La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Accesso remoto ai servizi della rete aziendale: tecnologie di protezione Alessandro Appiani Direttore tecnico Pulsar IT.

Presentazioni simili


Presentazione sul tema: "Accesso remoto ai servizi della rete aziendale: tecnologie di protezione Alessandro Appiani Direttore tecnico Pulsar IT."— Transcript della presentazione:

1 Accesso remoto ai servizi della rete aziendale: tecnologie di protezione Alessandro Appiani Direttore tecnico Pulsar IT

2 Agenda Laccesso remoto ai servizi della rete aziendale Laccesso remoto ai servizi della rete aziendale Componenti tecnologici per la sicurezza Componenti tecnologici per la sicurezza perimetrale perimetrale nelle comunicazioni di rete nelle comunicazioni di rete Tecnologie di base Tecnologie di base Remote Access allintera rete (VPN) Remote Access allintera rete (VPN) Accesso sicuro alla posta elettronica ed ai servizi Exchange Accesso sicuro alla posta elettronica ed ai servizi Exchange

3 Componenti tecnologici per la sicurezza Perimetrale Perimetrale Firewalling Firewalling protection protection Comunicazioni Comunicazioni Encryption Encryption Secure Socket Layer Secure Socket Layer Virtual Private Network Virtual Private Network Remote Access Remote Access

4 Sicurezza perimetrale

5 Firewall Uno o più componenti/dispositivi che controllano laccesso da una rete protetta verso/da Internet e/o altre reti * * Zwicky, Cooper, Chapman – Building Internet Firewalls – OReilly 1995/2000

6 Filters and Network Access Streaming Media SMTP DNS Intrusion Firewall Access Policy Allow HTTP All Destinations Internal/Protected Network External/Unsecured Network Rules Applied Streaming Media SMTP

7 Firewall in Small Business Server e in reti semplici (no dmz) A Controlled Point of Access for All Traffic that Enters the Internal Network A Controlled Point of Access for All Traffic that Enters the Internal Network A Controlled Point of Access for All Traffic that Leaves the Internal Network A Controlled Point of Access for All Traffic that Leaves the Internal Network Inside/Outside Inside/Outside Windows Server 2003 Windows Server 2003 ISA Server ISA Server

8 Windows Firewall vs ISA Server Windows Server Firewall (SBS standard) Windows Server Firewall (SBS standard) basic firewall basic firewall session level firewall (packet filtering + stateful inspection) session level firewall (packet filtering + stateful inspection) publishing esclusivamente di servizi ospitati su SBS publishing esclusivamente di servizi ospitati su SBS nessuna funzionalità Proxy e/o Cache nessuna funzionalità Proxy e/o Cache nessun controllo in uscita nessun controllo in uscita ISA Server (SBS premium) ISA Server (SBS premium) advanced enterprise firewall advanced enterprise firewall application level firewall (packet filtering + stateful inspection + application proxies) application level firewall (packet filtering + stateful inspection + application proxies) publishing anche di servizi ospitati da altri server (anche non Microsoft, es: AS/400, Linux,...) publishing anche di servizi ospitati da altri server (anche non Microsoft, es: AS/400, Linux,...) ottimizzazione banda e architettura proxy ottimizzazione banda e architettura proxy pieno controllo (user-level) in uscita pieno controllo (user-level) in uscita

9 Windows Server Firewall Windows Server Firewall SBS ICW Firewall settings SBS ICW Firewall settings

10 Sicurezza nelle comunicazioni

11 Quali problemi abbiamo con una comunicazione di rete che usa connettività pubblica come Internet? Network Monitoring Data Modification Identity Spoofing Man-in- the-Middle Password- based Password- based

12 Encrypts Data at the Application Layer Encrypts Data at the Application Layer SSL SSL TLS TLS Encrypts Data at the Network Layer (VPN) Encrypts Data at the Network Layer (VPN) Tunneling Protocol Tunneling Protocol IPSec IPSec La soluzione: la cifratura dei dati trasmessi Encrypted IP Packet

13 Crittografia Encryption Keys & Algorithms Encryption Keys & Algorithms Symmetric Encryption Symmetric Encryption Public Key Encryption (Asymmetric) Public Key Encryption (Asymmetric) Encryption Algorithm

14 Encryption Keys Key type Description Symmetric La stessa chiave è usata per cifrare e decifrare i dati Protegge i dati dallintercettazione Asymmetric Consiste in una chiave pubblica e una privata La chiave privata è protetta e confidenziale, la chiave pubblica è liberamente distribuibile Se viene usata la chiave privata per cifrare dei dati, gli stessi possono essere decifrati esclusivamente con la corrispondente chiave pubblica, e vice versa

15 How Does Symmetric Encryption Work? Original Data Cipher Text Original Data Symmetric encryption: Usa la stessa chiave per cifrare e decifrare E spesso referenziata come bulk encryption E intrinsicamente vulnerabile per il concetto di Shared secret: la chiave è condivisa Usa la stessa chiave per cifrare e decifrare E spesso referenziata come bulk encryption E intrinsicamente vulnerabile per il concetto di Shared secret: la chiave è condivisa

16 How Does Public Key Encryption Work? Process 1.The recipients public key is retrieved 2.The data is encrypted with a symmetric key 3.The symmetric key is encrypted with the recipients public key 4.The encrypted symmetric key and encrypted data are sent to the recipient 5.The recipient decrypts the symmetric key with her private key 6.The data is decrypted with the symmetric key

17 How Does Public Key Digital Signing Work? Process 1.Data is passed through a hash algorithm, producing a hash value 2.The hash value is encrypted with the senders private key 3.The senders certificate, encrypted hash value, and original data are sent to the recipient 4.The recipient decrypts the hash value with the senders public key 5.Data is passed through the hash algorithm, and the hash values are compared

18 Cosa è un Certificato Digitale? Un Certificato Digitale rappresenta le credenziali elettroniche per autenticare/riconoscere un utente (o altre entità quali i computer) in una rete Internet/Intranet Certificati: Associa in modo sicuro la public key allentità che possiede la corrispondente private key Sono firmati digitalmente da una certificate authority emittente (CA) Consente di verificare lidentità di un utente, computer, o servizio Contiene dettagli descrittivi del soggetto e dellente emittente (CA) Associa in modo sicuro la public key allentità che possiede la corrispondente private key Sono firmati digitalmente da una certificate authority emittente (CA) Consente di verificare lidentità di un utente, computer, o servizio Contiene dettagli descrittivi del soggetto e dellente emittente (CA)

19 What Is a PKI? Requirement PKI solutions Confidentiality Data encryption Integrity Digital signatures Authenticity Hash algorithms, message digests, digital signatures Nonrepudiation Digital signatures, audit logs AvailabilityRedundancy The combination of software, encryption technologies, processes, and services that enables an organization to secure its communications and business transactions

20 Components of a PKI Certification Authority Certificate and CRL Distribution Points Certificate Template Digital Certificate Digital Certificate Certificate Revocation List Public Key-Enabled Applications and Services Certificate and CA Management Tools

21 Windows Server Systems Windows Server 2003 include tutte le tecnologie ed i componenti per implementare Encryption, PKI, SSL,... Windows Server 2003 include tutte le tecnologie ed i componenti per implementare Encryption, PKI, SSL,... Inoltre in SBS2003 linfrastruttura è già configurata nel modo più semplice ed efficace possibile Inoltre in SBS2003 linfrastruttura è già configurata nel modo più semplice ed efficace possibile

22 tecnologie di base in Windows Server 2003 ed in SBS 2003 tecnologie di base in Windows Server 2003 ed in SBS 2003 ICW overview (Certificato per SSL) ICW overview (Certificato per SSL)

23 Remote Access allintera rete (VPN) una applicazione delle tecnologie di encryption

24 Virtual Private Networks (VPN) VPN Basics Una tecnologia di encryption Una tecnologia di encryption Un metodo/protocollo di Tunneling Un metodo/protocollo di Tunneling Una modalità di connessione e trasporto (Client-to-LAN, LAN-to-LAN) Una modalità di connessione e trasporto (Client-to-LAN, LAN-to-LAN) Un insieme di definizioni per Un insieme di definizioni per IP Addressing IP Addressing Authentication Authentication Authorization Authorization Auditing Auditing

25 VPN Client-to-LAN: Connecting Remote Users to a Corporate Network VPN Tunnel VPN Server Computer Remote User Internet Corporate Network

26 VPN LAN-to-LAN: Connecting Remote Networks to a Local Network VPN Tunnel VPN Server Computer Remote Network Internet Local Network VPN Server Computer

27 VPN a confronto LAN-to-LAN LAN-to-LAN prevede lutilizzo di apparati/server che gestiscono la comunicazione vpn e fanno da gateway tra le due reti prevede lutilizzo di apparati/server che gestiscono la comunicazione vpn e fanno da gateway tra le due reti encryption applicata solo nelle comunicazioni tra i gateway (tunnel-endpoint) encryption applicata solo nelle comunicazioni tra i gateway (tunnel-endpoint) encryption simmetrica di tipo Shared-Key encryption simmetrica di tipo Shared-Key IP Addressing progettare IP Addressing progettare Client-to-LAN Client-to-LAN è una tipica connessione uno (gateway/Access Point) a molti (Client) è una tipica connessione uno (gateway/Access Point) a molti (Client) encryption applicata nelle comunicazioni tra il gateway ed N client encryption applicata nelle comunicazioni tra il gateway ed N client encryption di tipo Shared-Key non adeguata (distribuzione della chiave in N posti!) encryption di tipo Shared-Key non adeguata (distribuzione della chiave in N posti!) può usare protocolli PPP-based (PPTP, L2TP) può usare protocolli PPP-based (PPTP, L2TP) per usare IPsec richiede tecniche di Asymmetric encryption (PKI, certificati,...) per usare IPsec richiede tecniche di Asymmetric encryption (PKI, certificati,...) IP Addressing semplice ed integrato IP Addressing semplice ed integrato

28 Windows Server Systems Windows Server 2003 include tutte le tecnologie ed i componenti per implementare VPN LAN-to-LAN e Client- to-LAN Windows Server 2003 include tutte le tecnologie ed i componenti per implementare VPN LAN-to-LAN e Client- to-LAN Inoltre in SBS2003 linfrastruttura è già configurata nel modo più semplice ed efficace possibile Inoltre in SBS2003 linfrastruttura è già configurata nel modo più semplice ed efficace possibile ISA Server aggiunge ulteriore protezione e semplicità di configurazione per le VPN ISA Server aggiunge ulteriore protezione e semplicità di configurazione per le VPN

29 Windows Small Business Server 2003 Componenti di sicurezza per VPN & Remote Access setup & configuration

30 Scenario di connessione router Interne t Router (ISP) SBS rete pubblica (es: /29) rete privata /24.2 xDSL Fibra ottica ISDN... rete pubblica (con NAT) (es: /24) azienda.local

31 To Do List

32 The Configure and Internet Connection Wizard This wizard provides on-screen instructions to configure the following server settings: Networking Firewall Secure Web publishing Networking Firewall Secure Web publishing

33 Windows Small Business Server Remote Access Wizard This wizard provides on-screen instructions for configuring your server for: VPN connections Dial-up connections Both VPN and dial-up connections VPN connections Dial-up connections Both VPN and dial-up connections After clicking Finish, the wizard: Configures the server according to your selected settings Creates the Client Connection Manager configuration file Configures the remote access policy to allow members of the Mobile Users group to use remote access Configures the server according to your selected settings Creates the Client Connection Manager configuration file Configures the remote access policy to allow members of the Mobile Users group to use remote access

34 Sicurezza e controllo Remote Access Account Lockout (KB816118) Remote Access Account Lockout (KB816118) Authorizing VPN Connections (Dial-in) Authorizing VPN Connections (Dial-in) Remote Access Policy Profile Packet Filtering Remote Access Policy Profile Packet Filtering Accounting, Auditing, and Monitoring Accounting, Auditing, and Monitoring

35 ICW overview (Configurazione VPN e overview pubblicazione servizi web + exchange) ICW overview (Configurazione VPN e overview pubblicazione servizi web + exchange) RAS Wizard in SBS RAS Wizard in SBS remote web workplace remote web workplace remote access VPN remote access VPN configurazione client verso azienda.it configurazione client verso azienda.it sbspackage.exe sbspackage.exe Connection Manager per Windows Server 2003 Connection Manager per Windows Server 2003

36 Accesso sicuro alla posta elettronica ed ai servizi Exchange

37 Uso di HTTPS per laccesso sicuro ai servizi Exchange Uso di HTTPS per laccesso sicuro ai servizi Exchange Overview configurazione servizi Exchange per laccesso da remoto (SBS ed exchange) Overview configurazione servizi Exchange per laccesso da remoto (SBS ed exchange) owa owa oma oma outlook-over-https outlook-over-https

38 Riferimenti e risorse Risorse tecniche per Windows Small Business Server fo/default.mspx Risorse tecniche per Windows Small Business Server fo/default.mspx fo/default.mspx fo/default.mspx Virtual Private Networks for Windows Server etworking/vpn/default.mspx Virtual Private Networks for Windows Server etworking/vpn/default.mspx etworking/vpn/default.mspx etworking/vpn/default.mspx Virtual Private Networking with Windows Server 2003: Deploying Remote Access VPNs 2003/technologies/networking/vpndeplr.mspx Virtual Private Networking with Windows Server 2003: Deploying Remote Access VPNs 2003/technologies/networking/vpndeplr.mspx 2003/technologies/networking/vpndeplr.mspx 2003/technologies/networking/vpndeplr.mspx Virtual Private Networking with Windows Server 2003: Deploying Site-to-Site VPNs 2003/technologies/networking/vpndpls2.mspx Virtual Private Networking with Windows Server 2003: Deploying Site-to-Site VPNs 2003/technologies/networking/vpndpls2.mspx 2003/technologies/networking/vpndpls2.mspx 2003/technologies/networking/vpndpls2.mspx

39 Riferimenti ed approfondimenti Microsoft Security Center Microsoft Security Center Area Technet Area Technet Security Guidance Center (IT Pro) Security Guidance Center (IT Pro) Security Guidance Center (SMB) Security Guidance Center (SMB) securityguidance/hub.mspx securityguidance/hub.mspx

40 © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.


Scaricare ppt "Accesso remoto ai servizi della rete aziendale: tecnologie di protezione Alessandro Appiani Direttore tecnico Pulsar IT."

Presentazioni simili


Annunci Google