Infrastruttura Tecnologica Stato Futuro della connettività e sicurezza per le Agenzie Milano, 22 luglio 2003
Introduzione Il presente documento è stato redatto secondo alcuni principi di seguito schematizzati : Gli studi inerenti il networking e la sicurezza sono affrontati in parallelo, infatti esiste un legame di dipendenza tra i due aspetti che ne rende imprescindibile uno studio integrato. Ipotesi di partenza per la creazione dei contenuti di questa presentazione è la scelta da parte di ERGO Italia dell’applicazione di Frontend I@ssicur. Nelle soluzioni di seguito proposte è stato preservato il concetto di Reusability, ossia la possibilità di riutilizzare l’infrastruttura di sicurezza e di networking in ottica di futuri aggiornamenti delle applicazioni di Frontend. 2
Agenda: Obbiettivi del documento; I requisiti; L’architettura infrastrutturale; La tecnologia a supporto. 3
Obbiettivi del documento Obbiettivo di questo documento è fornire le linee guida architetturali dell’infrastruttura di sicurezza e connettività legate alla soluzione di Frontend con le agenzie ed ispettorati del gruppo Ergo Italia; L’approvazione di questo lavoro e la definizione di un architettura definitiva, sono attività propedeutiche per poter stilare una richiesta d’offerta di connettività e sicurezza ai fornitori di servizi in Outsourcing. 4
I requisiti di riferimento per l’analisi architetturale Gli studi, oggetto di questo documento, partano da alcuni requisiti di seguito schematizzati: Utenti Agenzie: Connessione alle applicazioni di Frontend in sicurezza; Possibilità di navigare su Internet indipendentemente dalla struttura Direzionale di Ergo Italia; Possibilità di condividere risorse tra PC delle Lan di Agenzia (dove previsto); Promotori: Come le Agenzie; Utilizzo di soluzioni mobile; Strumenti di Strong Autentication per il login ai sistemi Direzionali; Ispettorati: Accesso alle applicazioni di Frontend; Accesso ad alcune applicazioni di Backend; Accesso ad Internet utilizzando la direzione Ergo Italia come Gateway; Contenimento dei costi di infrastruttura; Flessibilità della soluzione; Outsourcing delle infrastrutture di connettività. 5
L’architettura Infrastrutturale Di seguito vengono illustrate le caratteristiche dell’infrastruttura necessaria ad implementare connettività e sicurezza per le Agenzie ed Ispettorati: Architettura fisica dell’infrastruttura di connettività e sicurezza; Modalità di connessione delle Agenzie ed Ispettorati… Mappatura delle modalità di connessione di Agenzie e Ispettorati. 6
Architettura fisica dell’infrastruttura di connettività e sicurezza Agenzie dotate di singolo PC CISCO VPN Software Client; Personal Firewall Hub&RouterADSL Agenzie dotate di Rete Locale (LAN) CISCO VPN Software Client; Personal Firewall Modem ADSL Rete Locale Ispettorati ERGO VPN Postazione Mobile Promotori VPN CISCO VPN Software Client; Personal Firewall MPLS Router Numero Verde ISP Rete MPLS VPN BackUP ISDN Token Authentication bilanciati CISCO VPN Concentrator Classe 3000 Zona Demilitarizzati (DMZ) ERGO Rete Locale (LAN) ERGO DMZ1 Access Server Radius Server Corporate Applications Clients IDS FIREWALL Checkpoint NG Token Authentication Server DMZ2 I@SSICUR Server ICOMP Server FTP Server Mainframe Applications 7
Modalità di connessione delle Agenzie ed Ispettorati… (Segue) L’architettura definita, permette la connessione di utenti con diverse esigenze infrastrutturali alle applicazioni di Frontend. Sono state analizzate le modalità di connessione secondo il seguente ordine: Promotore dotato di postazione mobile; Agenzia dotate di singolo PC; Agenzia dotate di rete Locale (LAN); Ispettorati. 8
Modalità di connessione delle Agenzie ed Ispettorati… (Segue) Promotore dotato di postazione mobile: L’utente è dotato di Laptop e si collega alla rete Internet per mezzo di un Numero Verde Dati messo a disposizione dall’Outsourcer di connettività. Instaura una connessione criptata per mezzo di VPN Client Software installato sul suo Laptop con la Direzione ERGO Italia. Questa tipologia di utenza è dotata di strumenti di Strong Authentication quali Token\SecureID per il riconoscimento delle credenziali utente. Una volta autenticato l’utente è in grado di operare con le applicazioni di Frontend (I@ssicur). La navigazione su rete Internet per attività di ricerca, navigazione, scouting ecc.; è garantita da opportune configurazioni del VPN Client che consentono di dividere il traffico verso l’applicazione di Frontend e quello di normale navigazione della rete (Split Tunnelling) 9
Modalità di connessione delle Agenzie ed Ispettorati… (Segue) Agenzia dotate di singolo PC: L’agenzia è dotata di un singolo PC e si collega attraverso un modem ADSL alla rete Internet; instaura un tunnel criptato attraverso il VPN client installato sul suo PC verso la direzione ERGO Italia. Viene autenticato attraverso Username/Password. Una volta autenticato l’utente è in grado di operare con le applicazioni di Frontend (I@ssicur). La navigazione su rete Internet per attività di ricerca, navigazione, scouting ecc. è garantita da opportune configurazioni del VPN Client che consentono di dividere il traffico verso l’applicazione di Frontend e quello di normale navigazione della rete (Split Tunnelling) 10
Modalità di connessione delle Agenzie ed Ispettorati… (Segue) Agenzia dotate di rete Locale (LAN); L’agenzia è dotata di una piccola infrastruttura di rete messa a disposizione e gestita dall’Outsourcer. I PC di questa rete accedono alla rete Internet per mezzo di un Router con funzionalità di Natting (mascheramento della rete interna) e funzionalità di HUB per la condivisione di File e Stampanti. I PC sono dotati di VPN Client Software che consente di instaurare un canale criptato con la direzione ERGO Italia. Gli utenti Vengono autenticati per mezzo di Username e Password. Una volta autenticati, gli utenti sono in grado di operare con le applicazioni di Frontend (I@ssicur). La navigazione su rete Internet per attività di ricerca, navigazione, scouting ecc. è garantita da opportune configurazioni del VPN Client che consentono di dividere il traffico verso l’applicazione di Frontend e quello di normale navigazione della rete (Split Tunnelling) 11
Modalità di connessione delle Agenzie ed Ispettorati… (Fine) Ispettorati: Gli ispettorati accedono sia alle applicazioni di Frontend sia ad alcune applicazioni erogate da Server posizionati all’interno della Lan di Ergo Italia. Per questo tipo di utenza è stata identificata un’infrastruttura di connettività e sicurezza privata basata su tecnologia MPLS. Gli utenti degli Ispettorati saranno in grado di : Accedere alle applicazioni di Frontend I@ssicur; Accedere alla rete LAN di ERGO Italia filtrati per mezzo di ACL definite sul Firewall; Accedere alla rete Internet utilizzando ERGO Italia come Gateway; L’autenticazione è garantita da Username\Password. 12
Mappatura delle modalità di connessione delle Agenzie e Ispettorati Postazione Mobile (Promotori) Postazione Singola (Agenzia) LAN (Ispettorati) Connettività Modem VPN Client Modem ADSL Router ADSL Router MPLS Back-up ISDN Autenticazione Token Autentication Username Password (MS Active Directory) 13
La tecnologia a supporto Di seguito vengono illustrate sommariamente, le principali funzionalità della tecnologia necessaria all’implementazione dell’infrastruttura tecnologica: Caratteristiche della soluzione VPN Client; Lo Split Tunneling; Router per la direzione ERGO Italia; La soluzione di Strong Authentication per gli utenti mobili. 14
Caratteristiche della soluzione VPN Client Cisco VPN Client è lo strumento che abilita gli utenti remoti a stabilire una connessione sicura per mezzo di un tunnel criptato (IPSEC protocol) verso la direzione ERGO Italia. Al momento dell’attivazione, il Client è in grado di supportare una doppia autenticazione: La prima fornisce un login di gruppo al Router VPN di destinazione (Direzione ERGO Italia); La seconda per validare l’utente per mezzo di Username e Password ad esso associate. Il software Cisco VPN Client offre funzionalità di Personal Firewalling (tecnologia Zone Labs), fornendo ai Client un supporto integrato per la sicurezza end-point nell'ambito delle VPN per gli accessi remoti. È quindi possibile richiedere che gli utenti che effettuano una connessione VPN abbiano un Firewall attivato prima che la connessione venga attivata, realizzando così una ulteriore protezione dell'infrastruttura. 15
CISCO VPN Software Client; Lo Split tunneling Lo split tunneling permette ad un utente remoto di aprire un tunnel con la sede centrale e di mantenere la possibilità di aprire una connessione verso internet, senza dover necessariamente passare per la rete aziendale. Lo split tunneling permette di utilizzare in modo più efficiente le risorse IT aziendali e di lasciare libera la banda a chi accede a dati ed applicazioni mission critical da luoghi remoti. CISCO VPN Software Client; Personal Firewall Hub&RouterADSL Agenzie dotate di Rete Locale (LAN) Zona Demilitarizzati I@SSICUR Server VPN VPN Clear Navigation SPLIT TUNNELLING 16
Router per la direzione ERGO Italia Le esigenze di flessibilità e di scalabilità e alcune importanti funzionalità, hanno indirizzato la scelta del Router direzionale verso il CISCO VPN Concentrator della famiglia 3000: VPN Concentrator classe 3000 è una gamma di Router VPN per l’accesso remoto con caratteristiche di codifica e autenticazione. Permette di coprire le esigenze di Ergo Italia per il collegamento delle agenzie alla sede con una elevata scalabilità che arriva fino a 10.000 utenti remoti in contemporanea per unità. E’ possibile utilizzare due apparecchi in LOAD BALANCING (bilanciamento del carico) per garantire alta disponibilità del servizio. La modalità di “push policy” garantisce l’amministrazione e la riconfigurazione del Client VPN completamente da remoto, agevolando le procedure di gestione dei Client. 17
La soluzione di Strong Authentication per gli utenti mobili Questa soluzione è stata pensata per gli utenti dotati di postazione mobile. La soluzione si basa su un sistema di validazione delle credenziali utente tramite uno strumento HW che genera password valide una sola volta (token). Postazione Mobile Promotori CISCO VPN Software Client; Personal Firewall 1 Numero Verde ISP VPN Token Authentication bilanciati CISCO VPN Concentrator Classe 3000 Zona Demilitarizzati (DMZ) ERGO DMZ1 Access Server Radius Server 1 L’utente inserisce il proprio Username e la password generata dal Token e valida una sola volta; 2 FIREWALL Checkpoint NG Token Authentication Server 3 2 Il server Radius richiede ad AD il serial number del token; DMZ2 I@SSICUR Server MS Active Directory IlToken Authentication Server verifica la password in funzione del Serial Number associato; l’utente è autenticato e può accedere alle risorse nella DMZ. 3 18
MPLS per la connettività degli Ispettorati Evoluzione della tecnologia di instradamento/trasferimento (forwarding) per le reti Internet Riduce la complessita’ dovuta all’espansione della rete Offre nuove possibilita’ di routing e nuovi servizi a valore aggiunto come: NAT IPSec Firewall QoS Si appoggia a standards che facilitano l’interoperabilita’ Riduce i costi di investimento e costi operativi 19
Come funziona MPLS 1a. Il protocollo di instradamento calcola il percorso piu’ breve verso la destinazione 1b. Il protocollo LDP (Label Distribution Protocol) lega Un’etichetta a ogni indirizzo di destinazione 4.L’ultimo switch MPLS rimuove l’etichetta 2.ELSR (Edge LSR): Il router in ingresso riceve i pacchetti, esegue i servizi associati e aggiunge la label ai pacchetti 3.LSR: Label Switch Routeur smista il pacchetto in base all’ etichetta ( label swapping ) 20
Mappatura dei servizi di Call Center e Help Desk per le Agenzie Utenti Agenzie/Utenti Ispettorati/Assconsult Livello 0 Single Point Of Contact HELP DESK Applicativo HELP DESK PC HELP DESK NETWORKING Livello 1 HELP DESK SISTEMISTICO INTERVENTO ON-SITE PC INTERVENTO ON-SITE NETWORKING Livello 2 ASSISTENZA DIAGRAMMA Livello 3 Sistema di Trouble Ticketing & Reporting Assistenza problematiche di connettività ERGO Italia Outsourcer Connettività Assistenza PC e Periferiche Outsourcer PC Assistenza Applicativa e di processo Outsourcer Diagramma 21
Attività del Single Point of Contact Primo contatto per l’instradamento delle chiamate; Attività di pre-analisi; Instradamento verso l’help desk : Applicativo; PC; Networking; Gestione e coordinamento degli Outsourcer (PC; Networking; Diagramma); Tracciamento delle chiamate dall’apertura alla risoluzione delle problematiche; Monitoraggio degli Outsourcer e del rispetto degli SLA; Produzione reportistica. 22