Comments
Description
Transcript
Luca Comodi
BYOD & NAC Soluzioni Open Source in Ambito Enterprise Luca Comodi Laboratori Guglielmo Marconi Sommario • • • • • Ripensiamo la sicurezza perimetrale BYOD Soluzioni di sicurezza per ambien7 enterprise Case study: Arcispedale S. Maria Nuova (RE) Conclusioni La sicurezza perimetrale • Firewall, DMZ • IDS/IPS • audi7ng perimetrale • IP limitaA (In)sicurezza del perimetro interno • In molte reA se ho accesso ad una presa di rete “sono dentro” • Presenza di client obsole7, predisposA ad essere compromessi • Presenza di server non sempre aggiorna7 e manutenu7 a dovere • Accesso alla rete senza auten7cazione • Esigenze di BYOD Consumeriza7on BYOD: Bring Your Own Device • ConsenAre l'accesso di disposi7vi personali alla rete aziendale • Aumentare la soddisfazione e la produJvità dei collaboratori • Mantenere standard di sicurezza BYOD Guest • Guest iden7fica7on Management – SMS – ID • Guest authen7ca7on – CapAve portal • Guest Isola7on – Vlan isolaAon – Access list BYOD Enterprise • Do Not BYOD/KYOD@H – Network Access Control • Varie forme di auten7cazione – In base al mac – Username e password – Public Key Infrastructure • Policy enforcement (patch, stato firewall, firme anAvirus) Mo7vazioni a supporto delle re7 borderless • Crescita esponenziale del numero dei device mobili • GesAone complessa del setup di disposi7vi mobili • Spostamento dei carichi di lavoro verso il cloud Borderless networks: problema7che delle aziende • Policy Enforcement su una miriade di OS diversi • Furto/Smarrimento del device • Minore consapevolezza e mo7vazione dell'utente alla sicurezza del device Borderless networks: problema7che degli uten7 • Policy Enforcement – rallentamento delle operazioni – obbligo a mantenere il disposi7vo aggiornato • Eventuali malfunzionamen7 dell'architeMura di controllo implicano il non accesso alla rete Vantaggi del BYOD per l’utente • PermeMe l’uso di: – mobile devices – servizi di cloud compu7ng – social technologies – exploratory analy7cs – specialty apps • OJmizzazione dei tempi: “finisco il lavoro mentre prendo il treno per casa”. BYOD per l’azienda • Aumento dei cos7 di gesAone • Introduzione rapida di nuove tecnologie • È un processo ineludibile Linee guida per la difesa del perimetro interno • Network Management • Adozione delle feature di sicurezza messe a disposizione dagli appara7 di rete di fascia alta – port security – dhcp snooping – root guard – arp watch • Network Access Control – concedere accesso alla rete solo DOPO aver dimostrato di possederne l'autorizzazione Case study: Arcispedale S. Maria Nuova (RE) • Circa 3k uten7 in dominio MicrosoZ – Distribuzione OS eterogenea (da XP a 8) • Alcune cen7naia di oggeJ “extra-‐dominio” – Fornitori esterni (client Linux, Apple, etc..) – DisposiAvi ele]romedicali – Stampan7 di rete – UPS, sensori temperatura/umidità … • Archite]ura L3 – subnet/VLAN per rack • Parco appara7 di rete eterogeneo – Principalmente Cisco (ca. 150) ma anche HP Requisi7 • Sfru]are le feature di sicurezza offerte dagli appara7 L2 periferici • UAlizzare strumen7 Open Source – mulA-‐vendor – scalabilità – alta affidabilità – personalizzazione ObieJvi per la realizzazione del NAC • Tutelare i da7 • Me]ere in sicurezza le aree pubbliche – Biblioteca – Sale d'aspeMo – Studi medici non presidiaA • Semplificare la ges7one del parco “extra-‐ dominio” – provisioning automaAco delle vlan ai client, in funzione della iden7tà – abbandonare la configurazione “per porta” – centralizzare la configurazione ObieJvi per la realizzazione del NAC • Aumentare la sicurezza dall'interno • Avere strumenA di repor7s7ca – quando e dove si è collegato l'utente x? – dove vi sono maggiori violazioni? – qual è la distribuzione di SO/User Agent? • Offrire servizi controllaA ad utenA – fornire un accesso guest su rete wireline tramite cap7ve portal Sicurezza L2 • Port Security – abilitare una porta ad uno specifico MAC – limitare il numero di MAC per porta • Controlli protocollo STP • DHCP Snooping • Storm Control • • • • • • Mul7vendor Agentless Out-‐of-‐band Standard (802.1x, SNMP, RADIUS,...) Routed network Integra diverse soluzioni: – SoH – Snort – Nessus/OpenVAS • High-‐Availability Accesso alla rete Integrazione con NMS Integrazione con Dashboard Conclusioni • BYOD e consumeriza7on: realtà da ges7re • PacketFence: soluzione solida con oJme feature • NAC: – Prima del deploy, proge]azione accurata – Non ignorare la complessità lato client • Valore aggiunto nell'integrazione con NMS e Dashboard Questions? Luca Comodi [email protected] Laboratori Guglielmo Marconi