o servizio
Contiene dettagli descrittivi del soggetto e dell’ente emittente (CA)
What Is a PKI?What Is a PKI?
RequirementRequirement PKI solutionsPKI solutions
ConfidentialityConfidentiality Data encryptionData encryption
IntegrityIntegrity Digital signaturesDigital signatures
AuthenticityAuthenticity Hash algorithms, message digests, Hash algorithms, message digests, digital signaturesdigital signatures
NonrepudiationNonrepudiation Digital signatures, audit logsDigital signatures, audit logs
AvailabilityAvailability RedundancyRedundancy
The combination of software, encryption technologies, processes, and services that enables an organization to secure its communications and business transactions
The combination of software, encryption technologies, processes, and services that enables an organization to secure its communications and business transactions
Components of a PKIComponents of a PKI
Certification Authority
Certification Authority
Certificate and CRLDistribution PointsCertificate and CRLDistribution Points
Certificate Template
Certificate Template
Digital Certificate
Digital Certificate
Certificate Revocation List
Certificate Revocation List
Public Key-EnabledApplications and Services
Public Key-EnabledApplications and Services
Certificate and CAManagement ToolsCertificate and CAManagement Tools
Windows Server SystemsWindows Server Systems
Windows Server 2003 include tutte le Windows Server 2003 include tutte le tecnologie ed i componenti per tecnologie ed i componenti per implementare Encryption, PKI, SSL, ...implementare Encryption, PKI, SSL, ...
Inoltre in SBS2003 l’infrastruttura è già Inoltre in SBS2003 l’infrastruttura è già configurata nel modo più semplice ed configurata nel modo più semplice ed efficace possibileefficace possibile
tecnologie di base in Windows Server 2003 ed tecnologie di base in Windows Server 2003 ed in SBS 2003in SBS 2003
ICW overview (Certificato per SSL)ICW overview (Certificato per SSL)
Remote Access all’intera rete Remote Access all’intera rete (VPN)(VPN)
una applicazione delle una applicazione delle tecnologie di encryptiontecnologie di encryption
Virtual Private Networks (VPN)Virtual Private Networks (VPN)VPN BasicsVPN Basics
Una tecnologia di encryptionUna tecnologia di encryption Un metodo/protocollo di TunnelingUn metodo/protocollo di Tunneling Una modalità di connessione e trasportoUna modalità di connessione e trasporto
(Client-to-LAN, LAN-to-LAN)(Client-to-LAN, LAN-to-LAN) Un insieme di definizioni perUn insieme di definizioni per
IP AddressingIP Addressing AuthenticationAuthentication AuthorizationAuthorization AuditingAuditing
VPN Client-to-LAN:VPN Client-to-LAN:Connecting Remote Users to a Corporate Connecting Remote Users to a Corporate NetworkNetwork
VPN Tunnel
VPN ServerComputer
Remote UserRemote User
InternetInternet
Corporate NetworkCorporate Network
VPN LAN-to-LAN:VPN LAN-to-LAN:Connecting Remote Networks to a Local Connecting Remote Networks to a Local NetworkNetwork
VPN Tunnel
VPN ServerComputer
Remote NetworkRemote Network
InternetInternet
Local NetworkLocal Network
VPN ServerComputer
VPN a confrontoVPN a confronto LAN-to-LANLAN-to-LAN
prevede l’utilizzo di apparati/server che gestiscono la prevede l’utilizzo di apparati/server che gestiscono la comunicazione vpn e fanno da gateway tra le due reticomunicazione vpn e fanno da gateway tra le due reti
encryption applicata solo nelle comunicazioni tra i encryption applicata solo nelle comunicazioni tra i gateway (tunnel-endpoint)gateway (tunnel-endpoint)
encryption simmetrica di tipo “Shared-Key”encryption simmetrica di tipo “Shared-Key” IP Addressing IP Addressing progettare progettare
Client-to-LANClient-to-LAN è una tipica connessione uno (gateway/Access Point) a è una tipica connessione uno (gateway/Access Point) a
molti (Client)molti (Client) encryption applicata nelle comunicazioni tra il gateway encryption applicata nelle comunicazioni tra il gateway
ed N cliented N client encryption di tipo “Shared-Key” non adeguata encryption di tipo “Shared-Key” non adeguata
(distribuzione della chiave in N posti!)(distribuzione della chiave in N posti!) può usare protocolli PPP-based (PPTP, L2TP)può usare protocolli PPP-based (PPTP, L2TP) per usare IPsec richiede tecniche di Asymmetric per usare IPsec richiede tecniche di Asymmetric
encryption (PKI, certificati, ...)encryption (PKI, certificati, ...) IP Addressing IP Addressing semplice ed integrato semplice ed integrato
Windows Server SystemsWindows Server Systems
Windows Server 2003 include tutte le Windows Server 2003 include tutte le tecnologie ed i componenti per tecnologie ed i componenti per implementare VPN LAN-to-LAN e Client-implementare VPN LAN-to-LAN e Client-to-LANto-LAN
Inoltre in SBS2003 l’infrastruttura è già Inoltre in SBS2003 l’infrastruttura è già configurata nel modo più semplice ed configurata nel modo più semplice ed efficace possibileefficace possibile
ISA Server aggiunge ulteriore protezione ISA Server aggiunge ulteriore protezione e semplicità di configurazione per le VPNe semplicità di configurazione per le VPN
Windows Small Business Windows Small Business Server 2003Server 2003
Componenti di sicurezza per VPN Componenti di sicurezza per VPN & Remote Access& Remote Access
setup & configurationsetup & configuration
Scenario di connessione Scenario di connessione routerrouter
Internet
InternetRouter(ISP) SBS
rete pubblica(es: 193.205.245.24/29)
rete privata10.0.1.0/24
.2
xDSLFibra ottica
ISDN...
rete pubblica (con NAT)(es: 192.168.0.0/24)
azienda.local
To Do ListTo Do List
The Configure E-mail and Internet The Configure E-mail and Internet Connection WizardConnection Wizard
This wizard provides on-screen instructions to configure the following server settings:This wizard provides on-screen instructions to configure the following server settings:
Networking
Firewall
Secure Web publishing
Networking
Firewall
Secure Web publishing
Windows Small Business Server Windows Small Business Server Remote Access WizardRemote Access Wizard
This wizard provides on-screen instructions for configuring your server for:This wizard provides on-screen instructions for configuring your server for:
VPN connections
Dial-up connections
Both VPN and dial-up connections
VPN connections
Dial-up connections
Both VPN and dial-up connections
After clicking Finish, the wizard:After clicking Finish, the wizard:
Configures the server according to your selected settings
Creates the Client Connection Manager configuration file
Configures the remote access policy to allow members of the Mobile Users group to use remote access
Configures the server according to your selected settings
Creates the Client Connection Manager configuration file
Configures the remote access policy to allow members of the Mobile Users group to use remote access
Sicurezza e controlloSicurezza e controllo
Remote Access Account Lockout Remote Access Account Lockout (KB816118)(KB816118)
Authorizing VPN Connections (Dial-in)Authorizing VPN Connections (Dial-in) Remote Access Policy Profile Packet Remote Access Policy Profile Packet
FilteringFiltering Accounting, Auditing, and MonitoringAccounting, Auditing, and Monitoring
ICW overview (Configurazione VPN e overview ICW overview (Configurazione VPN e overview pubblicazione servizi web + exchange)pubblicazione servizi web + exchange)
RAS Wizard in SBSRAS Wizard in SBS remote web workplaceremote web workplace remote access VPNremote access VPN configurazione client verso azienda.itconfigurazione client verso azienda.it sbspackage.exesbspackage.exe
Connection Manager per Windows Server 2003Connection Manager per Windows Server 2003
Accesso sicuro alla posta Accesso sicuro alla posta elettronica ed ai servizi elettronica ed ai servizi
ExchangeExchange
Uso di HTTPS per l’accesso sicuro ai servizi Uso di HTTPS per l’accesso sicuro ai servizi ExchangeExchange Overview configurazione servizi Exchange per Overview configurazione servizi Exchange per
l’accesso da remoto (SBS ed exchange)l’accesso da remoto (SBS ed exchange) owaowa omaoma outlook-over-httpsoutlook-over-https
Riferimenti e risorseRiferimenti e risorse
Risorse tecniche per Windows Small Business Risorse tecniche per Windows Small Business Server 2003Server 2003http://www.microsoft.com/italy/windowsserver2003/sbs/techinfhttp://www.microsoft.com/italy/windowsserver2003/sbs/techinfo/default.mspxo/default.mspx
Virtual Private Networks for Windows Server 2003Virtual Private Networks for Windows Server 2003http://www.microsoft.com/windowsserver2003/technologies/nhttp://www.microsoft.com/windowsserver2003/technologies/networking/vpn/default.mspxetworking/vpn/default.mspx
Virtual Private Networking with Windows Server Virtual Private Networking with Windows Server 2003: Deploying Remote Access VPNs2003: Deploying Remote Access VPNshttp://www.microsoft.com/technet/prodtechnol/windowsserverhttp://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/networking/vpndeplr.mspx2003/technologies/networking/vpndeplr.mspx
Virtual Private Networking with Windows Server Virtual Private Networking with Windows Server 2003: Deploying Site-to-Site VPNs2003: Deploying Site-to-Site VPNshttphttp://www.microsoft.com/technet/prodtechnol/windowsserver200://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/networking/vpndpls2.mspx3/technologies/networking/vpndpls2.mspx
Riferimenti ed approfondimentiRiferimenti ed approfondimenti
Microsoft Security CenterMicrosoft Security Center www.microsoft.com/security/www.microsoft.com/security/ www.microsoft.com/italy/security/www.microsoft.com/italy/security/
Area TechnetArea Technet www.microsoft.com/technet/security/default.mspxwww.microsoft.com/technet/security/default.mspx
Security Guidance Center (IT Pro)Security Guidance Center (IT Pro) www.microsoft.com/security/guidance/default.mspxwww.microsoft.com/security/guidance/default.mspx
Security Guidance Center (SMB)Security Guidance Center (SMB) www.microsoft.com/smallbusiness/gtm/www.microsoft.com/smallbusiness/gtm/
securityguidance/hub.mspxsecurityguidance/hub.mspx
© 2004 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.