Strategie di protezione applicate Fabrizio Grossi.

Slides:



Advertisements
Presentazioni simili
Amministrazione dei servizi di stampa. Sommario Introduzione ai servizi di stampa Introduzione ai servizi di stampa Terminologia della stampa Terminologia.
Advertisements

VIA GIULIO RATTI, CREMONA – Tel. 0372/27524
Informatica e Telecomunicazioni
Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
Servizi integrati e completi per la piccola impresa Andrea Candian.
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
ISA Server 2004 Configurazione di Accessi via VPN
La riduzione dei privilegi in Windows
Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft.
Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:
Introduzione ad Active Directory
Approfondimenti sui Microsoft Security Bulletin di maggio maggio 2004 Feliciano Intini e Luca Lorenzini, CISSP Security Advisor Microsoft Services.
Approfondimenti sui Microsoft Security Bulletin di settembre settembre 2004 Feliciano Intini e Luca Lorenzini, CISSP Security Advisor Premier Center.
Microsoft Office Project 2003 Standard La Gestione per Progetti nella Piccola e Media Impresa Ettore dAmico Microsoft Italia.
Windows XP SP 2 e Office 2003 I dati nel vostro PC sempre sicuri Come rendere sicuro il proprio computer… …ed ottenere la massima produttività Aldo Tuberty.
Windows Server 2003 Service Pack 1 Anteprima Tecnica.
Scrittura di codice protetto: procedure consigliate
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Sicurezza e Policy in Active Directory
Installazione di Active Directory
Organizzazione di una rete Windows 2003
Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.
Installazione di Active Directory
NESSUS.
Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.
SEVER RAS.
Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006 SUS - WSUS per il Security Patch Management.
Architettura del World Wide Web
File System NTFS 5.0 Disco: unità fisica di memorizzazione
Corso di Informatica per Giurisprudenza Lezione 7
Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.
INTRODUZIONE l sistema operativo è il primo software che lutente utilizza quando accende il computer; 1)Viene caricato nella memoria RAM con loperazione.
È un sistema realizzato con l Obiettivo di: Sviluppare uno strumento di Videosorveglianza innovativo rispetto a quanto già presente sul mercato ed in.
Norman Endpoint Protection Sicurezza all'avanguardia in tutta facilità!
Guida IIS 6 A cura di Nicola Del Re.
MetodoEvolus Evolvere nella continuità. Certificazione Windows 7 logo Nuova procedura di setup Certificazione SQL 2008 R1 Consolle di produzione.
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
L’applicazione integrata per la gestione proattiva delle reti IT
Windows Intune, la soluzione Cloud per la gestione dei PC in azienda Lorenzo Santagata Product Marketing Manager Windows Client Microsoft 15 dicembre 2010.
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
Slide 1 Un browser migliore Passa a Firefox – il modo più veloce, sicuro e intelligente per navigare sul Web.
Modulo 2 - U.D. 3 - L.4 Ernesto Damiani - Sistemi di eleborazione dell'informazione.
Configurazione di una rete Windows
Installazione Come tecnico, si potrebbe aver necessità di effettuare una installazione pulita di un sistema operativo. L'esecuzione di una installazione.
L’architettura a strati
IPSec Fabrizio Grossi.
Nome relatore, Titolo Windows 8 Pro: per le piccole imprese.
Francesca Di Massimo Security Lead Microsoft Italia Catania 22 settembre 2006 La Strategia Microsoft per la sicurezza dei sistemi.
A cura di: Huber Roberto, Zaharulko Nicola, Debernardi Daniele.
SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.
Esempio di un volume RAID-5
Sicurezza nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna Riunione Referenti – Bologna 17 Novembre 2003 –
Francesco M. Taurino 1 NESSUS IL Security Scanner.
TW Asp - Active Server Pages Nicola Gessa. TW Nicola Gessa Introduzione n Con l’acronimo ASP (Active Server Pages) si identifica NON un linguaggio di.
Distribuzione controllata del software con Systems Management Server 2003 Fabrizio Grossi.
Certificati e VPN.
Reti di calcolatori Modulo 2 -Protocolli di rete TCP/IP Unità didattica 2 – Il protocollo TCP/IP Ernesto Damiani Università degli Studi di Milano - SSRI.
Reti di calcolatori LS1 Service Middleware Reti di calcolatori LS progetto di Andrea Belardi Infrastruttura dedicata alla gestione di servizi disponibili.
Corso di Reti di Calcolatori LS Progetto di un server FTP in grado di coordinarsi con altri mirror per garantire QoS di Marco Buccione.
Software di Packet-Filtering e Port-Filtering su reti TCP/IP Come filtrare il traffico di rete in transito sulle interfacce presenti, frapponendosi tra.
30 agosto Progetto Quarantena Gateway Security Appliance.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Migrazione a Win2003 Server a cura del Prof. Arturo Folilela.
Implementazioni di un analizzatore di protocollo Esistono quattro fondamentali tradeoff per la realizzazione di un analizzatore di protocollo:  Analisi.
LA GESTIONE TELEMATICA DEI CERTIFICATI DI ORIGINE presentazione WebCO IBSsas.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Enea Topi 1 ^B AS. 2014/2015. LA STORIA DI INTERNET Internet non è mai stata una rete militare, ma i militari sono alla radice della tecnologia su cui.
23 giugno Analisi dei Servizi al Cittadino Stato Avanzamento Lavori.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Transcript della presentazione:

Strategie di protezione applicate Fabrizio Grossi

Agenda  Introduzione  Strategie per l'accesso remoto in un ambiente reale  Risoluzione dei problemi relativi alle configurazioni di protezione

Difesa a più livelli  Vantaggi offerti dall'utilizzo di un approccio a più livelli:  Aumento della probabilità che un hacker venga scoperto  Riduzione delle probabilità di successo di un attacco Criteri, procedure e consapevolezza Protezione avanzata del sistema operativo, gestione degli aggiornamenti, autenticazione, sistemi di rilevamento delle intrusioni basati su host Firewall, VPN con quarantena Personale di sicurezza, lucchetti e dispositivi di monitoraggio Segmenti di rete, IPSec, sistemi di rilevamento delle intrusioni nella rete Protezione avanzata delle applicazioni, antivirus ACL, crittografia Formazione utenti Protezione fisica Perimetro Rete interna Host Applicazione Dati

Problematiche comuni relative alla protezione  Gestione delle patch - Nozioni avanzate  Protezione dell'accesso remoto  Risoluzione dei problemi relativi ai criteri di protezione

Agenda  Introduzione  Strategie per la gestione delle patch in un ambiente reale  Strategie per l'accesso remoto in un ambiente reale  Risoluzione dei problemi relativi alle configurazioni di protezione

Importanza della gestione dinamica delle patch Nome attaccoData di scoperta Gravità MSRC Bollettino MSRC Data del bollettino MSRC Giorni disponibili prima dell'attacco Trojan.Kaht 5 maggio 2003CriticoMS marzo SQL Slammer 24 gennaio 2003CriticoMS luglio Klez-E 17 gennaio 2002N/DMS marzo Nimda 18 settembre 2001N/DMS ottobre Code Red 16 luglio 2001N/DMS giugno

Processo di gestione delle patch 1. Valutazione dell'ambiente da correggere Attività periodiche A.Creazione e gestione di una linea di riferimento dei sistemi B.Valutazione dell'architettura di gestione delle patch C.Esame dell'infrastruttura e della configurazione Attività continue A.Individuazione delle risorse B.Inventario dei client 1. Valutazione 2. Identifi- cazione 4. Distribu- zione 3. Analisi e pianificazione 2. Identificazione di nuove patch Attività A. Identificazione di nuove patch B. Determinazione dell'importanza delle patch C. Verifica dell'autenticità e dell'integrità delle patch 3. Analisi e pianificazione della distribuzione delle patch Attività A. Approvazione per la distribuzione della patch B. Esecuzione della valutazione dei rischi C. Pianificazione del processo di rilascio della patch D. Completamento del test di accettazione della patch 4. Distribuzione della patch Attività A.Distribuzione e installazione della patch B.Segnalazione dello stato di avanzamento C.Gestione delle eccezioni D.Verifica della distribuzione

Monitoraggio dello stato delle patch  Sottoscrizione ai servizi di notifica  Microsoft Security Notification Service  Liste di distribuzione di terze parti  Controllo dei siti Web   Pagine specifiche dei prodotti  Siti di terze parti  Definizione di una pianificazione regolare dell'analisi e della distribuzione  Rilascio delle patch da parte di Microsoft: secondo martedì di ogni mese  Eccezione: rischi immediati per i client  Configurazione di strumenti automatici per il controllo giornaliero dei nuovi aggiornamenti

Momento di applicazione delle patch  ll più presto possibile  Solo dopo un test approfondito  Implementazione di misure di contenimento  In base al livello di gravità Livello di gravità Definizione Tempo consigliato per l'applicazione delle patch Critico Lo sfruttamento della vulnerabilità potrebbe consentire la propagazione di un worm Internet, ad esempio Code Red o Nimda, senza alcun intervento da parte dell'utente Entro 24 ore Importante Lo sfruttamento della vulnerabilità potrebbe compromettere la riservatezza, l'integrità o la disponibilità dei dati degli utenti oppure l'integrità o la disponibilità delle risorse di elaborazione Entro 1 mese Moderato La minaccia è grave ma è stata notevolmente limitata da fattori quali configurazione predefinita, controllo, necessità di un intervento da parte dell'utente o difficoltà di sfruttamento della vulnerabilità Attendere il successivo Service Pack o rollup comprendente la patch. In alternativa, distribuire la patch entro 4 mesi Basso Lo sfruttamento della vulnerabilità è estremamente difficile oppure l'impatto è minimo Attendere il successivo Service Pack o rollup comprendente la patch. In alternativa, distribuire la patch entro 1 anno

Strumenti Microsoft per la gestione delle patch Strumenti di analisi  Microsoft Baseline Security Analyzer (MBSA)  Office Inventory Tool Servizi di aggiornamento in linea  Windows Update  Office Update Archivi di dati  Catalogo di Windows Update  Catalogo di download di Office  Area download Microsoft Strumenti di gestione  Funzionalità Aggiornamenti automatici di Windows  Software Update Services (SUS)  Systems Management Server (SMS) Guide operative  Gestione delle patch mediante SUS  Guida Microsoft per la gestione delle patch di protezione  Gestione delle patch mediante SMS

Vantaggi offerti da MBSA  Identificazione automatica delle patch di protezione mancanti e dei problemi relativi alla configurazione di protezione  Consente all'amministratore di analizzare in modo centralizzato più sistemi simultaneamente  È compatibile con una vasta gamma di applicazioni Microsoft (non solo Windows e Office)

Funzionamento di MBSA MSSecure.xml contiene i seguenti elementi:  Nomi dei bollettini sulla sicurezza  Aggiornamenti specifici dei prodotti  Informazioni sulla versione e sul checksum  Chiavi del Registro di sistema modificate  Numeri degli articoli della Knowledge Base Area download Microsoft MSSecure.xml 2. Viene scaricato il file CAB con MSSecure.xml e viene verificata la firma digitale 1. Eseguire MBSA sul sistema dell'amministratore e specificare i computer di destinazione 3. Vengono analizzati i sistemi di destinazione per identificare il sistema operativo, i componenti del sistema operativo e le applicazioni 4. Viene analizzato MSSecure per verificare se sono disponibili aggiornamenti 5. Viene controllata l'eventuale mancanza di aggiornamenti necessari 6. Viene generato un report con timestamp contenente gli aggiornamenti mancanti Computer MBSA

Rilevamento automatico con MBSA  MBSA Scan (GUI)  Ideale per reti di piccole e medie dimensioni  MBSA Scan (mbsacli.exe)  Analisi automatiche mediante l'utilizzo di parametri della riga di comando  Esempio: mbsacli /d miodominio /f report.txt  MBSA Scan in modalità HFNetChk (mbsacli.exe /hf)  Analisi automatiche mediante l'utilizzo di parametri della riga di comando  Controllo soltanto delle patch mancanti  Esempio: mbssacli -hf -o tab –f report.txt  MBSA e Windows Update possono mostrare risultati differenti

Esempi di MBSA dalla riga di comando  Per analizzare tutti i computer in un ufficio remoto:  Mbsacli /r “ ” /sus “ /n “SQL” /f “\\server\share\SUSScan.txt”  Per analizzare gli aggiornamenti rapidi di un gruppo di server:  Mbsacli -hf –fh d:\Serverlist.txt –o tab –v –f D:\HFScan.txt

Dimostrazione 1 Utilizzo di MBSA Utilizzo di MBSA con opzioni della riga di comando Esame dei registri di MBSA Utilizzo dei risultati di MBSA per la creazione di input per lo script

Automatizzazione della distribuzione e del monitoraggio delle patch mediante SUS  Esegue installazioni di tipo pull di Service Pack, pacchetti di rollup della protezione e aggiornamenti critici  Concede agli amministratori il controllo sugli aggiornamenti software  Impedisce installazioni non autorizzate quando SUS viene utilizzato in combinazione con Aggiornamenti automatici  Consente la gestione temporanea e il test  Supporta soltanto Windows 2000 e versioni successive

Scenari di distribuzione di Software Update Service 1. Utilizzo di SUS per la gestione della distribuzione delle patch da Windows Update 2. Utilizzo di SUS per la gestione e la distribuzione delle patch 3. Utilizzo di SUS per la gestione e la distribuzione delle patch in un ambiente aziendale

Software Update Service Scenario di distribuzione 1 Server SUS 1. Il server SUS scarica gli aggiornamenti e i metadati 3. Aggiornamenti automatici riceve dal server SUS l'elenco degli aggiornamenti approvati 4. Aggiornamenti automatici esegue il download degli aggiornamenti approvati da Windows Update Servizio Windows Update 2. L'amministratore esamina, valuta e approva gli aggiornamenti Firewall Servizio Windows Update

Software Update Service Scenario di distribuzione 1  Utilizzare questo scenario di distribuzione nelle seguenti situazioni:  In un ufficio di piccole dimensioni con un unico server SUS e sufficiente larghezza di banda Internet  In un ambiente caratterizzato da più uffici con un unico server SUS e una connessione Internet diretta per ciascun ufficio  Non utilizzare questo scenario di distribuzione nelle seguenti situazioni:  Se è necessario ottimizzare la larghezza di banda Internet  In un ambiente caratterizzato da più ubicazioni e un'unica connessione Internet

Software Update Service Scenario di distribuzione 2 Server SUS 1. Il server SUS scarica gli aggiornamenti e i metadati 3. Aggiornamenti automatici riceve dal server SUS l'elenco degli aggiornamenti approvati 4. Aggiornamenti automatici esegue il download degli aggiornamenti approvati dal server SUS Servizio Windows Update 2. L'amministratore esamina, valuta e approva gli aggiornamenti Firewall

Software Update Service Scenario di distribuzione 2  Utilizzare questa soluzione di distribuzione nelle seguenti situazioni:  Per la gestione delle patch in un unico ufficio in cui sono presenti uno o più server SUS  In un ambiente costituito da più ubicazioni con un unico server SUS e sufficiente larghezza di banda tra gli uffici  Non utilizzare questa soluzione di distribuzione nelle seguenti situazioni:  In un ambiente costituito da più ubicazioni tra le quali è disponibile una larghezza di banda limitata

Software Update Service Scenario di distribuzione 3 Server SUS padre 1. Il server SUS scarica gli aggiornamenti 3. Le approvazioni e gli aggiornamenti vengono sincronizzati con i server SUS figlio 4. Aggiornamenti automatici riceve dal server SUS l'elenco degli aggiornamenti approvati 6. Aggiornamenti automatici esegue il download degli aggiornamenti approvati da Windows Update 5. Aggiornamenti automatici esegue il download degli aggiornamenti approvati dal server SUS Servizio Windows Update Server SUS figlio Servizio Windows Update 2. L'amministratore esamina, valuta e approva gli aggiornamenti Firewall

Software Update Service Scenario di distribuzione 3  Utilizzare questo scenario di distribuzione nelle seguenti situazioni:  In un ambiente costituito da più ubicazioni tra le quali è disponibile una larghezza di banda limitata  In un ambiente costituito da numerosi client all'interno di un unico ufficio  Utilizzare il bilanciamento del carico di rete  In un ambiente costituito da più uffici con connessioni WAN e Internet miste  Non utilizzare questo scenario di distribuzione nelle seguenti situazioni:  In un ambiente costituito da pochi client all'interno di un unico ufficio

Gestione di un ambiente SUS complesso  Gestire in modo centralizzato il download e l'approvazione degli aggiornamenti Dominio GPO Server membro Server membri Test SUS GPO Test SUS GPO Ufficio remoto 1 GPO Ufficio principale GPO Ufficio remoto 2 Workstation ufficio principale Workstation ufficio remoto 1 Workstation ufficio remoto 2  Utilizzare la struttura delle unità organizzative e gli oggetti Criteri di gruppo (GPO) per gestire la distribuzione degli aggiornamenti SUS  Utilizzare il file modello WUAU.ADM per configurare le impostazioni client di Aggiornamenti automatici  Assegnare gli oggetti Criteri di gruppo alle unità organizzative

Software Update Service Procedure di distribuzione ottimali (1)  Esaminare ciascuna patch di protezione  Scaricare e installare la patch  Eseguire il test di ciascuna patch di protezione prima della distribuzione  Configurare un ambiente di testing  Utilizzare un server SUS di prova  Valutare la possibilità di utilizzare computer virtuali nell'ambiente di testing  Utilizzare una procedura standard per il test di accettazione

Software Update Service Procedure di distribuzione ottimali (2)  Eseguire una distribuzione pilota  Configurare un server SUS figlio per l'approvazione degli aggiornamenti  Configurare un oggetto Criteri di gruppo in modo che la patch venga scaricata dal server SUS pilota soltanto dalle workstation specificate  Se la distribuzione pilota ha esito negativo, rimuovere l'aggiornamento approvato dal server SUS e disinstallare la patch in modo manuale  Completare la distribuzione

Utilizzo del software di gestione per la distribuzione e l'applicazione delle patch  System Management Server (SMS) 2003  Concede agli amministratori il controllo sulla gestione delle patch  Automatizza il processo di gestione delle patch  Aggiorna una vasta gamma di prodotti Microsoft  Aggiorna il software di terze parti  Offre un elevato livello di flessibilità grazie all'utilizzo di script  Soluzioni di terze parti  Si integra con soluzioni di terze parti mediante la creazione di script

Funzionamento di SMS 2. I componenti di analisi eseguono la replica nei client SMS 1. Installazione - Scaricare Security Update Inventory Tool e Office Inventory Tool ed eseguire il programma di installazione di questi strumenti 3. I client vengono analizzati e i risultati dell'analisi uniti ai dati di inventario dell'hardware SMS 4. L'amministratore utilizza Distribute Software Updates Wizard per autorizzare gli aggiornamenti 6. Software Update Installation Agent presente sui client distribuisce gli aggiornamenti 7. Periodicamente il componente di sincronizzazione verifica se sono presenti nuovi aggiornamenti, analizza i client e distribuisce gli aggiornamenti necessari 5. Aggiornare i file scaricati. Vengono creati/aggiornati pacchetti, programmi e annunci. I pacchetti vengono replicati e i programmi annunciati ai client SMS Area download Microsoft Firewall Server sito SMS Punto di distribuzione SMS Client SMS

Dimostrazione 2 SMS Distribuzione delle patch mediante l'utilizzo di Distribute Software Updates Wizard Dimostrazione 2 SMS Distribuzione delle patch mediante l'utilizzo di Distribute Software Updates Wizard

Soluzioni di terze parti Nome aziendaNome prodottoURL azienda Altiris, Inc.Altiris Patch Managementhttp:// BigFix, Inc.BigFix Patch Managerhttp:// Configuresoft, Inc.Security Update Managerhttp:// Ecora, Inc.Ecora Patch Managerhttp:// GFI Software, Ltd. GFI LANguard Network Security Scanner Gravity Storm Software, LLC Service Pack Manager 2000http:// LANDesk Software, LtdLANDesk Patch Managerhttp:// Novadigm, Inc.Radia Patch Managerhttp:// PatchLink Corp.PatchLink Updatehttp:// Shavlik TechnologiesHFNetChk Prohttp:// St. Bernard SoftwareUpdateExperthttp://

Installazione di patch in Microsoft Office  Office Inventory Tool  Office Update  Per le patch di Office sono necessari i file originali  Office 2003 memorizza nella cache i file di installazione  Modifica delle cartelle di installazione

Dimostrazione 3 Office Inventory Tool Analisi di Office Conversione dei file di Office Update

Procedure consigliate per una corretta gestione delle patch  Utilizzare un processo di controllo delle modifiche  Leggere tutta la documentazione correlata  Applicare soltanto gli aggiornamenti necessari  Eseguire il test completo degli aggiornamenti  Verificare la coerenza degli aggiornamenti nei controller di dominio  Eseguire il backup del sistema e pianificare i tempi di inattività della produzione  Tenere sempre a disposizione un piano di ripristino  Avvisare in anticipo il personale addetto all'helpdesk e i gruppi utenti principali  Eseguire la distribuzione innanzitutto nei server non critici

Agenda  Introduzione  Strategie di accesso remoto in un ambiente reale  Risoluzione dei problemi relativi alle configurazioni di protezione

VPN e firewall  Combinazione di un firewall con un server VPN Server RAS dietro al firewall Client VPN Server RAS Server RAS e firewall sullo stesso computer Client VPNServer RAS

Server VPN dietro a un firewall  Problema: consentire sul firewall il passaggio del traffico in ingresso nel server VPN  Problema: ispezione stato TrafficoPorte e protocolli Sessione PPTP Porta TCP 1723 Sessione PPTP Protocollo IP 47 (GRE) IPSec IKE Porta UDP 500 IPSec ESP Protocollo IP 50 (IPSec ESP)

Utilizzo di ISA Server come server VPN e firewall Funzionalità di ISA Server Descrizione Soluzione integrata Fornisce un firewall al livello dell'applicazione e un server proxy Utilizza RRAS per fornire servizi VPN Fornisce opzioni di autenticazione avanzate Consente di scegliere il protocollo PPTP o L2TP/IPSec Filtro dei pacchetti Consente di proteggere il server VPN Procedure guidate Consentono di effettuare la configurazione in modo semplice per evitare errori

Problemi relativi all'utilizzo di IPSec e NAT  L'intestazione dei pacchetti viene modificata, rendendo tali pacchetti non più validi  IKE utilizza i frammenti IP  Le periferiche NAT acquisiscono la modalità tunnel Int. NAT1 Int. NAT2 NATNAT Int. IP orig.Int. TCPDati Int. IP orig.Int. TCPDatiInt. AH Inserimento Int. NAT1 Int. NAT2 Contengono un hash crittografato dell'intestazione del pacchetto originale

Modello di soluzione  La bozza IETF relativa a NAT Traversal (NAT-T) prevede che le periferiche su entrambe le estremità debbano:  Rilevare la presenza di NAT  Utilizzare una porta non IPSec per evitare che le periferiche NAT interferiscano con il traffico di rete  Incapsulare IPSec in UDP  Inoltre, la soluzione Microsoft impedisce la creazione di frammenti IP

Funzionamento di NAT-T NATNAT Int. IP orig.Int. TCPDati Int. IP orig.Int. TCPDatiInt. ESP Inserimento Int. IP orig.Resto…Int. ESPUDP src 4500, dst 4500 Inserimento Inviato da A Ricevuto da B Int. IP orig.Resto…Int. ESPUDP src XXX, dst 4500 Int. NAT1 Int. NAT2

Problemi di interoperabilità  Il client VPN e il server VPN devono supportare NAT-T  Eventuali problemi con periferiche di terze parti  Aumento progressivo del livello di interoperabilità  Le periferiche NAT non devono essere sottoposte a modifiche  Supporto firewall  Consentire il traffico dalla porta UDP 4500  Consentire il traffico dalla porta UDP 500

Stato di NAT-T per Windows  Implementato nello standard proposto da IETF  Test di interoperabilità eseguito con gateway per L2TP/IPSec di terze parti  Destinato a L2TP/IPSec in Windows XP e versioni precedenti  Destinato a tutti gli utilizzi di IPSec in Windows Server 2003 Versione sistema operativo Supporto L2TP/IPSec Supporto modalità di trasporto IPSec generale Windows Server 2003SìSì 4 Windows XPSì 1 Non consigliato 5 Windows 2000Sì 2 No Windows NT 4Sì 3 No Windows 98/MeSì 3 No Nota 1: Windows Update o aggiornamento rapido Nota 2: con aggiornamento rapido Nota 3: con download Web Nota 4: Active FTP non funziona Nota 5: alcune riduzioni PTMU non funzionano

Imposizione della protezione dei client di accesso remoto  Problema:  È possibile che i client remoti non soddisfino i requisiti di protezione aziendale  Le presenza di computer non protetti nella rete aziendale compromette la sicurezza dell'intera rete  Soluzioni:  Non consentire l'accesso remoto  Considerare attendibili gli utenti per mantenere protetti i client remoti  Creare una rete separata per i client VPN  Imporre le impostazioni di protezione al momento della connessione  Disconnettere i client non protetti: Network Access Quarantine Control

Definizione di Network Access Quarantine Control Il client RAS ottiene l'accesso completo alla rete Il client RAS soddisfa i criteri della quarantena Il client RAS viene messo in quarantena Il client di accesso remoto esegue l'autenticazione 1.Timeout della quarantena 2.Errore del client RAS durante la verifica dei criteri Il client RAS viene disconnesso

Requisiti della quarantena Intranet Internet Client RAS con CM Server RRAS Windows Server 2003 Server IAS Windows Server 2003 Controller di dominio Active Directory Risorse in quarantena Criterio di accesso remoto Inoltre, sono necessari RQC.exe e RQS.exe disponibili nel Resource Kit di Windows Server 2003

Processo di quarantena Internet Quarantena Client RASServer RRASServer IAS Connessione Autenticazione Risultato verifica dei criteri Accesso quarantena Accesso completo Autorizzazione della quarantena e di altri filtri Rimozione quarantena

Limiti di Network Access Quarantine Control  La quarantena dipende dalle impostazioni che è possibile controllare utilizzando script  La quarantena dipende dallo scripting sul lato client  È possibile per un utente malintenzionato eludere la quarantena  Gli utenti devono disporre di un metodo per conformarsi ai requisiti  Metodi per l'applicazione di aggiornamenti  Punto di installazione esterno per il software antivirus  La quarantena è limitata alle connessioni remote e VPN

Suggerimenti per Network Access Quarantine Control  Avvio con il Resource Kit di Windows Server 2003  Utilizzo di Connection Manager  Creazione di profili alternativi per ambienti differenti  Pianificazione delle risorse di quarantena  Riduzione del ritardo per l'esecuzione delle applicazioni

Dimostrazione 4 Configurazione della quarantena di rete Installazione, configurazione e test della quarantena di rete

Agenda  Introduzione  Strategie di accesso remoto in un ambiente reale  Risoluzione dei problemi relativi alle configurazioni di protezione

Risoluzione dei conflitti relativi ai modelli di protezione  Utilizzo degli strumenti Gruppo di criteri risultante (RSoP)  Strumenti di gestione di Active Directory  RSoP dalla console GPMC  GPResult

Risoluzione dei problemi relativi agli errori delle applicazioni  L'applicazione delle patch o dei modelli di protezione può impedire il funzionamento delle applicazioni  Strumenti per la risoluzione dei problemi relativi agli errori delle applicazioni  Network Monitor  File Monitor  Registry Monitor  Dependency Walker  Cipher

Risoluzione dei problemi relativi ai servizi e ai processi  Può essere necessario procedere alla risoluzione dei problemi relativi ai servizi: 1. Quando si verifica un errore durante l'avvio dei servizi e dei processi 2. Per confermare che tutti i servizi e i processi provengono da fonti sicure  Strumenti utili per la risoluzione dei problemi relativi ai processi:  Tlist.exe o Process Explorer  Dependency Walker  Esame delle proprietà delle DLL

Risoluzione dei problemi relativi alle connessioni di rete  Verificare che siano aperte sui computer soltanto le porte necessarie  Strumenti per determinare l'utilizzo delle porte:  Netstat –o (in Windows XP o Windows Server 2003)  Task Manager  Verificare l'utilizzo delle porte per le applicazioni e i servizi

Procedure ottimali per la risoluzione dei problemi  Utilizzare una strategia formale per la gestione delle configurazioni e delle modifiche apportate alla protezione  Eseguire il test di tutte le modifiche della configurazione di protezione  Utilizzare gli strumenti RSOP in modalità di pianificazione  Acquisire informazioni sulle impostazioni normali  Predisporre una strategia di ripristino  Eseguire la procedura di risoluzione dei problemi in un ambiente protetto

Riepilogo della sessione  Strategie di gestione delle patch in un ambiente reale  Strategie di accesso remoto in un ambiente reale  Risoluzione dei problemi relativi alle configurazioni di protezione

Fasi successive 1. Per informazioni sempre aggiornate sulla protezione  Abbonarsi ai bollettini sulla sicurezza all'indirizzo: (in lingua inglese)  Ottenere istruzioni aggiornate sulla protezione Microsoft all'indirizzo: 2. Per l'accesso a materiale di formazione aggiuntivo sulla protezione  Cercare seminari di formazione in linea e con istruttore all'indirizzo: (in lingua inglese)  Cercare un CTEC di zona per corsi di formazione pratica all'indirizzo:

Ulteriori informazioni  Sito Microsoft dedicato alla protezione (per tutti gli utenti)   Sito TechNet dedicato alla protezione (per professionisti IT)  sicurezza.asp  Sito MSDN dedicato alla protezione (per sviluppatori)  (in lingua inglese)

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.