BYOD & NAC

Soluzioni  Open  Source  in  Ambito  Enterprise   Luca Comodi Laboratori Guglielmo Marconi

Sommario  

•   •   •   •   •  

Ripensiamo

 la  

sicurezza  perimetrale   BYOD   Soluzioni

 di  sicurezza  per  

ambien7  enterprise   Case  study

:  Arcispedale  S.  Maria  Nuova  (RE)  

Conclusioni  

La  sicurezza  perimetrale  

•   •   •  

Firewall

,  

DMZ   IDS/IPS   audi7ng  perimetrale

  •   IP  limitaA    

(In)sicurezza  del  perimetro  interno  

•   •   •   •   •   In  molte  reA  se  ho  

accesso

 ad  una  

presa  di   rete  

“ sono  dentro ”   Presenza  di  

client  obsole7

,    predisposA  ad   essere  compromessi   Presenza  di  

server

 

non

 sempre  

aggiorna7

 e  

manutenu7

 a  dovere  

Accesso

 alla  

rete

 

senza

 

auten7cazione  

Esigenze  di  

BYOD

 

Consumeriza7on  

BYOD:  Bring  Your  Own  Device  

  •   •   •   ConsenAre  l'

accesso

  di  

disposi7vi

 

personali

 alla  rete   aziendale  

Aumentare

 la  

soddisfazione

 e  la  

produJvità

 dei   collaboratori   Mantenere  

standard

  di  

sicurezza

   

BYOD  Guest  

•   •   •   Guest  

iden7fica7on  Management  

–   SMS   –   ID   Guest  

authen7ca7on  

–   CapAve  portal  

Guest  Isola7on  

–   Vlan  isolaAon   –   Access  list  

BYOD  Enterprise  

•   •   •  

Do  Not  BYOD/KYOD@H  

–  

Network  Access  Control  

Varie  forme  di  

auten7cazione  

–   –   –   In  base  al  

mac   Username

 e  

password   Public  Key  Infrastructure

   

Policy  enforcement  

(patch,  stato  firewall,  firme   anAvirus)  

•   •   •  

Mo7vazioni  a  supporto  delle  re7   borderless   Crescita

  esponenziale  del   numero  dei  

device

 

mobili  

GesAone  

complessa

 del  

setup

   di  

disposi7vi

 mobili  

Spostamento

 dei  

carichi

 di  lavoro   verso  il  

cloud  

Borderless  networks:   problema7che  delle  aziende  

  •   •   •  

Policy  Enforcement  

su  una  miriade  di  

OS

 

diversi   Furto

/

Smarrimento

 del  

device  

Minore  

consapevolezza

 e  

mo7vazione

  dell'

utente

 alla  

sicurezza

 del  device  

Borderless  networks:   problema7che  degli  uten7  

•   •  

Policy  Enforcement  

–  

rallentamento

 delle  

operazioni  

–   obbligo  a  

mantenere

 il  

disposi7vo

 

aggiornato  

Eventuali  

malfunzionamen7

 dell'architeMura   di  controllo  implicano  il  

non

 

accesso

 alla  

rete

   

Vantaggi  del  BYOD  per  l

’

utente  

•   •   PermeMe  l ’ uso  di:   –  

mobile  devices  

–   servizi  di  

cloud  compu7ng    

–  

social

 technologies   –   exploratory  

analy7cs  

–  

specialty  apps       OJmizzazione  dei  tempi

:   “

finisco  il  lavoro  mentre   prendo  il  treno  per  casa

” .  

BYOD  per  l

’

azienda  

•  

Aumento  dei

 

cos7

 di  gesAone   •   •  

Introduzione

 

rapida

  di  nuove  

tecnologie   È  un  processo   ineludibile  

•   •   •  

Linee  guida  per  la  difesa  del     perimetro  interno   Network  Management  

Adozione  delle  

feature

 di  

sicurezza

 messe  a   disposizione  dagli  

appara7

 di  rete  di  

fascia

 

alta

    –   –   port  security   dhcp  snooping   –   –   root  guard   arp  watch    

Network  Access  Control  

–  

concedere

 

accesso

 alla  rete  solo  

DOPO

 aver   dimostrato  di  possederne  l'

autorizzazione  

•   •   •   •  

Case  study:  Arcispedale  S.  Maria   Nuova  (RE)    

Circa  

3k  uten7  

in  

dominio

 

MicrosoZ  

–   Alcune  

cen7naia

 di  

oggeJ

  “

extra-­‐dominio

”   –   –   –   –  

Distribuzione

 

OS

 eterogenea  (da  XP  a  8)  

Fornitori  esterni  

(client  Linux,  Apple,  etc..)   DisposiAvi  

ele]romedicali   Stampan7

 di  rete   UPS,  sensori  temperatura/umidità  …  

Archite]ura  L3  

–   subnet/VLAN  per  rack   Parco  

appara7

 di  rete  

eterogeneo  

–   Principalmente  Cisco  (ca.  150)  ma  anche  HP  

Requisi7  

•  

Sfru]are

 le  

feature

 di  

sicurezza

 offerte  dagli  

appara7

 L2  

periferici  

•   UAlizzare  

strumen7

 

Open  Source  

–   mulA-­‐vendor   –   scalabilità   –   alta  affidabilità   –   personalizzazione  

ObieJvi  per  la  realizzazione  del  NAC  

•   •   •  

Tutelare  i  da7   Me]ere  in  sicurezza  le  aree  pubbliche  

–   Biblioteca   –   –   Sale  d'aspeMo   Studi  medici  non  presidiaA    

Semplificare  la

 

ges7one

 del  parco   “

extra-­‐ dominio

”   –   –   –  

provisioning

 automaAco  delle  

vlan

 ai  client,  in   funzione  della  

iden7tà   abbandonare

 la  

configurazione

  “

per  porta

”  

centralizzare

 la  

configurazione

 

ObieJvi  per  la  realizzazione  del  NAC  

•   •   •  

Aumentare  la

 

sicurezza

 dall'

interno  

Avere  strumenA  di  

repor7s7ca  

–   quando  e  dove  si  è  collegato  l'utente  x?   –   dove  vi  sono  maggiori  violazioni?   –   qual  è  la  distribuzione  di  SO/User  Agent?    

Offrire

 

servizi

 controllaA  ad  utenA   –   fornire  un  accesso  guest  su  rete  wireline  tramite  

cap7ve  portal  

Sicurezza  L2  

•   •   •   •  

Port  Security  

–  

abilitare

 una  

porta

 ad  uno  

specifico  MAC      

–  

limitare

 il  

numero

 di  

MAC

 per  

porta   Controlli

 protocollo  

STP   DHCP  Snooping   Storm  Control  

•   •   •   •   •   •   •  

Mul7vendor   Agentless   Out-­‐of-­‐band       Standard

 (802.1x,  SNMP,  RADIUS,...)  

Routed  network   Integra  

diverse

 soluzioni

:   –   –   –   SoH     Snort   Nessus/OpenVAS  

High-­‐Availability  

Accesso  alla  rete  

Integrazione  con  NMS  

Integrazione  con  Dashboard  

Conclusioni  

•   •   •   •  

BYOD

 e  

consumeriza7on

:  

realtà  da  ges7re   PacketFence

:  soluzione  solida  con  

oJme

 

feature   NAC

:     –  

Prima

 del  

deploy

,  

proge]azione

 

accurata  

–  

Non

 

ignorare

 la  

complessità

 lato  

client   Valore

 

aggiunto

 nell'

integrazione

 con  

NMS

 e  

Dashboard  

Questions?

Luca Comodi

[email protected]

Laboratori Guglielmo Marconi