L'esperienza Microsoft per la realizzazione di una rete sicura PierGiorgio Malusardi Evangelist - IT Professional Microsoft Agenda • • • • Introduzione Processi Tecnologie Persone Introduzione • Di cosa parleremo? • Del modello Microsoft per la costruzione e la gestione di una rete sicura • Il modello usato per creare e gestire la rete Microsoft • Vogliamo condividere con voi l’esperienza che abbiamo fatto costruendo la nostra rete • Perché pensiamo che sia un modello valido e applicabile da tutti… • Adeguandolo alle diverse realtà Da dove nasce la nostra esperienza? 300000+ device di rete 6000 server 90000 mailbox 110 server Exchange 36 server per le mailbox Stockholm Dublin Benelux Munich Chicago Thames Valley Park Canyon Park, Les Ulis Milan Redmond Madrid Silicon Valley Charlotte Las Colinas Dubai Chofu & Otemachi Singapore 400 applicazioni LOB principale 26 milioni di chiamate vocali al mese 55000 dipendenti 400+ siti Microsoft supportati nel mondo Sao Paulo Johannesburg Sydney 6-7M messaggi e-mail al giorno Le basi del modello Persone Tecnologie Processi Sicurezza Processi La Missione Stima dei Rischi Verifica Definizione delle Politiche Prevenire usi maligni o non autorizzati che risultino in un danno o perdita di produttività attraverso operazioni sistematiche di stima, comunicazione e moderazione dei rischi Controllo La Visione Un ambiente IT costituito da servizi, applicazioni e infrastrutture che implicitamente prevedono disponibilità, riservatezza, e sicurezza per ogni utente • Cinque Assicurazioni di Fiducia – La mia identità non è compromessa – Le risorse sono sicure e disponibili – Dati e comunicazioni sono private – Ruoli e responsabilità sono chiaramentre definiti – C’è una risposta rapida ai rischi e pericoli Principi Operativi Definiti • Impegno di Gestione – Gestione dei Rischi in accordo con gli obbiettivi di business – Definire ruoli e responsabilità operative • Utenti e Dati – Applicare la pratica dei minimi privilegi necessari – Forzare strettamente la riservatezza e le regole di riservatezza • Sviluppo di Sistemi e Applicazioni – Costruire la sicurezza nel ciclo di vita dei sistemi/applicazioni – Sviluppare una difesa multilivello e ridurre la superficie di attacco • Operazioni e manutenzione – Integrare la sicurezza nel framework delle operazioni – Allineare le funzioni di controllo, verifica e risposta alle funzioni operative Modello di Rischio (Definito dal Business Owner) Impatto sul Business Alto Rischi inaccettabili La stima dei rischi guida verso risci accettabili Rischi Accettabili Basso Basso Probabilità di Exploit (Definito dalla Corporate Security) Alto Analisi dei Rischi per Classe di Asset Exploit di configurazioni errate, buffer overflows, Share Aperti, Attacchi NetBIOS Host Applicazioni Accesso non autenticato alle applicazioni, Allocazione di memoria non verificata Sniffing dei dati sul cavo, network fingerprinting Rete Asset Account Compromissione dell’integrità o della riservatezza degli account Trust Trust non gestiti consentono movimenti tra ambienti diversi Componenti dell’analisi dei Rischi Asset Pericoli Cosa cerchi di usare? Cosa temi possa accadere? Vulnerabilità Mitigazione Come il pericolo potrebbe realizzarsi? Cosa attualmente può ridurre il rischio? Impatto Probabilità Qual’è l’impatto sul business? Con quale probabilità può verificarsi l’evento dannoso? + = Livello attuale di rischio Qual’è la probabilità che il pericolo possa superare il controllo e la vulnerabilità risulti un un exploit che danneggi l’asset? Processi e Ruoli della Gestione dei Rischi Corporate Security Prioritizzazione dei rischi 1 Policy di Sicurezza 2 Compliance 5 Team-IT Esteso Soluzioni di Sicurezza & Iniziative Prioritizzazione Tattica 3 Operazioni 4 Priorità Tattiche per Ambiente Ecosistemi IT Data Center Client Rischi Prioritizzati Client non gestiti Accesso Remoto Mobile Politiche e tattiche di mitigazzione appropriate per ogni ambiente Defense in Depth • Sicurezza a tutti i livelli: – Aumenta per gli attaccanti la possibilità di essere scoperti – Riduce le probabilità di riuscita dell’attacco Politiche, Procedure, Consapevolezza Educazione degli Utenti Sicurezza Fisica Guardie, Serrature, Device di accesso Dati ACL, Criptatura, EFS Applicazioni Hardening delle Appl, antivirus Sistema Operativo Hardening, Autenticazione, patch management, HIDS Rete Interna Segmentazione, IPSec, NIDS Perimetro Firewalls, Network Access Quarantine Control COME? Tecnologie Difesa Perimetrale • È il confine della nostra azienda… • Come tutti i confini va controllato e se necessario difeso • Ci sono due aspetti da considerare: – Accesso ad internet e pubblicazione delle risorse – Accesso da remoto alla rete aziendale Difesa Perimetrale Accesso a Internet e Pubblicazione ISA Server 2004 Enterprise • • • • Come ISA 2004 Standard Supporto al Clustering Array di ISA 2004 Regole condivise ISA Server 2004 Standard Internet Connection • NAT/PAT • Packet Filtering Statico • • • • • • NAT/PAT - Routing Packet Filtering Dinamico Regole di Accesso Regole di Pubblicazione Application Filter Prestazioni Difesa Perimetrale Diverse Configurazioni Bastion host LAN Configurazione Three-legged LAN Web Server Perimeter Network Configurazione Back-to-back LAN Perimeter Network Internet Difesa Perimetrale Accesso da Remoto ISA Server 2004 Enterprise • Come ISA 2004 Standard ISA Server 2004 Standard RRAS • Accesso Dial-In • VPN Server • Reti di Quarantena (anche VPN in SP1) • Dial-In • VPN • Reti di Quarantena per Dial-In e VPN • Applicazione FW di regole di accesso anche al traffico VPN Difesa Perimetrale Accesso da Remoto: Dial-in – VPN – Wireless DC RRAS ISA2004 Ufficio Remoto RADIUS Microsoft® Secure Network Access Infrastructure Standard Interoperabili e Sistemi Aperti Active Directory e Microsoft CA Sistema di Directory ADSI con login LSA Contenuti - Servizi Autenticazione: • EAP-TLS e PEAP Criptatura del Link • PPTP • L2TP • WEP Controllo di accesso alla rete Access Point Client Windows IAS o RADIUS Standard Access Point basato su standard RRAS o ISA 2004 (in questo caso Reti di Quarantena) Windows 2000 o Windows XP Rete Interna Identità di Rete Utente Fidato Cosa costituisce l’identità dell’utente? • Username+password ? • Token card ? • Certificati ? • Apparteneza a Gruppi di Sicurezza ? Se mi fido della persona mi posso fidare della macchina? Macchina Fidata Cosa costituiscse l’identità della macchina? • Token ? • Sistema Operativo ? • Connessione ? • Apparteneza ad un Dominio ? • La configurazione del Sistema ? Se mi fido della macchina mi posso fidare dell’utente? Il sistema di Autenticazione deve essere ricco Rete Interna Modello di Autenticazione Client Servizio IT (SQL, Exchange, File) Active Directory Directory System Richiesta di Accesso al Servizio Richiesta di Autenticazione Autenticazione Autenticazione Autorizzazione Accesso al Servizio Il modello di accesso ai servizi IT deve essere esteso all’infrastruttura Rete Interna Modello di Autenticazione Esteso Active Directory Directory System Servizio di Rete Servizio IT Richiesta di Servizio Autenticazione Autorizzazione Client Accesso al Servizio L’autenticazione deve essere End-to-End Ora: Reti di Quarantena per VPN/Dial-In Domani: NAP Possibile fiducia basata su ticket dopo autenticazion (es. Kerberos) Rete Interna Altre tecniche di protezione • • • • NIDS Segmentazione Firewall Interni IPSec (Attenzione: usare con parsimonia) Sistema Operativo • Il passaggio a Windows Server 2003 è il primo passo: – Revisione completa del codice alla ricerca di punti critici – Packet filtering integrato (firewall con SP1) – Minore superficie d’attacco (più di 20 servizi non installati o disabilitati rispetto a Windows 2000 Server) Sistema Operativo • Windows Server 2003 Hardening Guide – Insieme di Template di Sicurezza per configurare nel modo più sicuro Windows Server 2003 in base al Ruolo: • • • • • • Domain Controller DHCP, DNS, WINS File Server Printer Server Application Server Bastion Host – Verifica regolare della configurazione con RSoP e Security Configuration and Analisys – Applicazione forzata della configurazione con Group Policy Sistema Operativo • Applicazione Regolare delle Patch • Ci sono diversi tools a disposizione a seconda della dimensione dell’azienda – Per l’analisi: • MBSA • SMS 2003 – Per l’applicazione • Windows Update, • SUS • SMS 2003 Sistema Operativo • HIDS • Revisione Regolare dei Log • Sistemi di Gestione delle Operazioni (Es. MOM2005) • Installazione di antivirus Persone Persone • Sono l’anello più debole della catena – Password non protette o facilmente ricavabili – Software malevolo o non consentito – Fiducia malriposta (social engineer) –… • La tecnologia aiuta, ma solo in parte Persone L’aiuto della tecnologia • Group Policy per la definizione e l’imposizione di un ambiente di lavoro definito • Software Restriction Policy per aiutare a definire il software consentito • Firewall lato client per proteggere gli utenti che si connettono da reti non sicure • EFS per proteggere i dati sui singoli PC, specie se devono uscire dall’azienda • Antivirus e applicazione regolare delle patch • Password complesse o Autenticazione Multifattore • HIDS Persone L’aiuto delle procedure • Definizione di politiche d’uso degli asset aziendali: – Chiare e certe – Non eccessivamente dure ne troppo lasche – Facilmente rintracciabili – Costantemente aggiornate • La 196/2003 deve essere vista come un’occasione per rivedere (o definire) le procedure interne e le responsabilità Persone • Formazione, Formazione, Formazione – Rendere gli utenti responsabili in prima persona della sicurezza aziendale – Trovare uno stimolo positivo all’adesione alle politiche aziendali – Chiarire i pericoli e le modalità per mitigarli – Ripetere costantemente il messaggio • “L’Arte dell’inganno” - Kevin Mitnick