Accesso remoto ai servizi della rete aziendale: tecnologie di protezione Alessandro Appiani Direttore tecnico Pulsar IT.

Slides:



Advertisements
Presentazioni simili
IBM System i Il Sistema Enterprise per la PMI
Advertisements

© 2010 Colt Telecom Group Limited. All rights reserved. Cloud Computing Lapproccio Colt Dionigi Faccedna.
Elaborazione del Book Informatico
Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
Servizi integrati e completi per la piccola impresa Andrea Candian.
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
ISA Server 2004 Configurazione di Accessi via VPN
Recovery e Troubleshooting di Active Directory Renato Francesco Giorgini
Configuring Network Access
Configurare VPN e Accesso remoto con Small Business Server 2003
Midrange Modernization Conference 1 Scenari evolutivi per le soluzioni basate su AS/400 Walter Poloni Direttore Developer & Platform Evangelism Microsoft.
1 Teaching Cloud Computing and Windows Azure in Academia Domenico Talia UNIVERSITA DELLA CALABRIA & ICAR-CNR Italy Faculty Days 2010.
Luca Bianchi Windows Development Day Bologna 28 gennaio 2005 SQL Server Desktop Engine (MSDE) & SQL Server 2005 Express.
TechNet Security Workshop IV Milano, 8 Giugno. Internet Information Server 6.0.
Public Key Infrastructure
La sicurezza della posta elettronica in Small Business Server 2003: configurazione base ed avanzata di Exchange e del filtro anti-spam IMF 12 maggio 2005.
Accesso centralizzato alle applicazioni con Terminal Services in Windows Server 2008 Renato Francesco Giorgini Evangelist IT Pro
Vincenzo Campanale PM Security & Management System Center, DSI e la Roadmap.
Applicazioni Telematiche delle reti tra calcolatori E.Mumolo. DEEI
Reti Private Virtuali (VPN)
4-1 Routing Gerarchico Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights Reserved)
5-1 Point to Point Data Link Control Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (©
EJB Enterprise Java Beans B. Pernici. Approccio Java.
Directory services Directory offline –Elenchi telefonici –Guide TV –Cataloghi acquisti Directory online –Application specific (lotus notes, MS Exchange.
Biometry to enhance smart card security (MOC using TOC protocol)
SEVER RAS.
Comunicazione on-line, reti e virtualità Matteo Cristani.
Fanno ormai parte della nostra vita di tutti i giorni….
2000 Prentice Hall, Inc. All rights reserved. 1 Capitolo 3 - Functions Outline 3.1Introduction 3.2Program Components in C++ 3.3Math Library Functions 3.4Functions.
FONDAMENTI DI INFORMATICA III WfMC-1. FONDAMENTI DI INFORMATICA III WfMC-2 WFMC Cose WfMC Workflow Management Coalition (WfMC), Brussels, è unorganizzazione.
Linux firewalls Massimo Ianigro - CNR Area di Ricerca - Bari
New Features + Improvements Miglioramenti alle Situazioni contabili Distribuzione costi Intragruppo in registrazione fatture di acqusti Varie.
Palermo, may 2010 F.Doumaz, S.Vinci (INGV-CNT- Gruppo di telerilevamento)
La sicurezza può essere fornita in ciascuno degli strati: applicazione, trasporto, rete. Quando la sicurezza è fornita per uno specifico protocollo dello.
1 © 2013 Cobra Italia SpA All rights reserved Cobra group website Gennaio 2013.
Business Internet light TechChange Migration Usecases novembre 2011.
NetApp: NON solo storage Metro Cluster e Cluster Mode
La sfida dellinnovazione Tecnologia e servizi MARIO MELLA VoIP DAY Il futuro della rete Roma, 25 marzo 2010.
Internet Explorer 8.0: Gestione centralizzata tramite Group Policy
LE RETI INFORMATICHE.
Andrea Petricca Problematiche di rete nella sperimentazione di file-system distribuiti su WAN per applicazioni di GRID-Computing Rapporto trimestrale attività
INTERNET Antonio Papa Classe 2^ beat I.S.I.S. G. Meroni a.s. 2007/2008.
Le reti informatiche Modulo 7. Internet Il browser La navigazione Motori di ricerca Raccogliere dati La stampa sommario.
Project Review byNight byNight December 6th, 2011.
Fabio Cozzolino Vito Arconzo
Attribution-NonCommercial-ShareAlike Le novità
Attribution-NonCommercial-ShareAlike Le novità
Renato Francesco Giorgini Evangelist IT Pro
Robotica e Futuro Competenze per la Vita Personale, Professionale e Imprenditoriale Alfonso Molina Professor of Technology Strategy, University of Edinburgh.
Scoprirete che su Office non si può solo contare ma anche sviluppare.
Secure Socket Layer (SSL) Transport Layer Security (TLS)
IIS7 Media Services Piergiorgio Malusardi IT Pro Evangelist
Visual Studio Tools for Office: Developer Solutions Platform Fulvio Giaccari MCSD.NET / MCT Responsabile Usergroup ShareOffice Blog:
SQL Server 2005 Sicurezza Davide Mauri Factory Software
Enterprise Digital Architects Instant Meeting Roma 4 luglio 2006.
Project Review Novembrer 17th, Project Review Agenda: Project goals User stories – use cases – scenarios Project plan summary Status as of November.
Project Review Novembrer 17th, Project Review Agenda: Project goals User stories – use cases – scenarios Project plan summary Status as of November.
Giovedì 17 Aprile 2008 Heroes {Community} Launch Giovedì 17 Aprile 2008.
1 © 2004, Cisco Systems, Inc. All rights reserved. Il ruolo della Rete nella strategia aziendale David Bevilacqua Operations Director Enterprise 29 Settembre.
soluzioni professionali
Negli ultimi anni, la richiesta di poter controllare in remoto la strumentazione e cresciuta rapidamente I miglioramenti nell’hardware e nel software insieme.
© 2013 KNC All right reserved Kangaroo Net Company Group 1.
IPSec Fabrizio Grossi.
Workshop sulle problematiche di calcolo e reti nell'INFN
MyEconLab_Univerità degli studi di Milano, corso Prof.ssa Valentina Raimondi How to Access MyEconLab 1.
Certificati e VPN.
Procedure di Sicurezza nella Soluzione UPMT per la Mobilità Verticale in Reti IP 1.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
Virtual Private Networks
Virtual Private Network SSL
Transcript della presentazione:

Accesso remoto ai servizi della rete aziendale: tecnologie di protezione Alessandro Appiani Direttore tecnico Pulsar IT

Agenda Laccesso remoto ai servizi della rete aziendale Laccesso remoto ai servizi della rete aziendale Componenti tecnologici per la sicurezza Componenti tecnologici per la sicurezza perimetrale perimetrale nelle comunicazioni di rete nelle comunicazioni di rete Tecnologie di base Tecnologie di base Remote Access allintera rete (VPN) Remote Access allintera rete (VPN) Accesso sicuro alla posta elettronica ed ai servizi Exchange Accesso sicuro alla posta elettronica ed ai servizi Exchange

Componenti tecnologici per la sicurezza Perimetrale Perimetrale Firewalling Firewalling protection protection Comunicazioni Comunicazioni Encryption Encryption Secure Socket Layer Secure Socket Layer Virtual Private Network Virtual Private Network Remote Access Remote Access

Sicurezza perimetrale

Firewall Uno o più componenti/dispositivi che controllano laccesso da una rete protetta verso/da Internet e/o altre reti * * Zwicky, Cooper, Chapman – Building Internet Firewalls – OReilly 1995/2000

Filters and Network Access Streaming Media SMTP DNS Intrusion Firewall Access Policy Allow HTTP All Destinations Internal/Protected Network External/Unsecured Network Rules Applied Streaming Media SMTP

Firewall in Small Business Server e in reti semplici (no dmz) A Controlled Point of Access for All Traffic that Enters the Internal Network A Controlled Point of Access for All Traffic that Enters the Internal Network A Controlled Point of Access for All Traffic that Leaves the Internal Network A Controlled Point of Access for All Traffic that Leaves the Internal Network Inside/Outside Inside/Outside Windows Server 2003 Windows Server 2003 ISA Server ISA Server

Windows Firewall vs ISA Server Windows Server Firewall (SBS standard) Windows Server Firewall (SBS standard) basic firewall basic firewall session level firewall (packet filtering + stateful inspection) session level firewall (packet filtering + stateful inspection) publishing esclusivamente di servizi ospitati su SBS publishing esclusivamente di servizi ospitati su SBS nessuna funzionalità Proxy e/o Cache nessuna funzionalità Proxy e/o Cache nessun controllo in uscita nessun controllo in uscita ISA Server (SBS premium) ISA Server (SBS premium) advanced enterprise firewall advanced enterprise firewall application level firewall (packet filtering + stateful inspection + application proxies) application level firewall (packet filtering + stateful inspection + application proxies) publishing anche di servizi ospitati da altri server (anche non Microsoft, es: AS/400, Linux,...) publishing anche di servizi ospitati da altri server (anche non Microsoft, es: AS/400, Linux,...) ottimizzazione banda e architettura proxy ottimizzazione banda e architettura proxy pieno controllo (user-level) in uscita pieno controllo (user-level) in uscita

Windows Server Firewall Windows Server Firewall SBS ICW Firewall settings SBS ICW Firewall settings

Sicurezza nelle comunicazioni

Quali problemi abbiamo con una comunicazione di rete che usa connettività pubblica come Internet? Network Monitoring Data Modification Identity Spoofing Man-in- the-Middle Password- based Password- based

Encrypts Data at the Application Layer Encrypts Data at the Application Layer SSL SSL TLS TLS Encrypts Data at the Network Layer (VPN) Encrypts Data at the Network Layer (VPN) Tunneling Protocol Tunneling Protocol IPSec IPSec La soluzione: la cifratura dei dati trasmessi Encrypted IP Packet

Crittografia Encryption Keys & Algorithms Encryption Keys & Algorithms Symmetric Encryption Symmetric Encryption Public Key Encryption (Asymmetric) Public Key Encryption (Asymmetric) Encryption Algorithm

Encryption Keys Key type Description Symmetric La stessa chiave è usata per cifrare e decifrare i dati Protegge i dati dallintercettazione Asymmetric Consiste in una chiave pubblica e una privata La chiave privata è protetta e confidenziale, la chiave pubblica è liberamente distribuibile Se viene usata la chiave privata per cifrare dei dati, gli stessi possono essere decifrati esclusivamente con la corrispondente chiave pubblica, e vice versa

How Does Symmetric Encryption Work? Original Data Cipher Text Original Data Symmetric encryption: Usa la stessa chiave per cifrare e decifrare E spesso referenziata come bulk encryption E intrinsicamente vulnerabile per il concetto di Shared secret: la chiave è condivisa Usa la stessa chiave per cifrare e decifrare E spesso referenziata come bulk encryption E intrinsicamente vulnerabile per il concetto di Shared secret: la chiave è condivisa

How Does Public Key Encryption Work? Process 1.The recipients public key is retrieved 2.The data is encrypted with a symmetric key 3.The symmetric key is encrypted with the recipients public key 4.The encrypted symmetric key and encrypted data are sent to the recipient 5.The recipient decrypts the symmetric key with her private key 6.The data is decrypted with the symmetric key

How Does Public Key Digital Signing Work? Process 1.Data is passed through a hash algorithm, producing a hash value 2.The hash value is encrypted with the senders private key 3.The senders certificate, encrypted hash value, and original data are sent to the recipient 4.The recipient decrypts the hash value with the senders public key 5.Data is passed through the hash algorithm, and the hash values are compared

Cosa è un Certificato Digitale? Un Certificato Digitale rappresenta le credenziali elettroniche per autenticare/riconoscere un utente (o altre entità quali i computer) in una rete Internet/Intranet Certificati: Associa in modo sicuro la public key allentità che possiede la corrispondente private key Sono firmati digitalmente da una certificate authority emittente (CA) Consente di verificare lidentità di un utente, computer, o servizio Contiene dettagli descrittivi del soggetto e dellente emittente (CA) Associa in modo sicuro la public key allentità che possiede la corrispondente private key Sono firmati digitalmente da una certificate authority emittente (CA) Consente di verificare lidentità di un utente, computer, o servizio Contiene dettagli descrittivi del soggetto e dellente emittente (CA)

What Is a PKI? Requirement PKI solutions Confidentiality Data encryption Integrity Digital signatures Authenticity Hash algorithms, message digests, digital signatures Nonrepudiation Digital signatures, audit logs AvailabilityRedundancy The combination of software, encryption technologies, processes, and services that enables an organization to secure its communications and business transactions

Components of a PKI Certification Authority Certificate and CRL Distribution Points Certificate Template Digital Certificate Digital Certificate Certificate Revocation List Public Key-Enabled Applications and Services Certificate and CA Management Tools

Windows Server Systems Windows Server 2003 include tutte le tecnologie ed i componenti per implementare Encryption, PKI, SSL,... Windows Server 2003 include tutte le tecnologie ed i componenti per implementare Encryption, PKI, SSL,... Inoltre in SBS2003 linfrastruttura è già configurata nel modo più semplice ed efficace possibile Inoltre in SBS2003 linfrastruttura è già configurata nel modo più semplice ed efficace possibile

tecnologie di base in Windows Server 2003 ed in SBS 2003 tecnologie di base in Windows Server 2003 ed in SBS 2003 ICW overview (Certificato per SSL) ICW overview (Certificato per SSL)

Remote Access allintera rete (VPN) una applicazione delle tecnologie di encryption

Virtual Private Networks (VPN) VPN Basics Una tecnologia di encryption Una tecnologia di encryption Un metodo/protocollo di Tunneling Un metodo/protocollo di Tunneling Una modalità di connessione e trasporto (Client-to-LAN, LAN-to-LAN) Una modalità di connessione e trasporto (Client-to-LAN, LAN-to-LAN) Un insieme di definizioni per Un insieme di definizioni per IP Addressing IP Addressing Authentication Authentication Authorization Authorization Auditing Auditing

VPN Client-to-LAN: Connecting Remote Users to a Corporate Network VPN Tunnel VPN Server Computer Remote User Internet Corporate Network

VPN LAN-to-LAN: Connecting Remote Networks to a Local Network VPN Tunnel VPN Server Computer Remote Network Internet Local Network VPN Server Computer

VPN a confronto LAN-to-LAN LAN-to-LAN prevede lutilizzo di apparati/server che gestiscono la comunicazione vpn e fanno da gateway tra le due reti prevede lutilizzo di apparati/server che gestiscono la comunicazione vpn e fanno da gateway tra le due reti encryption applicata solo nelle comunicazioni tra i gateway (tunnel-endpoint) encryption applicata solo nelle comunicazioni tra i gateway (tunnel-endpoint) encryption simmetrica di tipo Shared-Key encryption simmetrica di tipo Shared-Key IP Addressing progettare IP Addressing progettare Client-to-LAN Client-to-LAN è una tipica connessione uno (gateway/Access Point) a molti (Client) è una tipica connessione uno (gateway/Access Point) a molti (Client) encryption applicata nelle comunicazioni tra il gateway ed N client encryption applicata nelle comunicazioni tra il gateway ed N client encryption di tipo Shared-Key non adeguata (distribuzione della chiave in N posti!) encryption di tipo Shared-Key non adeguata (distribuzione della chiave in N posti!) può usare protocolli PPP-based (PPTP, L2TP) può usare protocolli PPP-based (PPTP, L2TP) per usare IPsec richiede tecniche di Asymmetric encryption (PKI, certificati,...) per usare IPsec richiede tecniche di Asymmetric encryption (PKI, certificati,...) IP Addressing semplice ed integrato IP Addressing semplice ed integrato

Windows Server Systems Windows Server 2003 include tutte le tecnologie ed i componenti per implementare VPN LAN-to-LAN e Client- to-LAN Windows Server 2003 include tutte le tecnologie ed i componenti per implementare VPN LAN-to-LAN e Client- to-LAN Inoltre in SBS2003 linfrastruttura è già configurata nel modo più semplice ed efficace possibile Inoltre in SBS2003 linfrastruttura è già configurata nel modo più semplice ed efficace possibile ISA Server aggiunge ulteriore protezione e semplicità di configurazione per le VPN ISA Server aggiunge ulteriore protezione e semplicità di configurazione per le VPN

Windows Small Business Server 2003 Componenti di sicurezza per VPN & Remote Access setup & configuration

Scenario di connessione router Interne t Router (ISP) SBS rete pubblica (es: /29) rete privata /24.2 xDSL Fibra ottica ISDN... rete pubblica (con NAT) (es: /24) azienda.local

To Do List

The Configure and Internet Connection Wizard This wizard provides on-screen instructions to configure the following server settings: Networking Firewall Secure Web publishing Networking Firewall Secure Web publishing

Windows Small Business Server Remote Access Wizard This wizard provides on-screen instructions for configuring your server for: VPN connections Dial-up connections Both VPN and dial-up connections VPN connections Dial-up connections Both VPN and dial-up connections After clicking Finish, the wizard: Configures the server according to your selected settings Creates the Client Connection Manager configuration file Configures the remote access policy to allow members of the Mobile Users group to use remote access Configures the server according to your selected settings Creates the Client Connection Manager configuration file Configures the remote access policy to allow members of the Mobile Users group to use remote access

Sicurezza e controllo Remote Access Account Lockout (KB816118) Remote Access Account Lockout (KB816118) Authorizing VPN Connections (Dial-in) Authorizing VPN Connections (Dial-in) Remote Access Policy Profile Packet Filtering Remote Access Policy Profile Packet Filtering Accounting, Auditing, and Monitoring Accounting, Auditing, and Monitoring

ICW overview (Configurazione VPN e overview pubblicazione servizi web + exchange) ICW overview (Configurazione VPN e overview pubblicazione servizi web + exchange) RAS Wizard in SBS RAS Wizard in SBS remote web workplace remote web workplace remote access VPN remote access VPN configurazione client verso azienda.it configurazione client verso azienda.it sbspackage.exe sbspackage.exe Connection Manager per Windows Server 2003 Connection Manager per Windows Server 2003

Accesso sicuro alla posta elettronica ed ai servizi Exchange

Uso di HTTPS per laccesso sicuro ai servizi Exchange Uso di HTTPS per laccesso sicuro ai servizi Exchange Overview configurazione servizi Exchange per laccesso da remoto (SBS ed exchange) Overview configurazione servizi Exchange per laccesso da remoto (SBS ed exchange) owa owa oma oma outlook-over-https outlook-over-https

Riferimenti e risorse Risorse tecniche per Windows Small Business Server fo/default.mspx Risorse tecniche per Windows Small Business Server fo/default.mspx fo/default.mspx fo/default.mspx Virtual Private Networks for Windows Server etworking/vpn/default.mspx Virtual Private Networks for Windows Server etworking/vpn/default.mspx etworking/vpn/default.mspx etworking/vpn/default.mspx Virtual Private Networking with Windows Server 2003: Deploying Remote Access VPNs /technologies/networking/vpndeplr.mspx Virtual Private Networking with Windows Server 2003: Deploying Remote Access VPNs /technologies/networking/vpndeplr.mspx /technologies/networking/vpndeplr.mspx /technologies/networking/vpndeplr.mspx Virtual Private Networking with Windows Server 2003: Deploying Site-to-Site VPNs /technologies/networking/vpndpls2.mspx Virtual Private Networking with Windows Server 2003: Deploying Site-to-Site VPNs /technologies/networking/vpndpls2.mspx /technologies/networking/vpndpls2.mspx /technologies/networking/vpndpls2.mspx

Riferimenti ed approfondimenti Microsoft Security Center Microsoft Security Center Area Technet Area Technet Security Guidance Center (IT Pro) Security Guidance Center (IT Pro) Security Guidance Center (SMB) Security Guidance Center (SMB) securityguidance/hub.mspx securityguidance/hub.mspx

© 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.