Tecnologie Gnu Linux per la sicurezza della rete...

Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it

1

LINUXDAY 2012

Tecnologie Gnu Linux per lasicurezza della rete aziendale

Massimiliano Dal Cero, Stefano Fratepietro

ERLUG


2

LINUXDAY 2012

Chi siamo

Massimiliano Dal Cero

CTO presso Tesla Consulting

Sicurezza applicativa e sistemistica

Main developer progetto DEFT Linux

Stefano Fratepietro

IT Security specialist

Consulente di Computer Forensics per forze dell'ordine e privati

DEFT Linux project leader


3

LINUXDAY 2012

Obiettivi

La sicurezza non è un prodotto ma un processo

Pregi e difetti delle soluzioni open source e closed source

Zentyal – All in one solution– Firewall– Proxy server– DNS server– Ldap – Servizi di directory

Nagios– Struttura– Controllo– Esempi pratici di uso

Open VPN


4

LINUXDAY 2012

La sicurezza è un processo


5

LINUXDAY 2012


La sicurezza informatica è un processo, non un prodotto!

Una infrastruttura IT è sicura quando le sue componenti collaborano tra di loro condividendo delle policy ben definite

Mantenere aggiornati i sistemi che compongono l'infrastruttura IT

Comprare una soluzione “di marca” non è garanzia di sicurezza


6

LINUXDAY 2012


Vulnerabilità Cisco ASA


7

LINUXDAY 2012

Voci di costo

Composizione dell'offerta – non open source

Costo della soluzione

Costo del canone di manutenzione

Costo della licenza annuale

Composizione offerta – open source

Canone di manutenzione annuale

Eventuale costo della personalizzazione


8

LINUXDAY 2012

Alcuni casi di successo


9

LINUXDAY 2012

Small business Linux server - www.zentyal.org

Sviluppato da eBox Tecnologies, S.L.

Basato su Ubuntu 12.04 LTS– Firewall– Http/s Proxy– Dns server– Dhcp server– Certification Authority (CA)– VPN Ipsec lan2lan e client– Intrusion Detection System (IDS)– Radius server– Ldap server– Mail server– Jabber server


10

LINUXDAY 2012

Configurazione tipo


11

LINUXDAY 2012


12

LINUXDAY 2012

Controllo dei servizi


13

LINUXDAY 2012

Firewall


14

LINUXDAY 2012

Proxy


15

LINUXDAY 2012

DNS Server


16

LINUXDAY 2012

Dominio e condivisione file


17

LINUXDAY 2012

Dominio e condivisione file


18

LINUXDAY 2012

Zentyal - Pro

Interfaccia grafica user friendly– Non c'è bisogno di scrivere una riga di configurazione con vi

Possibilità di crearsi un dominio stile active directory Microsoft– User management (LDAP)– File sharing (Netbios/Samba)

Firewall in 5 minuti

Http proxy in 10 minuti

Dns server pronto all'uso

Dhcp server pronto all'uso

Antivirus su molti dei servizi offerti

No costi di licenza


19

LINUXDAY 2012

Zentyal - Contro

Non è possibile applicare delle policy di dominio come nei domini Active Directory Microsoft

Firewall in 5 minuti si, ma gestendo un solo segmento di rete per installazione

Le liste dei profili del proxy sono solo manuali

Nella soluzione base, l'antivirus non si aggiorna giornalmente

Non è possibile erogare il servizio in alta affidabilità

Le soluzioni all in one potrebbero causare problemi di carico della macchina o di completo fault dell'azienda nel caso in cui il sistema avesse un malfunzionamento


20

LINUXDAY 2012

Sistema proattivo di monitorizzazione di servizi, host e risorse (spazio disco, carico della CPU, esistenza di processi, ...)

Controlli paralleli

Monitoraggio ed esecuzione di comandi remoti

Estendibile tramite plugin

Nagios 3 Nagios XI

Interfaccia Free Nagios XI , evoluzione di Nagios , ma resa proprietaria e sviluppata

da nagios.com

Nagios CoreCuore Free che racchiude tutte le funzionalità del

prodotto, sviluppata da nagios.com e dalla community nagios.org

AltroPer lo più

implementazioni commerciali

(NetEye Wurth)


21

LINUXDAY 2012

STRUTTURA

NagiosServer

NRPE

NRPE

NRPE

Nagios Remote Plugin Executor

Nagios può monitorare i servizi da remoto monitorando le porte, o facendo eseguire controlli sull'host remoto tramite NRPE per monitorare risorse o servizi

Sempre tramite NRPE può eseguire comandi inbase a “event handler” specifici(esempio: restart Apache remoto)


22

LINUXDAY 2012

Check e status


23

LINUXDAY 2012


24

LINUXDAY 2012

E' anche possibile monitorare costantemente lo stato della sicurezza degli host o dei servizi facendoci pervenire comunicazione immediata e/o prendere contromisure specifiche

CASE STUDY


25

LINUXDAY 2012

CASE STUDY

●Fallische check hash

●Copio file e allego in messaggio

●Ripristino file trusted


26

LINUXDAY 2012

VPN: Virual Private Network

Il termine VPN è un termine generico che definisce l'idea e non un marchio o uno standard. In particolare, non esiste alcun ente che regoli la denominazione di un prodotto come VPN: quindi ogni produttore può utilizzare la denominazione a suo piacimento.

È una rete che viene creata utilizzando una struttura per la telecomunicazione pubblica (come Internet) per fornire un accesso sicuro all'Intranet aziendale per uffici o utenti remoti. Rappresenta una soluzione meno onerosa rispetto alla linea dedicata.La sicurezza delle trasmissioni viene assicurata da un sistema di criptazione dei dati come il tunneling.


27

LINUXDAY 2012

●È usato per creare un tunnel crittografato punto-punto fra host ●Permette agli host di autenticarsi l'uno con l'altro per mezzo di chiavi private condivise, certificati digitali o credenziali utente/password.

●Usa in modo massiccio le librerie di cifratura OpenSSL

●Usa il protocollo SSLv3/TLSv1.

●È disponibile su GNU/Linux, xBSD, Mac OSX, Solaris e Windows 2000/XP/Vista/7.

●Offre un ricco insieme di caratteristiche per il controllo e la sicurezza.

●Non è compatibile con IPsec o altri sistemi VPN

●concentra tutto il traffico dati e di controllo su una singola porta IP.

●Può usare UDP o TCP

●Può funzionare attraverso la maggior parte dei server proxy (HTTP incluso) e non ha problemi ad integrarsi col NAT.

●Il server può "inviare" alcune opzioni di configurazione di rete ai client. Fra queste, l'indirizzo IP, gli instradamenti, e alcune opzioni di connessione.


28

LINUXDAY 2012

CASE STUDYUn'azienda ha uno o più collaboratori che devono collegarsi al CRM aziendale che non si vuole esporre sulla rete Internet per ovvi motivi di sicurezza.

SOLUZIONEInstallare una VPN su un server aziendale che permetta la comunicazione su canale sicuro tra gli host remoti e la rete interna aziendale

Ogni collaboratore dovrà quindi installare il client VPN e configurarlo con i parametri della VPN aziendale e fornire le corrette credenziali


29

LINUXDAY 2012


30

LINUXDAY 2012

Conclusioni

Spesso quello che ci permette di fare una soluzione con costi di licenza, lo possiamo fare con un prodotto free software ed open source SENZA costi di licenza d'uso

Una soluzione free software ed open source è una ottima scelta per ottimizzare i costi nella fornitura di servizi di sicurezza informatica per le pmi

Le soluzioni proprietarie sono sicuramente degli ottimi prodotti ma hanno un senso solo su determinate esigenze


31

LINUXDAY 2012

Domande?Grazie!

Le slides e le riprese audio/videodell'intervento saranno disponibili su:

http://erlug.linux.it/linuxday/2012/

Tecnologie Gnu Linux per la sicurezza della rete...

Documents

Transcript of Tecnologie Gnu Linux per la sicurezza della rete...