Windows Small Business Server 2003
Fondamenti di sicurezza per le PMI. Linee guida
per la configurazione delle piattaforme, dei
sistemi, e degli apparati per l'accesso a Internet
Alessandro Appiani
Microsoft Certified Partner
Agenda

Contesto di riferimento

Obiettivi e risultati attesi

Network design & Architecture

Scenari e relative analisi

Domande, domande, domande, domande,
domande, domande, domande, domande,
domande, domande, domande, domande,
domande, domande, domande, ... 

Live Demo as needed 
Contesto di riferimento
Infrastrutture di rete per le piccole aziende
 limitato numero di PC Server e Client



es: 1, 2, 3 server
es: 4, 13, 26, 40, ... < 60/70 client
impossibilità di “giustificare economicamente” la
presenza di un IT Manager
 necessità di semplificare la tecnologia
 partner/consulente di riferimento

 il mercato di riferimento di Windows Small
Business Server 2003
Obiettivi

erogazione servizi IT allo stato dell’arte per
consentire




benefici in termini di produttività (quantità/flessibilità dei
servizi disponibili)
benefici in termini di produttività (qualità dei servizi
disponibili)
benefici in termini di produttività (fruibilità dei servizi
disponibili)
garanzie in termini di sicurezza dei dati e dei sistemi

semplicità di setup

semplicità di gestione/manutenzione
Goal (in una frase)

L'obiettivo è l'ottimizzazione del rapporto tra la
ricchezza dei servizi erogati e la complessità
dell'infrastruttura IT, che spesso determina onerosi
costi di installazione e gestione, all'interno di un
ambiente configurato con un elevato livello di
sicurezza e affidabilità
Aree tecnologiche di applicazione

Protezione delle informazioni


Accesso a Internet e connettività




documenti, posta elettronica, ...
miglior uso della banda e dei servizi
maggior controllo del traffico in & out
massima sicurezza delle comunicazioni
Messaggistica e collaborazione


posta elettronica interna e Internet
strumenti per facilitare il lavoro in team
>
>
>
>

agende e calendari di gruppo
rubriche aziendali e di gruppo
attività
fax condiviso (ricezione fax tramite posta elettronica)
strumenti per condividere documenti e informazioni con utenti
esterni
> clienti, fornitori, partner, agenti, utenza mobile
Dove agire
1.
struttura della rete interna


2.
peer o server-based
quale modello di security
architettura delle connessioni esterne
Remote Access
 Internet

3.
modalità di erogazione dei servizi agli utenti interni
ed esterni


accesso Internet
posta elettronica
Dove agire (1)
Struttura della rete interna
Struttura Peer-to-Peer
Peer-to-peer networks:
Sicurezza limitata
Nessuna gestione centralizzata
Modello non scalabile
Struttura Server-based
Resources
Clients
Server
Perchè server-based è meglio

hw-sw protetti (dedicati)

dati protetti (HD fault tolerance, backup, ...)

un solo vero punto di cui occuparsi (i client
possono/devono essere intercambiabili)

...
Sicurezza e controllo della rete interna
come gestire l’accesso alle risorse di rete ?
con 1 server è facile, ma con 2 o più ?
Resources
Server 2
Clients
Mario
Elena
Marta
Mario
Luca
Enrica
AccountDB
Server 1
AccountDB
come autenticare gli utenti
e come autorizzare l’accesso ?
Modello di security della rete interna
 contesto unico di controllo
(dominio Windows / realm)
un solo repository (punto di memorizzazione) per
utenti e password
 un solo repository per i criteri di sicurezza
 possibilità di agire sull’intera rete da un unico
punto (Active Directory)

> forzatura cambio password
> controllo dei diritti di accesso a documenti, risorse,
azioni, ...
Struttura Server-based con Active Directory
Domain
Controller
Resources
Active Directory
Active Directory-based networks:
Organizzazione, gestione e controllo centralizzato
delle risorse di rete
Unico punto di amministrazione delle risorse
Windows Small Business Server
single-server Network Solution
Resources
Clients
Windows Small Business
Server
Small Business Server & Windows Server
multi-server Network Solution
Resources
Windows Server
Clients
Windows Small Business
Server
Il server SBS come punto per la gestione
della sicurezza e il controllo del traffico
 unico punto di accesso e controllo
 firewall
 controlli a livello gateway: anti-virus, anti-spam, ...
Dove agire (2)
Architettura delle connessioni esterne
Tipologia delle connessioni

Accesso Remoto (RAS: Remote Access Service)

Accesso Internet
Remote Access

consente ad un utente remoto / esterno di connettersi alla
rete aziendale tramite una connessione dial-up (modem o
VPN)
 è fondamentale avere un controllo per
utente/password e non basato (solo) su numeri
(telefonici o IP)


per poter avere sicurezza (facilità di utilizzo, cambio
password, ...) è necessario non avere utenti/password
diversi o duplicati rispetto a quelli della rete (login unificato
anche per gli utenti esterni)
Oltre a Internet, ISDN è altamente consigliata rispetto a
PSTN (capacità di funzionare a velocità V.90, simultanea
disponibilità di Fax Server ad alte prestazioni, fax-to-mail
semplificato grazie al multi-numero)
Scenari di connettività Internet

connessioni

dominio

posta
Internet Access: quali connessioni

dial-up


modem analogico (max 56k)
ISDN
> 64k o 128k

connettività permanente (banda larga?)

ADSL
> A sta per Asymmetric
> la velocità downstream (da Internet verso la rete aziendale) è
diversa (maggiore) della velocità di upstream (dalla rete aziendale
verso Internet)
> attenzione ai servizi che usano il “verso lento”
> spedizione posta verso Internet
> accesso in VPN dall’esterno
> pubblicazione di siti e contenuti web interni


HDSL
fibra ottica
Scenari di connessione

Connettività integrata nel server




Scheda/dispositivo ISDN
Scheda/dispositivo PSTN
Scheda/dispositivo ADSL
Connettività esterna
(collegata al server tramite rete Ethernet)




Router ISDN
Router PSTN
Router ADSL, xDSL
Fibra ottica
Considerazioni

dominio Internet registrato
(azienda.it)

sito web presso ISP o interno
(www.azienda.it , web.isp.it/azienda, ...)

caselle di mail presso ISP



con dominio registrato
([email protected])
con dominio del provider
([email protected])
indirizzo IP statico o dinamico
Potenzialità di SBS

Tutte le tipologie di connessione

Tutte le casistiche di dominio DNS

Tutte le differenti modalità di ricezione e invio della
posta Internet

Tutte le possibilità di ospitare siti web e servizi
all’interno o all’esterno della rete
 Connessione guidata Internet è un ausilio per la
configurazione
Dove agire (3)
modalità di erogazione dei servizi agli
utenti interni ed esterni
Quali servizi e come erogarli

Accesso a Internet




condivisione della banda
ottimizzazione (caching)
controllo
Posta elettronica
mail tra colleghi efficienti e veloci (posta interna)
 nessun utilizzo di banda Internet per posta interna
 salvataggio dei dati di posta
 accesso alla mailbox anche dall’esterno (con tutti i
contenuti)
 dominio di posta per l’azienda (@azienda.it)
 mailbox illimitate (nessuna dipendenza dal provider)
 condivisione di contenuti mail (contatti, calendari, ...)

Quali servizi e come erogarli (segue)

Accesso alle informazioni aziendali dall’esterno







mail via Web
tutti i documenti e le applicazioni di rete (Virtual Private Network)
mailbox, calendari, contatti, ... con Outlook
appuntamenti, agende, mailbox, ... anche sul mini-display del palmare
o del telefono cellulare
sincronizzazione calendari e informazioni con il palmare
direttamente via Internet
amministrazione del sistema, dei server, e dei client via Web
Sicurezza


protezione dei dati e del server
attenzione alla trasmissione di contenuti non protetti

cifratura (encryption) delle comunicazioni Internet

uso di soli protocolli sicuri per le comunicazioni Web (HTTPS)
> utenti/password
> messaggi (es: POP3, FTP, TELNET, ...)
> VPN
> Accesso via Web ai servizi
> necessità di un certificato digitale X.509 per la cifratura
Network design & Architecture

Gli scenari di connettività influenzano e
determinano le modalità di erogazione dei servizi

Più servizi aumentano la complessità teorica
dell’infrastruttura



maggiore attenzione alla semplicità di installazione e
configurazione iniziale
maggiore attenzione alla semplicità di
gestione/manutenzione
Risultato complessivo, obiettivi iniziali e
architettura di rete e servizi, sono parametri
strettamente correlati
Vincoli per l’erogazione (1)

IP statico

Mail
> consente mail server interno per posta privata e Internet
> delivery diretta delle mail al server (MX)
> mailbox illimitate, alias, cartelle pubbliche di gruppo, liste di
distribuzione pubbliche (segreteria, vendite, ...)


Possibilità di erogare servizi verso l’esterno e di farli
raggiungere da Internet
Dominio aziendale pubblico (registrato) di secondo
livello (es: azienda.it)

consente di assegnare nomi ai server e ai servizi
pubblicati in Internet
> server.azienda.it, mail.azienda.it, vpn.azienda.it, ...


consente di usare indirizzi mail uniformi @azienda.it
consente l’attribuzione libera di caselle mail
Vincoli per l’erogazione (2)

Connettività stabile (banda larga)

Accesso dall’esterno
> consente connessione VPN verso la rete aziendale
> consente la pubblicazione di servizi aziendali via web (meglio
attribuire un nome pubblico al server [record A nel DNS pubblico],
ad esempio: sbs.azienda.it)
>
>
>
>
>
>
mailbox via web (owa)
amministrazione via web
intranet via web
outlook dall’esterno (outlook in rpc-over-https)
lettura mail via web ottimizzata per palmare (oma)
sincronizzazione dati palmare via web (active sync server)
Scenario di connessione modem
Interne
t
xDSL
ISDN
PSTN
...
.2
rete pubblica
(es: 193.205.245.25)
IP dinamico o statico
azienda.local
SBS
rete privata
10.0.1.0/24

SBS gestisce direttamente la connessione
Scenari di connessione router (1)

SBS connesso come se fosse un client
 impossibile usare le funzionalità di controllo (firewall) e di
pubblicazione automatica (vpn, web, mail, ...)
di SBS
Scenari di connessione router (2)

SBS come punto di controllo tra i client della LAN privata ed
il mondo esterno (router)
 disponibili tutte le funzionalità di protezione (firewall) e di
pubblicazione automatica (vpn, web, mail, ...)
di SBS!!!
Scenari di connessione router (2 - segue)
SBS con 2 schede di rete: netta separazione privato (inside)
/ pubblico (outside)
 solo SBS nella LAN del router
 se router con funzioni filtro/firewall: attenzione all’aumento
di complessità nella gestione/controllo di malfunzionamenti
 il doppio livello raramente aggiunge realmente protezione
in tipologie di rete di queste dimensioni
 se router implementa NAT (IP addressing privato sul lato
ethernet del router) possibile limitazione dell’accesso VPN
(no IPsec, consente NAT-T ?)

Scenario di connessione router

Interne
t
xDSL
Fibra ottica
ISDN
...
Internet
Router
(ISP)
un ambiente di esempio/test
rete pubblica
(es: 193.205.245.24/29)
.10
.1
infosec2004.local
.112
rete pubblica (con NAT)
(es: 192.168.0.0/24)
SBS
rete privata
10.0.1.0/24
La rete ideale 2004
cosa possiamo dare agli utenti oggi
Cosa vorrebbero le piccole aziende

accesso a Internet efficiente e sicuro

protezione dai pericoli della Rete pubblica
> virus, software dannosi, spamming, attacchi intenzionali, ...

controllo del traffico in uscita
> differenziare: non tutti devono avere le stesse capacità di accesso
> ottimizzare: Internet per lavoro è più importante dell’Internet per diletto
(musica, film, ...)
> controllare: contenuti fidati (siti), aspetti legali, ...


prestazioni (banda larga, ottimizzazioni/cache)
servizi avanzati e produttivi



identificazione tramite un dominio internet aziendale (sito, mail)
invio e ricezione della posta interna e Internet in tempo reale
accesso sicuro dall’esterno alla posta, ai documenti di rete, ai
calendari delle attività, alle applicazioni di rete, ed in generale a tutti
i servizi (e magari non solo per gli utenti dotati di notebook ...)
L’ambiente consigliato
Con Windows Small Business Server otteniamo il massimo nel modo più semplice!




Windows Small Business Server come gestore primario della
configurazione di rete, degli utenti, della sicurezza delle
risorse
Connettività in banda larga con IP statico tramite router
esterno (o eventualmente modem); non necessita delle
funzionalità di firewall, di filtri e di NAT [se non ci sono,
configurazione e gestione sono notevolmente semplificate]
Dominio aziendale registrato (azienda.it)
Gestione DNS e web pubblico al provider, tutto il resto in
azienda


sbs come mail exchanger primario (MX) con mailbox interne e
illimitate
indirizzo del server pubblicato nel dns del provider (es: sbs.azienda.it)
L’ambiente consigliato (segue)
Con Windows Small Business Server otteniamo il massimo nel modo più semplice!

Protezione dai pericoli di Internet





pubblicazione web sicura grazie al Certificato SSL del
server
installare un anti-virus sul server attivo sulle funzionalità
di gateway (Microsoft Exchange, ..) e di controllo
documenti (File System)
Software Update Service per patching efficiente della
piattaforma
eventuale anti-spamming server (Exchange IMF in arrivo!)
Controllo della navigazione degli utenti (e cache dei
contenuti) con la versione Premium (ISA Server)


controllo del traffico in uscita
maggior controllo del traffico in ingresso (Intrusion
Detection)
Riferimenti e risorse

Risorse tecniche per Windows Small Business Server 2003
http://www.microsoft.com/italy/windowsserver2003/sbs/techinfo/defau
lt.mspx

Windows Small Business Server 2003 Getting Started Guide
http://www.microsoft.com/technet/prodtechnol/sbs/2003/plan/gsg/sb
sgsgab.mspx

MOC Course 2395: Design, Deploy, and Manage a Network
Solution for a Small and Medium Business
http://www.microsoft.com/traincert/syllabi/2395AFinal.asp

Exam 70-282: Design, Deploy, and Manage a Network Solution
for a Small- and Medium-Sized Business
http://www.microsoft.com/learning/exams/70-282.asp