Sicurezza negli ambienti di testing - ELIS
28
Sicurezza negli ambienti di testing Sicurezza negli ambienti di testing Grancagnolo Simone Palumbo Claudio
Transcript of Sicurezza negli ambienti di testing - ELIS
Sicurezza negli ambienti di testing
Sicurezza negli ambienti di testing
Grancagnolo SimonePalumbo Claudio
��������������������� ����������������������������������� ��������������
� Obiettivo iniziale: analizzare e testare il Check PointVPN-1/FireWall-1– Condurre uno studio quanto più approfondito possibile sulle
funzionalità offerte dal prodotto– Valutarne una possibile installazione nella rete del TP Wind
� Risultati ottenuti: attività di analisi ultimata con esito positivo– È stato condotto uno studio proporzionato alla quantità di
documentazione disponibile– È stato allestito un piccolo laboratorio di simulazione di
ambiente LAN/WAN
������������������� ��������������������������������� ��������������
� Piano iniziale: suddivisione del tempo assegnato in due fasi principali– I fase: attività teorica di studio del materiale reso disponibile– II fase: approfondimento con attività pratica in laboratorio
� Risultati ottenuti: attività di studio completata, attività pratica non realizzata.– Lo studio della User Guide è stato completato nei termini
previsti– Ritardo di circa tre settimane rispetto agli obiettivi prefissati
per l’attività pratica di testing
Pianificazione del progettoPianificazione del progetto
� Parti coinvolte nel progetto– Test Plant di Wind– Centro di formazione superiore ELIS
�Simone Grancagnolo�Claudio Palumbo
� Metodo di pianificazione del progetto– Project plan scritto– Incontro iniziale per stabilire i dettagli sul progetto
Gestione del progettoGestione del progetto
� Corrispondenza via posta elettronica per eventuali aggiornamenti
� Incontri intermedi per stabilire il SAL e per la consegna di ulteriore materiale di studio
������������������
� Elementi fondamentali che hanno impedito la realizzazione pratica:– Limitata conoscenza tecnico-specialistica del prodotto– Documentazione assolutamente poco completa sugli aspetti
fondamentali del prodotto da valutare– Materiale di preparazione all’ambiente di test carente ed in
molti casi obsoleto– Continua riconfigurazione del laboratorio di prova, causa la
condivisione di quest’ultimo per altre attività curriculari– Mancanza di chiarezza riguardo il metodo di attivazione del
VPN-1/FireWall-1 CheckPoint
� Obiettivi di produzione in parte raggiunti
� ���������� ������ ���������� �����
� Possibilità d’interfacciamento con persone più esperte per consigli in materia
� Comprensione dell’utilizzo del FireWall nelle reti locali come strumento di difesa e controllo
� Approfondimento dell’architettura di rete Windows NT 4.0-based
� Affinamento delle capacità di troubleshootingin ambiente di rete
��������������
� Azienda:– Tenere presente il target delle persone che
dovrebbero portare a compimento il progetto di lavoro
� Scuola di formazione:– Assicurarsi che la strumentazione per poter
sviluppare il progetto sia presente ed utilizzabile
Le potenzialità di un FireWall non si apprendono in poco tempo!
����������������� ������������������������� ��������
Analisi del prodotto
!��� �������� ���������������"�� ��������������������!��� �������� ���������������"�� ��������������������
�Componenti di base:– Grafic Unit Interface (GUI)– Management Server– Modulo FireWall
#$!�%#�&��$ �� !����&��'#$!�%#�&��$ �� !����&��'
�Si compone di:– Un editor che permette di definire e
gestire le politiche di sicurezza sugli oggetti di rete
– Analizzatore dei file di log ed uno dello stato del sistema
(��������)�����(��������)�����
� Contiene:– I DB del VPN-1/FireWall-1– Le definizioni degli oggetti di rete– Le definizioni degli utenti– Le politiche di sicurezza– I log files di tutti i punti di rete coperti
� GUI e MS possono risiedere sulla stessa macchina o in configurazioni client/server
!����������������!����������������
� Risiede su un gateway internet� Uno script di ispezione, scritto in linguaggio
INSPECT, è caricato sul modulo del FireWall� Il modulo di ispezione esamina tutte le
comunicazioni della rete aziendale� Fornisce autenticazione e sicurezza dei
contenuti a livello applicazione� Un host è considerato protetto dal FireWall se
su di esso è installato il modulo del FireWalloppure il modulo di ispezione
��������������� �����������������������
��������������� �����������������������
�Definisce una politica di sicurezza�Una politica di sicurezza è defnita in
termini di Rule Bases e di Properties
��������������� �������������� � �����
��������������� �������������� � �����
� È un insieme ordinato di regole che controllano ogni comunicazione
� Ogni regola specifica:– Sorgente– Destinazione– Servizio– Azione presa per ogni comunicazione
� Una regola specifica inoltre come deve essere tracciata una comunicazione
��������������� �����������������������
��������������� �����������������������
�Specificano gli aspetti generali dell’ispezione della comunicazione (periodi di timeout, le autenticazioni alle sessioni, o come il VPN-1/FireWall-1 gestisce le connessioni TCP stabililte)
�Sono applicate a tutte le regolenon è necessario specificare dettagli ripetitivi nella
politica di sicurezza
��������������� ���������������������������
��������������� ���������������������������
� Definite dall’editor in termini di oggetti e le loro proprietà
� Ogni oggetto ha i suoi attributi (nome o IP address, ecc…)
� Una volta definiti sono usati nelle Rule Base� Essi includono:
– Reti e sottoreti– Server, workstation e gateway– Router e switch– Domini Internet– Altri FireWall– Gruppi degli elementi elencati
��������������� �������������������
��������������� �������������������
�Possono essere definiti agli utenti su basi individuali o di gruppo
�Una volta creati su di essi sono definiti i privilegi d’accesso (indirizzi IP sorgente e destinazione, schemi di autenticazione, ecc…)
��������������� ��������������������
��������������� ��������������������
� Definiti dal Service Manager e usati nelle politiche di sicurezza� Servizi Internet e TCP/IP predefiniti:
– Servizi arpa standard: telnet, FTP, SMTP, ecc…– Servizi r Berkeley: rlogin, rsh, ecc…– Servizi SunRPC: NIS/pagine gialle, NFS, ecc…– Protocolli Internet avanzati come http, Gopher, ecc…– Servizi IP : ICMP, RIP, SNMP, ecc…
� Servizi aggiuntivi:– Trasmission Control Protocol (TCP)– User Datagram Protocol (UDP)– Remote Procedure Call (RPC)– Internet Control Message Protocol (ICMP)
��������������� �����������������������
��������������� �����������������������
� Monitoraggio in tempo reale delle attività di rete e di tutte le connessioni loggate dal FireWall
� Personalizzazione del Log Viewer per mostrare o nascondere campi specifici o eventi
� Filtering dei log per tracciare eventi di interesse� Identificazione delle connessioni sospette e
terminazione delle connessioni attive o che si ripresenteranno da determinati indirizzi IP
� Log Export Application (LEA) API per esportare i dati dei file di log del VPN-1/FireWall-1 verso altre applicazioni (per esempio fogli di calcolo o database)
��������������� ���������������� ���������������
��������������� ���������������� ���������������
�Visualizzazione dello stato istantaneo del sistema aziendale protetto dal FireWall
�Statistiche sul traffico (numero di pacchetti ispezionati, loggati o rifiutati per ogni postazione)
�Possibilità di specificare l’azione che dev’essere presa se cambia lo stato delle postazioni controllate
��������������� �������������������������������������
��������������� �������������������������������������
� Il VPN-1/FireWall-1 include le seguenti capacità:– Autenticazione– NAT (Network Address Translation)– VPN (Virtual Private Netork)– Sicurezza dei contenuti– Controllo delle connessioni– Alta disponibilità
��������������� �������������� ������������
��������������� �������������� ������������
� Accesso autenticato per utenti, applicazioni e servizi IP� Possibilità di determinare:
– Il tipo di autenticazione– I server e le applicazioni accessibili– Il tempo durante il quale è garantito l’accesso agli utenti
� Autenticazioni supportate:– VPN-1/FireWall-1 password– OS password– SecureID tokens– RADIUS– Digital Certifies– Altre
��������������� ��������������������
��������������� ��������������������
�Nasconde gli indirizzi interni dietro un singolo indirizzo IP
�Completo accesso Internet agli host interni aventi indirizzi privati
�Tipi di NAT:– Grafico secondo Rule Base
Possibilità di applicare delle regole
– Configurazione AutomaticaDefinito in base alle proprietà degli oggetti di rete
��������������� ����������������� � ��������������
��������������� ����������������� � ��������������
�Protezione delle comunicazioni su internet
�VPN di facile gestione su segmenti di rete pubblica
�Criptazione delle comunicazioni per garantire la privacy e la sicurezza dei dati
��������������� �������������!������ ��� ����
��������������� �������������!������ ��� ����
�Tipi di controlli:– Connessioni HTTP, SMTP ed FTP– Ispezioni antivirus– Accesso alle risorse– URL screening– Analisi di Java ed ActiveX
��������������� �������������"��������������
��������������� �������������"��������������
�Condivisione delle informazioni sulle connessioni tra i moduli– Elevata velocità di convergenza
�Fault tollelarance
Domande e commentiDomande e commenti
Grazie per l’attenzione
