Transcript soluzioni Open Source in Ambito Enterprise di Luca Comodi
BYOD & NAC
Soluzioni Open Source in Ambito Enterprise Luca Comodi Laboratori Guglielmo Marconi
Sommario
• • • • •
Ripensiamo
la
sicurezza perimetrale BYOD Soluzioni
di sicurezza per
ambien7 enterprise Case study
: Arcispedale S. Maria Nuova (RE)
Conclusioni
La sicurezza perimetrale
• • •
Firewall
,
DMZ IDS/IPS audi7ng perimetrale
• IP limitaA
(In)sicurezza del perimetro interno
• • • • • In molte reA se ho
accesso
ad una
presa di rete
“ sono dentro ” Presenza di
client obsole7
, predisposA ad essere compromessi Presenza di
server
non
sempre
aggiorna7
e
manutenu7
a dovere
Accesso
alla
rete
senza
auten7cazione
Esigenze di
BYOD
Consumeriza7on
BYOD: Bring Your Own Device
• • • ConsenAre l'
accesso
di
disposi7vi
personali
alla rete aziendale
Aumentare
la
soddisfazione
e la
produJvità
dei collaboratori Mantenere
standard
di
sicurezza
BYOD Guest
• • • Guest
iden7fica7on Management
– SMS – ID Guest
authen7ca7on
– CapAve portal
Guest Isola7on
– Vlan isolaAon – Access list
BYOD Enterprise
• • •
Do Not BYOD/KYOD@H
–
Network Access Control
Varie forme di
auten7cazione
– – – In base al
mac Username
e
password Public Key Infrastructure
Policy enforcement
(patch, stato firewall, firme anAvirus)
• • •
Mo7vazioni a supporto delle re7 borderless Crescita
esponenziale del numero dei
device
mobili
GesAone
complessa
del
setup
di
disposi7vi
mobili
Spostamento
dei
carichi
di lavoro verso il
cloud
Borderless networks: problema7che delle aziende
• • •
Policy Enforcement
su una miriade di
OS
diversi Furto
/
Smarrimento
del
device
Minore
consapevolezza
e
mo7vazione
dell'
utente
alla
sicurezza
del device
Borderless networks: problema7che degli uten7
• •
Policy Enforcement
–
rallentamento
delle
operazioni
– obbligo a
mantenere
il
disposi7vo
aggiornato
Eventuali
malfunzionamen7
dell'architeMura di controllo implicano il
non
accesso
alla
rete
Vantaggi del BYOD per l
’
utente
• • PermeMe l ’ uso di: –
mobile devices
– servizi di
cloud compu7ng
–
social
technologies – exploratory
analy7cs
–
specialty apps OJmizzazione dei tempi
: “
finisco il lavoro mentre prendo il treno per casa
” .
BYOD per l
’
azienda
•
Aumento dei
cos7
di gesAone • •
Introduzione
rapida
di nuove
tecnologie È un processo ineludibile
• • •
Linee guida per la difesa del perimetro interno Network Management
Adozione delle
feature
di
sicurezza
messe a disposizione dagli
appara7
di rete di
fascia
alta
– – port security dhcp snooping – – root guard arp watch
Network Access Control
–
concedere
accesso
alla rete solo
DOPO
aver dimostrato di possederne l'
autorizzazione
• • • •
Case study: Arcispedale S. Maria Nuova (RE)
Circa
3k uten7
in
dominio
MicrosoZ
– Alcune
cen7naia
di
oggeJ
“
extra-‐dominio
” – – – –
Distribuzione
OS
eterogenea (da XP a 8)
Fornitori esterni
(client Linux, Apple, etc..) DisposiAvi
ele]romedicali Stampan7
di rete UPS, sensori temperatura/umidità …
Archite]ura L3
– subnet/VLAN per rack Parco
appara7
di rete
eterogeneo
– Principalmente Cisco (ca. 150) ma anche HP
Requisi7
•
Sfru]are
le
feature
di
sicurezza
offerte dagli
appara7
L2
periferici
• UAlizzare
strumen7
Open Source
– mulA-‐vendor – scalabilità – alta affidabilità – personalizzazione
ObieJvi per la realizzazione del NAC
• • •
Tutelare i da7 Me]ere in sicurezza le aree pubbliche
– Biblioteca – – Sale d'aspeMo Studi medici non presidiaA
Semplificare la
ges7one
del parco “
extra-‐ dominio
” – – –
provisioning
automaAco delle
vlan
ai client, in funzione della
iden7tà abbandonare
la
configurazione
“
per porta
”
centralizzare
la
configurazione
ObieJvi per la realizzazione del NAC
• • •
Aumentare la
sicurezza
dall'
interno
Avere strumenA di
repor7s7ca
– quando e dove si è collegato l'utente x? – dove vi sono maggiori violazioni? – qual è la distribuzione di SO/User Agent?
Offrire
servizi
controllaA ad utenA – fornire un accesso guest su rete wireline tramite
cap7ve portal
Sicurezza L2
• • • •
Port Security
–
abilitare
una
porta
ad uno
specifico MAC
–
limitare
il
numero
di
MAC
per
porta Controlli
protocollo
STP DHCP Snooping Storm Control
• • • • • • •
Mul7vendor Agentless Out-‐of-‐band Standard
(802.1x, SNMP, RADIUS,...)
Routed network Integra
diverse
soluzioni
: – – – SoH Snort Nessus/OpenVAS
High-‐Availability
Accesso alla rete
Integrazione con NMS
Integrazione con Dashboard
Conclusioni
• • • •
BYOD
e
consumeriza7on
:
realtà da ges7re PacketFence
: soluzione solida con
oJme
feature NAC
: –
Prima
del
deploy
,
proge]azione
accurata
–
Non
ignorare
la
complessità
lato
client Valore
aggiunto
nell'
integrazione
con
NMS
e
Dashboard
Questions?
Luca Comodi
Laboratori Guglielmo Marconi