SlideShare une entreprise Scribd logo

The Missing Link

Sandro Fontana
Sandro Fontana

non basta più difenderci dgli attacchi esterni; la grande minaccia proviene dai nostri sistemi

Technologie
1  sur  28
Télécharger pour lire hors ligne
Forum ICT Security Sandro Fontana, CISSP CEO Secure Edge sfontana@secure-edge.com s.fontana@computer.org Roma 4 Novembre 2003
Premessa
Ich Sunt Leones/1
Ich Sunt Leones/2 Internet Router (multiport/ multi protocol) Dial in Servers TELCO Partner Offices Frame Relay Network Remote router Laptop PCsRemote Router Remote Hub UNIX Server NFS Gateway Novel File Server Hub Central Router (multiport/ multiprotocol Hub Hub Groupware Server Offices Hub PCs Hub Hub PCs Windows NTServer Groupware Server Offices PCs PCs PCs Windows NTServer PCs Email/Shared File Server PCs Firewall / AV / Proxy Firewall / RAS / AV / Proxy
Ich Sunt Leones/3 Internet Router (multiport/ multi protocol) Dial in Servers TELCO Partner Offices Frame Relay Network Remote router Laptop PCsRemote Router Remote Hub UNIX Server NFS Gateway Novel File Server Hub Central Router (multiport/ multiprotocol Hub Hub Groupware Server Offices Hub PCs Hub Hub PCs Windows NTServer Groupware Server Offices PCs PCs PCs Windows NTServer PCs Email/Shared File Server PCs Firewall / AV / Proxy Firewall / RAS / AV / Proxy
the speed of insecurity/1 “security works in an era of (computer) worms that can spread across the Internet in 10 minutes” (Bruce Schneier - IEEE S&P, July/August 2003)
the speed of insecurity/2
change viewpoint non si tratta più soltanto di difendere i computer presenti nella rete aziendale da attacchi provenienti dall’esterno
change viewpoint non si tratta più soltanto di difendere i computer presenti nella rete aziendale da attacchi provenienti dall’esterno bisogna inoltre difendere l’Enterprise Network da eventuali attacchi provenienti dalle stazioni di lavoro e dai server interni.
the missing link Nuova responsabilità: proteggere l’Intranet dagli attacchi provenienti da computer attestati all’interno della stessa rete aziendale(*) (Chief Security Officer) Irrobustire Identificare Controllare Contrastare Rilevare (*) (garantendo l’attuale flessibilità)
Mai dimenticare che … “la sicurezza è un processo, non è un prodotto” (Bruce Schneier)
Goals ogni server deve poter qualificare la fonte del traffico di rete in ingresso Request Verification Worm confinement CentralManagement un Client od un Server, anche se compromesso, non deve divenire la fonte di ulteriore infezione all’interno dell’Azienda; la gestione delle contromisure deve essere centralizzata
Una proposta Essential Point • Policy • Requirements • Management • Tools Secure Edge vede un percorso progettuale inserito all’interno del sistema di gestione della sicurezza ad es. l’ISMS della ISO/IEC 17799
Policy Per potere accedere alla intranet ed alle sue risorse ogni macchina, sia Client che Server ed ogni Utente, deve essere autorizzato NetAccess Verification il parco dei Client e Server installato ed attivo, deve essere tenuto sotto controllo, senza necessità di gestione IP address e/o ethernet address ogni utente deve essere identificato ed autenticato con meccanismo forte Effective RT-IDS Ogni violazione alle regole precedenti deve poter essere rilevata in tempo reale Identification Authentication
Requirements Accesso alla intranet controllato tramite: Identificazione certa dei Client e Server connessi Autenticazione forte degli utenti firewall distribuito Profilo di accesso specializzato per ruolo Network Single SignOn® Consolidamento centralizzato dei log Audit in tempo reale sugli eventi rilevanti
Management Operation Manager controlla in tempo reale, lo stato delle singole macchine e dei singoli utenti attiva e gestisce gli alert, analizza i log provenienti dal parco macchine interno Policy Manager il responsabile della definizione dei profili e delle regole che devono essere applicate ai gruppi di macchine (client e server) ed ai ruoli aziendali (users)
Tools Secure Edge PcP Enterprise Edition
Gli strumenti/1 è il cuore informativo del sistema; raccoglie tutti i dati dell’ambiente PcP Enterprise Edition : – licenze Client e Server – ruoli aziendali – profili utenti – certificati di chiave pubblica di tutti gli attori coinvolti – regole di firewalling – log globali di tutte le macchine controllate – heart_beat in tempo reale PcP-EE_DB (RDBMS)
Gli strumenti/2 permette al Policy Manager la definizione di: – gruppi di macchine: Client/Server – ruoli aziendali – profili – regole di firewalling Policy Management Tool (software client) Lavora in locale con aggiornamento del PcP-EE_DB on demand
Gli strumenti/3 Monitor Console E’ l’interfaccia web al PcP-EE_ DB che permette all’Operation Manager: • l’interrogazione, l’elaborazione e la presentazione delle informazioni generate dai software PcP-EE in esercizio su tutte le macchine Client/Server Windows all’interno dell’Azienda; • la configurabilità e la gestione di allarmi • la memorizzazione di query ricorrenti
Gli strumenti/4 – autenticare le licenze PcP-EE ed i singoli Users; – distribuire le Policy per i Server ed i Client oltre che le policy specifiche per lo User; – acquisire i log dalle varie stazioni ed i pacchetti informativi (heart beat) relativi al traffico di rete dei singoli sistemi – aggiornare PcP-EE_ DB centrale Policy Server è un servizio presente su uno o più sistemi all’interno dell’azienda permette di:
Distribuited Security Agent questo software assolve una serie di compiti é presente su ogni client ed ogni server aziendale con sistema operativo Microsoft Gli Strumenti/5
PcP-EE: duty/1 ogni macchina viene associata ad una licenza PcP-EE un utente che voglia lavorare su una macchina viene prima identificato ed autorizzato, quindi le regole di firewalling ed il profilo di protezione associato al ruolo che l’utente, in quel momento, incarna in azienda sono calate sulla macchina su cui opera ad ogni macchina vengono assegnate specifiche regole di firewalling ed il profilo di protezione del gruppo a cui la macchina appartiene
PcP-EE: duty/2 il traffico di rete viene bloccato/abilitato, così come viene indicato dalle regole di firewalling dichiara la propria esistenza in vita tramite pacchetti statistici che fungono da HeartBeat per PcP-EE stesso viene generato il log relativo al matching delle regole di firewalling, se questa funzione è richiesta per queste regole
Riepilogo Policy Server Policy Server PcP-EE_DB Operation Manager Policy Manager Policy Server Policy Server
per concludere … “la sicurezza è un processo, non è un prodotto” (Bruce Schneier)
Exit

Recommandé

100430 Sa 1.0 Observe It Customer Presentation(Ita)
100430 Sa 1.0 Observe It Customer Presentation(Ita)100430 Sa 1.0 Observe It Customer Presentation(Ita)
100430 Sa 1.0 Observe It Customer Presentation(Ita)antonio_tonani
 
TerminalTux - Terminal Server Open Source 100%! - Confsl 2009
TerminalTux - Terminal Server Open Source 100%! - Confsl 2009TerminalTux - Terminal Server Open Source 100%! - Confsl 2009
TerminalTux - Terminal Server Open Source 100%! - Confsl 2009Mirco Piccin
 
Hardening
HardeningHardening
HardeningNaLUG
 
Yooda w10 security - v1 1
Yooda w10 security - v1 1Yooda w10 security - v1 1
Yooda w10 security - v1 1Pacho Baratta
 
Pervasive Encryption for DB2
Pervasive Encryption for DB2Pervasive Encryption for DB2
Pervasive Encryption for DB2Luigi Perrone
 
Fmdp Total System Monitor
Fmdp Total System MonitorFmdp Total System Monitor
Fmdp Total System MonitorFilippo Maria Del Prete
 
2017 racf 2.3 news
2017 racf 2.3 news2017 racf 2.3 news
2017 racf 2.3 newsLuigi Perrone
 
Key management
Key managementKey management
Key managementLuigi Perrone
 

Recommandé

100430 Sa 1.0 Observe It Customer Presentation(Ita)
100430 Sa 1.0 Observe It Customer Presentation(Ita)100430 Sa 1.0 Observe It Customer Presentation(Ita)
100430 Sa 1.0 Observe It Customer Presentation(Ita)antonio_tonani
 
TerminalTux - Terminal Server Open Source 100%! - Confsl 2009
TerminalTux - Terminal Server Open Source 100%! - Confsl 2009TerminalTux - Terminal Server Open Source 100%! - Confsl 2009
TerminalTux - Terminal Server Open Source 100%! - Confsl 2009Mirco Piccin
 
Hardening
HardeningHardening
HardeningNaLUG
 
Yooda w10 security - v1 1
Yooda w10 security - v1 1Yooda w10 security - v1 1
Yooda w10 security - v1 1Pacho Baratta
 
Pervasive Encryption for DB2
Pervasive Encryption for DB2Pervasive Encryption for DB2
Pervasive Encryption for DB2Luigi Perrone
 
Fmdp Total System Monitor
Fmdp Total System MonitorFmdp Total System Monitor
Fmdp Total System MonitorFilippo Maria Del Prete
 
2017 racf 2.3 news
2017 racf 2.3 news2017 racf 2.3 news
2017 racf 2.3 newsLuigi Perrone
 
Key management
Key managementKey management
Key managementLuigi Perrone
 
Para que practiquen el inglés
Para que practiquen el inglésPara que practiquen el inglés
Para que practiquen el inglésBerli Onle
 
Nonfiction sort 2nd no sr
Nonfiction sort 2nd no srNonfiction sort 2nd no sr
Nonfiction sort 2nd no srjschoen
 
Data is Power
Data is PowerData is Power
Data is PowerRaghavendran S
 
Country report
Country reportCountry report
Country reportjschoen
 
Investment
InvestmentInvestment
Investmentkamlesh2008
 
How to Use Email to Create Loyal Fans Who Love You
How to Use Email to Create Loyal Fans Who Love YouHow to Use Email to Create Loyal Fans Who Love You
How to Use Email to Create Loyal Fans Who Love YouJustin Premick
 
la firma grafometrica ed i (nuovi) falsari
la firma grafometrica ed i (nuovi) falsarila firma grafometrica ed i (nuovi) falsari
la firma grafometrica ed i (nuovi) falsariSandro Fontana
 
How to Create Killer Emails that Make Readers Love You
How to Create Killer Emails that Make Readers Love YouHow to Create Killer Emails that Make Readers Love You
How to Create Killer Emails that Make Readers Love YouJustin Premick
 
Para pirates 2010
Para pirates 2010Para pirates 2010
Para pirates 2010fmschau1
 
It's Christmas
It's ChristmasIt's Christmas
It's Christmasanabraga
 
Covalent Nomenclature
Covalent NomenclatureCovalent Nomenclature
Covalent NomenclatureRegis Komperda
 
Polyatomic Nomenclature
Polyatomic NomenclaturePolyatomic Nomenclature
Polyatomic NomenclatureRegis Komperda
 
Rescate a lo gallego
Rescate a lo gallegoRescate a lo gallego
Rescate a lo gallegoBerli Onle
 
Cinco cosas
Cinco cosasCinco cosas
Cinco cosasBerli Onle
 
Chemical Bonding Part 1
Chemical Bonding Part 1Chemical Bonding Part 1
Chemical Bonding Part 1Regis Komperda
 
Metric System Scientific Notation
Metric System Scientific NotationMetric System Scientific Notation
Metric System Scientific NotationRegis Komperda
 
Beatifullibrariesintheworld2 1224805198195556 8
Beatifullibrariesintheworld2 1224805198195556 8Beatifullibrariesintheworld2 1224805198195556 8
Beatifullibrariesintheworld2 1224805198195556 8anabraga
 
2da Guerra Mundial
2da Guerra Mundial 2da Guerra Mundial
2da Guerra Mundial Berli Onle
 
What the Shrink Can Teach the Community Manager
What the Shrink Can Teach the Community ManagerWhat the Shrink Can Teach the Community Manager
What the Shrink Can Teach the Community ManagerBen Mason
 
Lieldienas
LieldienasLieldienas
Lieldienasxlt
 
ClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerFrancesco Taurino
 
Piattaforma Accelerated Antivirus Da Freescale & Kaspersky
Piattaforma Accelerated Antivirus Da Freescale & KasperskyPiattaforma Accelerated Antivirus Da Freescale & Kaspersky
Piattaforma Accelerated Antivirus Da Freescale & KasperskyIonela
 

Contenu connexe

En vedette

Para que practiquen el inglés
Para que practiquen el inglésPara que practiquen el inglés
Para que practiquen el inglésBerli Onle
 
Nonfiction sort 2nd no sr
Nonfiction sort 2nd no srNonfiction sort 2nd no sr
Nonfiction sort 2nd no srjschoen
 
Country report
Country reportCountry report
Country reportjschoen
 
How to Use Email to Create Loyal Fans Who Love You
How to Use Email to Create Loyal Fans Who Love YouHow to Use Email to Create Loyal Fans Who Love You
How to Use Email to Create Loyal Fans Who Love YouJustin Premick
 
la firma grafometrica ed i (nuovi) falsari
la firma grafometrica ed i (nuovi) falsarila firma grafometrica ed i (nuovi) falsari
la firma grafometrica ed i (nuovi) falsariSandro Fontana
 
How to Create Killer Emails that Make Readers Love You
How to Create Killer Emails that Make Readers Love YouHow to Create Killer Emails that Make Readers Love You
How to Create Killer Emails that Make Readers Love YouJustin Premick
 
Para pirates 2010
Para pirates 2010Para pirates 2010
Para pirates 2010fmschau1
 
It's Christmas
It's ChristmasIt's Christmas
It's Christmasanabraga
 
Polyatomic Nomenclature
Polyatomic NomenclaturePolyatomic Nomenclature
Polyatomic NomenclatureRegis Komperda
 
Rescate a lo gallego
Rescate a lo gallegoRescate a lo gallego
Rescate a lo gallegoBerli Onle
 
Chemical Bonding Part 1
Chemical Bonding Part 1Chemical Bonding Part 1
Chemical Bonding Part 1Regis Komperda
 
Metric System Scientific Notation
Metric System Scientific NotationMetric System Scientific Notation
Metric System Scientific NotationRegis Komperda
 
Beatifullibrariesintheworld2 1224805198195556 8
Beatifullibrariesintheworld2 1224805198195556 8Beatifullibrariesintheworld2 1224805198195556 8
Beatifullibrariesintheworld2 1224805198195556 8anabraga
 
2da Guerra Mundial
2da Guerra Mundial 2da Guerra Mundial
2da Guerra Mundial Berli Onle
 
What the Shrink Can Teach the Community Manager
What the Shrink Can Teach the Community ManagerWhat the Shrink Can Teach the Community Manager
What the Shrink Can Teach the Community ManagerBen Mason
 
Lieldienas
LieldienasLieldienas
Lieldienasxlt
 

En vedette (20)

Para que practiquen el inglés
Para que practiquen el inglésPara que practiquen el inglés
Para que practiquen el inglés
 
Nonfiction sort 2nd no sr
Nonfiction sort 2nd no srNonfiction sort 2nd no sr
Nonfiction sort 2nd no sr
 
Data is Power
Data is PowerData is Power
Data is Power
 
Country report
Country reportCountry report
Country report
 
Investment
InvestmentInvestment
Investment
 
How to Use Email to Create Loyal Fans Who Love You
How to Use Email to Create Loyal Fans Who Love YouHow to Use Email to Create Loyal Fans Who Love You
How to Use Email to Create Loyal Fans Who Love You
 
la firma grafometrica ed i (nuovi) falsari
la firma grafometrica ed i (nuovi) falsarila firma grafometrica ed i (nuovi) falsari
la firma grafometrica ed i (nuovi) falsari
 
How to Create Killer Emails that Make Readers Love You
How to Create Killer Emails that Make Readers Love YouHow to Create Killer Emails that Make Readers Love You
How to Create Killer Emails that Make Readers Love You
 
Para pirates 2010
Para pirates 2010Para pirates 2010
Para pirates 2010
 
It's Christmas
It's ChristmasIt's Christmas
It's Christmas
 
Covalent Nomenclature
Covalent NomenclatureCovalent Nomenclature
Covalent Nomenclature
 
Polyatomic Nomenclature
Polyatomic NomenclaturePolyatomic Nomenclature
Polyatomic Nomenclature
 
Rescate a lo gallego
Rescate a lo gallegoRescate a lo gallego
Rescate a lo gallego
 
Cinco cosas
Cinco cosasCinco cosas
Cinco cosas
 
Chemical Bonding Part 1
Chemical Bonding Part 1Chemical Bonding Part 1
Chemical Bonding Part 1
 
Metric System Scientific Notation
Metric System Scientific NotationMetric System Scientific Notation
Metric System Scientific Notation
 
Beatifullibrariesintheworld2 1224805198195556 8
Beatifullibrariesintheworld2 1224805198195556 8Beatifullibrariesintheworld2 1224805198195556 8
Beatifullibrariesintheworld2 1224805198195556 8
 
2da Guerra Mundial
2da Guerra Mundial 2da Guerra Mundial
2da Guerra Mundial
 
What the Shrink Can Teach the Community Manager
What the Shrink Can Teach the Community ManagerWhat the Shrink Can Teach the Community Manager
What the Shrink Can Teach the Community Manager
 
Lieldienas
LieldienasLieldienas
Lieldienas
 

Similaire à The Missing Link

ClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerFrancesco Taurino
 
Piattaforma Accelerated Antivirus Da Freescale & Kaspersky
Piattaforma Accelerated Antivirus Da Freescale & KasperskyPiattaforma Accelerated Antivirus Da Freescale & Kaspersky
Piattaforma Accelerated Antivirus Da Freescale & KasperskyIonela
 
Piattaforma Accelerated Antivirus Da Freescale & Kaspersky
Piattaforma Accelerated Antivirus Da Freescale & KasperskyPiattaforma Accelerated Antivirus Da Freescale & Kaspersky
Piattaforma Accelerated Antivirus Da Freescale & KasperskyIonela
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open sourceMarco Ferrigno
 
Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Marco Ferrigno
 
Cloudup, cloud server al minuto
Cloudup, cloud server al minutoCloudup, cloud server al minuto
Cloudup, cloud server al minutoENTER S.r.l.
 
Firewall, Antispam e ipmonitor
Firewall, Antispam e ipmonitorFirewall, Antispam e ipmonitor
Firewall, Antispam e ipmonitorlaisit
 
Crouzet Automation - em4 Ethernet opuscolo, versione italiana
Crouzet Automation - em4 Ethernet opuscolo, versione italiana Crouzet Automation - em4 Ethernet opuscolo, versione italiana
Crouzet Automation - em4 Ethernet opuscolo, versione italiana Crouzet
 
EKMF solution overview
EKMF solution overviewEKMF solution overview
EKMF solution overviewLuigi Perrone
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Studio Fiorenzi Security & Forensics
 
ClearOS
ClearOSClearOS
ClearOSNaLUG
 
Progettazione e sviluppo di un software applicativo su un single board computer
Progettazione e sviluppo di un software applicativo su un single board computerProgettazione e sviluppo di un software applicativo su un single board computer
Progettazione e sviluppo di un software applicativo su un single board computerAlessandro Mascherin
 
ObserveIt -Record and replay SSH, RDP & Citrix sessions-product datasheet- It...
ObserveIt -Record and replay SSH, RDP & Citrix sessions-product datasheet- It...ObserveIt -Record and replay SSH, RDP & Citrix sessions-product datasheet- It...
ObserveIt -Record and replay SSH, RDP & Citrix sessions-product datasheet- It...ObserveIT
 
BYTE Engineering Services presentation
BYTE Engineering Services presentationBYTE Engineering Services presentation
BYTE Engineering Services presentationDino Fornaciari
 
Presentazione Suite Nethesis
Presentazione Suite NethesisPresentazione Suite Nethesis
Presentazione Suite NethesisNethesis
 
Soluzioni IoT con le tecnologie Microsoft
Soluzioni IoT con le tecnologie MicrosoftSoluzioni IoT con le tecnologie Microsoft
Soluzioni IoT con le tecnologie MicrosoftMassimo Bonanni
 

Similaire à The Missing Link (20)

ClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerClearOS - Linux Small Business Server
ClearOS - Linux Small Business Server
 
Piattaforma Accelerated Antivirus Da Freescale & Kaspersky
Piattaforma Accelerated Antivirus Da Freescale & KasperskyPiattaforma Accelerated Antivirus Da Freescale & Kaspersky
Piattaforma Accelerated Antivirus Da Freescale & Kaspersky
 
Piattaforma Accelerated Antivirus Da Freescale & Kaspersky
Piattaforma Accelerated Antivirus Da Freescale & KasperskyPiattaforma Accelerated Antivirus Da Freescale & Kaspersky
Piattaforma Accelerated Antivirus Da Freescale & Kaspersky
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open source
 
Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...
 
Progetto Netkit
Progetto NetkitProgetto Netkit
Progetto Netkit
 
Mfa.intro
Mfa.introMfa.intro
Mfa.intro
 
Cloudup, cloud server al minuto
Cloudup, cloud server al minutoCloudup, cloud server al minuto
Cloudup, cloud server al minuto
 
Firewall, Antispam e ipmonitor
Firewall, Antispam e ipmonitorFirewall, Antispam e ipmonitor
Firewall, Antispam e ipmonitor
 
Crouzet Automation - em4 Ethernet opuscolo, versione italiana
Crouzet Automation - em4 Ethernet opuscolo, versione italiana Crouzet Automation - em4 Ethernet opuscolo, versione italiana
Crouzet Automation - em4 Ethernet opuscolo, versione italiana
 
EKMF solution overview
EKMF solution overviewEKMF solution overview
EKMF solution overview
 
Brochure 2014 - Unified Management Platform
Brochure 2014 - Unified Management PlatformBrochure 2014 - Unified Management Platform
Brochure 2014 - Unified Management Platform
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
 
ClearOS
ClearOSClearOS
ClearOS
 
Progettazione e sviluppo di un software applicativo su un single board computer
Progettazione e sviluppo di un software applicativo su un single board computerProgettazione e sviluppo di un software applicativo su un single board computer
Progettazione e sviluppo di un software applicativo su un single board computer
 
ObserveIt -Record and replay SSH, RDP & Citrix sessions-product datasheet- It...
ObserveIt -Record and replay SSH, RDP & Citrix sessions-product datasheet- It...ObserveIt -Record and replay SSH, RDP & Citrix sessions-product datasheet- It...
ObserveIt -Record and replay SSH, RDP & Citrix sessions-product datasheet- It...
 
BYTE Engineering Services presentation
BYTE Engineering Services presentationBYTE Engineering Services presentation
BYTE Engineering Services presentation
 
Presentazione Suite Nethesis
Presentazione Suite NethesisPresentazione Suite Nethesis
Presentazione Suite Nethesis
 
Soluzioni IoT con le tecnologie Microsoft
Soluzioni IoT con le tecnologie MicrosoftSoluzioni IoT con le tecnologie Microsoft
Soluzioni IoT con le tecnologie Microsoft
 

Plus de Sandro Fontana

Blockchain! - Luglio 2018 Convegno SGI a Bevagna
Blockchain! - Luglio 2018 Convegno SGI a BevagnaBlockchain! - Luglio 2018 Convegno SGI a Bevagna
Blockchain! - Luglio 2018 Convegno SGI a BevagnaSandro Fontana
 
Sgi breve storia della crittografia ep II
Sgi breve storia della crittografia ep IISgi breve storia della crittografia ep II
Sgi breve storia della crittografia ep IISandro Fontana
 
SGI sandro fontana breve storia della crittografia Ep I
SGI sandro fontana breve storia della crittografia Ep ISGI sandro fontana breve storia della crittografia Ep I
SGI sandro fontana breve storia della crittografia Ep ISandro Fontana
 
Iged s fontana-quando-la-firma-digitale-incontra-la-carta
Iged s fontana-quando-la-firma-digitale-incontra-la-cartaIged s fontana-quando-la-firma-digitale-incontra-la-carta
Iged s fontana-quando-la-firma-digitale-incontra-la-cartaSandro Fontana
 
Wiress Lan Pros And Cons.Pdf
Wiress Lan Pros And Cons.PdfWiress Lan Pros And Cons.Pdf
Wiress Lan Pros And Cons.PdfSandro Fontana
 
[Se T 05 0044] T I Prs Secure Log Appliance [2
[Se T 05 0044] T I Prs Secure Log Appliance [2[Se T 05 0044] T I Prs Secure Log Appliance [2
[Se T 05 0044] T I Prs Secure Log Appliance [2Sandro Fontana
 
Paper E Sign La Firma Digitale Su Carta Seminario Epa
Paper E Sign La Firma Digitale Su Carta Seminario EpaPaper E Sign La Firma Digitale Su Carta Seminario Epa
Paper E Sign La Firma Digitale Su Carta Seminario EpaSandro Fontana
 
Paper E Sign Aica Xxxix Annual Conference
Paper E Sign Aica Xxxix Annual ConferencePaper E Sign Aica Xxxix Annual Conference
Paper E Sign Aica Xxxix Annual ConferenceSandro Fontana
 
Minaccie Vere Vulnerabilita Evitabili
Minaccie Vere Vulnerabilita EvitabiliMinaccie Vere Vulnerabilita Evitabili
Minaccie Vere Vulnerabilita EvitabiliSandro Fontana
 
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...Sandro Fontana
 
Che Bel Progresso Abbiamo Fatto! Iged
Che Bel Progresso Abbiamo Fatto! IgedChe Bel Progresso Abbiamo Fatto! Iged
Che Bel Progresso Abbiamo Fatto! IgedSandro Fontana
 
Critical Infrastructure Security Ict Security Anno Vi N
Critical Infrastructure Security Ict Security Anno Vi NCritical Infrastructure Security Ict Security Anno Vi N
Critical Infrastructure Security Ict Security Anno Vi NSandro Fontana
 
Security Certification Vs Marketing Hype
Security Certification Vs Marketing HypeSecurity Certification Vs Marketing Hype
Security Certification Vs Marketing HypeSandro Fontana
 

Plus de Sandro Fontana (14)

Blockchain! - Luglio 2018 Convegno SGI a Bevagna
Blockchain! - Luglio 2018 Convegno SGI a BevagnaBlockchain! - Luglio 2018 Convegno SGI a Bevagna
Blockchain! - Luglio 2018 Convegno SGI a Bevagna
 
Sgi breve storia della crittografia ep II
Sgi breve storia della crittografia ep IISgi breve storia della crittografia ep II
Sgi breve storia della crittografia ep II
 
SGI sandro fontana breve storia della crittografia Ep I
SGI sandro fontana breve storia della crittografia Ep ISGI sandro fontana breve storia della crittografia Ep I
SGI sandro fontana breve storia della crittografia Ep I
 
Iged s fontana-quando-la-firma-digitale-incontra-la-carta
Iged s fontana-quando-la-firma-digitale-incontra-la-cartaIged s fontana-quando-la-firma-digitale-incontra-la-carta
Iged s fontana-quando-la-firma-digitale-incontra-la-carta
 
Wiress Lan Pros And Cons.Pdf
Wiress Lan Pros And Cons.PdfWiress Lan Pros And Cons.Pdf
Wiress Lan Pros And Cons.Pdf
 
[Se T 05 0044] T I Prs Secure Log Appliance [2
[Se T 05 0044] T I Prs Secure Log Appliance [2[Se T 05 0044] T I Prs Secure Log Appliance [2
[Se T 05 0044] T I Prs Secure Log Appliance [2
 
Paper E Sign La Firma Digitale Su Carta Seminario Epa
Paper E Sign La Firma Digitale Su Carta Seminario EpaPaper E Sign La Firma Digitale Su Carta Seminario Epa
Paper E Sign La Firma Digitale Su Carta Seminario Epa
 
Paper E Sign Aica Xxxix Annual Conference
Paper E Sign Aica Xxxix Annual ConferencePaper E Sign Aica Xxxix Annual Conference
Paper E Sign Aica Xxxix Annual Conference
 
Minaccie Vere Vulnerabilita Evitabili
Minaccie Vere Vulnerabilita EvitabiliMinaccie Vere Vulnerabilita Evitabili
Minaccie Vere Vulnerabilita Evitabili
 
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...
 
Che Bel Progresso Abbiamo Fatto! Iged
Che Bel Progresso Abbiamo Fatto! IgedChe Bel Progresso Abbiamo Fatto! Iged
Che Bel Progresso Abbiamo Fatto! Iged
 
Critical Infrastructure Security Ict Security Anno Vi N
Critical Infrastructure Security Ict Security Anno Vi NCritical Infrastructure Security Ict Security Anno Vi N
Critical Infrastructure Security Ict Security Anno Vi N
 
Security Certification Vs Marketing Hype
Security Certification Vs Marketing HypeSecurity Certification Vs Marketing Hype
Security Certification Vs Marketing Hype
 
Paper E Sign
Paper E SignPaper E Sign
Paper E Sign
 

The Missing Link

  • 1. Forum ICT Security Sandro Fontana, CISSP CEO Secure Edge sfontana@secure-edge.com s.fontana@computer.org Roma 4 Novembre 2003
  • 4. Ich Sunt Leones/2 Internet Router (multiport/ multi protocol) Dial in Servers TELCO Partner Offices Frame Relay Network Remote router Laptop PCsRemote Router Remote Hub UNIX Server NFS Gateway Novel File Server Hub Central Router (multiport/ multiprotocol Hub Hub Groupware Server Offices Hub PCs Hub Hub PCs Windows NTServer Groupware Server Offices PCs PCs PCs Windows NTServer PCs Email/Shared File Server PCs Firewall / AV / Proxy Firewall / RAS / AV / Proxy
  • 5. Ich Sunt Leones/3 Internet Router (multiport/ multi protocol) Dial in Servers TELCO Partner Offices Frame Relay Network Remote router Laptop PCsRemote Router Remote Hub UNIX Server NFS Gateway Novel File Server Hub Central Router (multiport/ multiprotocol Hub Hub Groupware Server Offices Hub PCs Hub Hub PCs Windows NTServer Groupware Server Offices PCs PCs PCs Windows NTServer PCs Email/Shared File Server PCs Firewall / AV / Proxy Firewall / RAS / AV / Proxy
  • 6. the speed of insecurity/1 “security works in an era of (computer) worms that can spread across the Internet in 10 minutes” (Bruce Schneier - IEEE S&P, July/August 2003)
  • 7. the speed of insecurity/2
  • 8. change viewpoint non si tratta più soltanto di difendere i computer presenti nella rete aziendale da attacchi provenienti dall’esterno
  • 9. change viewpoint non si tratta più soltanto di difendere i computer presenti nella rete aziendale da attacchi provenienti dall’esterno bisogna inoltre difendere l’Enterprise Network da eventuali attacchi provenienti dalle stazioni di lavoro e dai server interni.
  • 10. the missing link Nuova responsabilità: proteggere l’Intranet dagli attacchi provenienti da computer attestati all’interno della stessa rete aziendale(*) (Chief Security Officer) Irrobustire Identificare Controllare Contrastare Rilevare (*) (garantendo l’attuale flessibilità)
  • 11. Mai dimenticare che … “la sicurezza è un processo, non è un prodotto” (Bruce Schneier)
  • 12. Goals ogni server deve poter qualificare la fonte del traffico di rete in ingresso Request Verification Worm confinement CentralManagement un Client od un Server, anche se compromesso, non deve divenire la fonte di ulteriore infezione all’interno dell’Azienda; la gestione delle contromisure deve essere centralizzata
  • 13. Una proposta Essential Point • Policy • Requirements • Management • Tools Secure Edge vede un percorso progettuale inserito all’interno del sistema di gestione della sicurezza ad es. l’ISMS della ISO/IEC 17799
  • 14. Policy Per potere accedere alla intranet ed alle sue risorse ogni macchina, sia Client che Server ed ogni Utente, deve essere autorizzato NetAccess Verification il parco dei Client e Server installato ed attivo, deve essere tenuto sotto controllo, senza necessità di gestione IP address e/o ethernet address ogni utente deve essere identificato ed autenticato con meccanismo forte Effective RT-IDS Ogni violazione alle regole precedenti deve poter essere rilevata in tempo reale Identification Authentication
  • 15. Requirements Accesso alla intranet controllato tramite: Identificazione certa dei Client e Server connessi Autenticazione forte degli utenti firewall distribuito Profilo di accesso specializzato per ruolo Network Single SignOn® Consolidamento centralizzato dei log Audit in tempo reale sugli eventi rilevanti
  • 16.
  • 17. Management Operation Manager controlla in tempo reale, lo stato delle singole macchine e dei singoli utenti attiva e gestisce gli alert, analizza i log provenienti dal parco macchine interno Policy Manager il responsabile della definizione dei profili e delle regole che devono essere applicate ai gruppi di macchine (client e server) ed ai ruoli aziendali (users)
  • 19. Gli strumenti/1 è il cuore informativo del sistema; raccoglie tutti i dati dell’ambiente PcP Enterprise Edition : – licenze Client e Server – ruoli aziendali – profili utenti – certificati di chiave pubblica di tutti gli attori coinvolti – regole di firewalling – log globali di tutte le macchine controllate – heart_beat in tempo reale PcP-EE_DB (RDBMS)
  • 20. Gli strumenti/2 permette al Policy Manager la definizione di: – gruppi di macchine: Client/Server – ruoli aziendali – profili – regole di firewalling Policy Management Tool (software client) Lavora in locale con aggiornamento del PcP-EE_DB on demand
  • 21. Gli strumenti/3 Monitor Console E’ l’interfaccia web al PcP-EE_ DB che permette all’Operation Manager: • l’interrogazione, l’elaborazione e la presentazione delle informazioni generate dai software PcP-EE in esercizio su tutte le macchine Client/Server Windows all’interno dell’Azienda; • la configurabilità e la gestione di allarmi • la memorizzazione di query ricorrenti
  • 22. Gli strumenti/4 – autenticare le licenze PcP-EE ed i singoli Users; – distribuire le Policy per i Server ed i Client oltre che le policy specifiche per lo User; – acquisire i log dalle varie stazioni ed i pacchetti informativi (heart beat) relativi al traffico di rete dei singoli sistemi – aggiornare PcP-EE_ DB centrale Policy Server è un servizio presente su uno o più sistemi all’interno dell’azienda permette di:
  • 23. Distribuited Security Agent questo software assolve una serie di compiti é presente su ogni client ed ogni server aziendale con sistema operativo Microsoft Gli Strumenti/5
  • 24. PcP-EE: duty/1 ogni macchina viene associata ad una licenza PcP-EE un utente che voglia lavorare su una macchina viene prima identificato ed autorizzato, quindi le regole di firewalling ed il profilo di protezione associato al ruolo che l’utente, in quel momento, incarna in azienda sono calate sulla macchina su cui opera ad ogni macchina vengono assegnate specifiche regole di firewalling ed il profilo di protezione del gruppo a cui la macchina appartiene
  • 25. PcP-EE: duty/2 il traffico di rete viene bloccato/abilitato, così come viene indicato dalle regole di firewalling dichiara la propria esistenza in vita tramite pacchetti statistici che fungono da HeartBeat per PcP-EE stesso viene generato il log relativo al matching delle regole di firewalling, se questa funzione è richiesta per queste regole
  • 27. per concludere … “la sicurezza è un processo, non è un prodotto” (Bruce Schneier)
  • 28. Exit