コンコン゚」

コンコン゚」Share a Scribd company logo

The Missing Link

Sandro Fontana
Sandro Fontana

non basta piテケ difenderci dgli attacchi esterni; la grande minaccia proviene dai nostri sistemi

1 of 28
Download to read offline
Forum ICT Security Sandro Fontana, CISSP CEO Secure Edge sfontana@secure-edge.com s.fontana@computer.org Roma 4 Novembre 2003
Premessa
Ich Sunt Leones/1
Ich Sunt Leones/2 Internet Router (multiport/ multi protocol) Dial in Servers TELCO Partner Offices Frame Relay Network Remote router Laptop PCsRemote Router Remote Hub UNIX Server NFS Gateway Novel File Server Hub Central Router (multiport/ multiprotocol Hub Hub Groupware Server Offices Hub PCs Hub Hub PCs Windows NTServer Groupware Server Offices PCs PCs PCs Windows NTServer PCs Email/Shared File Server PCs Firewall / AV / Proxy Firewall / RAS / AV / Proxy
Ich Sunt Leones/3 Internet Router (multiport/ multi protocol) Dial in Servers TELCO Partner Offices Frame Relay Network Remote router Laptop PCsRemote Router Remote Hub UNIX Server NFS Gateway Novel File Server Hub Central Router (multiport/ multiprotocol Hub Hub Groupware Server Offices Hub PCs Hub Hub PCs Windows NTServer Groupware Server Offices PCs PCs PCs Windows NTServer PCs Email/Shared File Server PCs Firewall / AV / Proxy Firewall / RAS / AV / Proxy
the speed of insecurity/1 窶徭ecurity works in an era of (computer) worms that can spread across the Internet in 10 minutes窶 (Bruce Schneier - IEEE S&P, July/August 2003)
the speed of insecurity/2
change viewpoint non si tratta piテケ soltanto di difendere i computer presenti nella rete aziendale da attacchi provenienti dall窶册sterno
change viewpoint non si tratta piテケ soltanto di difendere i computer presenti nella rete aziendale da attacchi provenienti dall窶册sterno bisogna inoltre difendere l窶僞nterprise Network da eventuali attacchi provenienti dalle stazioni di lavoro e dai server interni.
the missing link Nuova responsabilitテ: proteggere l窶僮ntranet dagli attacchi provenienti da computer attestati all窶冓nterno della stessa rete aziendale(*) (Chief Security Officer) Irrobustire Identificare Controllare Contrastare Rilevare (*) (garantendo l窶兮ttuale flessibilitテ)
Mai dimenticare che 窶ヲ 窶徑a sicurezza ティ un processo, non ティ un prodotto窶 (Bruce Schneier)
Goals ogni server deve poter qualificare la fonte del traffico di rete in ingresso Request Verification Worm confinement CentralManagement un Client od un Server, anche se compromesso, non deve divenire la fonte di ulteriore infezione all窶冓nterno dell窶僊zienda; la gestione delle contromisure deve essere centralizzata
Una proposta Essential Point 窶「 Policy 窶「 Requirements 窶「 Management 窶「 Tools Secure Edge vede un percorso progettuale inserito all窶冓nterno del sistema di gestione della sicurezza ad es. l窶僮SMS della ISO/IEC 17799
Policy Per potere accedere alla intranet ed alle sue risorse ogni macchina, sia Client che Server ed ogni Utente, deve essere autorizzato NetAccess Verification il parco dei Client e Server installato ed attivo, deve essere tenuto sotto controllo, senza necessitテ di gestione IP address e/o ethernet address ogni utente deve essere identificato ed autenticato con meccanismo forte Effective RT-IDS Ogni violazione alle regole precedenti deve poter essere rilevata in tempo reale Identification Authentication
Requirements Accesso alla intranet controllato tramite: Identificazione certa dei Client e Server connessi Autenticazione forte degli utenti firewall distribuito Profilo di accesso specializzato per ruolo Network Single SignOnツョ Consolidamento centralizzato dei log Audit in tempo reale sugli eventi rilevanti
The Missing Link
Management Operation Manager controlla in tempo reale, lo stato delle singole macchine e dei singoli utenti attiva e gestisce gli alert, analizza i log provenienti dal parco macchine interno Policy Manager il responsabile della definizione dei profili e delle regole che devono essere applicate ai gruppi di macchine (client e server) ed ai ruoli aziendali (users)
Tools Secure Edge PcP Enterprise Edition
Gli strumenti/1 ティ il cuore informativo del sistema; raccoglie tutti i dati dell窶兮mbiente PcP Enterprise Edition : 窶 licenze Client e Server 窶 ruoli aziendali 窶 profili utenti 窶 certificati di chiave pubblica di tutti gli attori coinvolti 窶 regole di firewalling 窶 log globali di tutte le macchine controllate 窶 heart_beat in tempo reale PcP-EE_DB (RDBMS)
Gli strumenti/2 permette al Policy Manager la definizione di: 窶 gruppi di macchine: Client/Server 窶 ruoli aziendali 窶 profili 窶 regole di firewalling Policy Management Tool (software client) Lavora in locale con aggiornamento del PcP-EE_DB on demand
Gli strumenti/3 Monitor Console E窶 l窶冓nterfaccia web al PcP-EE_ DB che permette all窶儖peration Manager: 窶「 l窶冓nterrogazione, l窶册laborazione e la presentazione delle informazioni generate dai software PcP-EE in esercizio su tutte le macchine Client/Server Windows all窶冓nterno dell窶僊zienda; 窶「 la configurabilitテ e la gestione di allarmi 窶「 la memorizzazione di query ricorrenti
Gli strumenti/4 窶 autenticare le licenze PcP-EE ed i singoli Users; 窶 distribuire le Policy per i Server ed i Client oltre che le policy specifiche per lo User; 窶 acquisire i log dalle varie stazioni ed i pacchetti informativi (heart beat) relativi al traffico di rete dei singoli sistemi 窶 aggiornare PcP-EE_ DB centrale Policy Server ティ un servizio presente su uno o piテケ sistemi all窶冓nterno dell窶兮zienda permette di:
Distribuited Security Agent questo software assolve una serie di compiti テゥ presente su ogni client ed ogni server aziendale con sistema operativo Microsoft Gli Strumenti/5
PcP-EE: duty/1 ogni macchina viene associata ad una licenza PcP-EE un utente che voglia lavorare su una macchina viene prima identificato ed autorizzato, quindi le regole di firewalling ed il profilo di protezione associato al ruolo che l窶冰tente, in quel momento, incarna in azienda sono calate sulla macchina su cui opera ad ogni macchina vengono assegnate specifiche regole di firewalling ed il profilo di protezione del gruppo a cui la macchina appartiene
PcP-EE: duty/2 il traffico di rete viene bloccato/abilitato, cosテャ come viene indicato dalle regole di firewalling dichiara la propria esistenza in vita tramite pacchetti statistici che fungono da HeartBeat per PcP-EE stesso viene generato il log relativo al matching delle regole di firewalling, se questa funzione ティ richiesta per queste regole
Riepilogo Policy Server Policy Server PcP-EE_DB Operation Manager Policy Manager Policy Server Policy Server
per concludere 窶ヲ 窶徑a sicurezza ティ un processo, non ティ un prodotto窶 (Bruce Schneier)
Exit

Recommended

100430 Sa 1.0 Observe It Customer Presentation(Ita)
100430 Sa 1.0 Observe It Customer Presentation(Ita)100430 Sa 1.0 Observe It Customer Presentation(Ita)
100430 Sa 1.0 Observe It Customer Presentation(Ita)
antonio_tonani
TerminalTux - Terminal Server Open Source 100%! - Confsl 2009
TerminalTux - Terminal Server Open Source 100%! - Confsl 2009TerminalTux - Terminal Server Open Source 100%! - Confsl 2009
TerminalTux - Terminal Server Open Source 100%! - Confsl 2009
Mirco Piccin
Hardening
HardeningHardening
Hardening
NaLUG
Yooda w10 security - v1 1
Yooda w10 security - v1 1Yooda w10 security - v1 1
Yooda w10 security - v1 1
Pacho Baratta
Pervasive Encryption for DB2
Pervasive Encryption for DB2Pervasive Encryption for DB2
Pervasive Encryption for DB2
Luigi Perrone
Fmdp Total System Monitor
Fmdp Total System MonitorFmdp Total System Monitor
Fmdp Total System Monitor
Filippo Maria Del Prete
2017 racf 2.3 news
2017 racf 2.3 news2017 racf 2.3 news
2017 racf 2.3 news
Luigi Perrone
Key management
Key managementKey management
Key management
Luigi Perrone
Para que practiquen el inglテゥs
Para que practiquen el inglテゥsPara que practiquen el inglテゥs
Para que practiquen el inglテゥs
Berli Onle
Nonfiction sort 2nd no sr
Nonfiction sort 2nd no srNonfiction sort 2nd no sr
Nonfiction sort 2nd no sr
jschoen
Data is Power
Data is PowerData is Power
Data is Power
Raghavendran S
Country report
Country reportCountry report
Country report
jschoen
Investment
InvestmentInvestment
Investment
kamlesh2008
How to Use Email to Create Loyal Fans Who Love You
How to Use Email to Create Loyal Fans Who Love YouHow to Use Email to Create Loyal Fans Who Love You
How to Use Email to Create Loyal Fans Who Love You
Justin Premick
la firma grafometrica ed i (nuovi) falsari
la firma grafometrica ed i (nuovi) falsarila firma grafometrica ed i (nuovi) falsari
la firma grafometrica ed i (nuovi) falsari
Sandro Fontana
How to Create Killer Emails that Make Readers Love You
How to Create Killer Emails that Make Readers Love YouHow to Create Killer Emails that Make Readers Love You
How to Create Killer Emails that Make Readers Love You
Justin Premick
Para pirates 2010
Para pirates 2010Para pirates 2010
Para pirates 2010
fmschau1
It's Christmas
It's ChristmasIt's Christmas
It's Christmas
anabraga
Covalent Nomenclature
Covalent NomenclatureCovalent Nomenclature
Covalent Nomenclature
Regis Komperda
Polyatomic Nomenclature
Polyatomic NomenclaturePolyatomic Nomenclature
Polyatomic Nomenclature
Regis Komperda
Rescate a lo gallegoRescate a lo gallego
Rescate a lo gallego
Berli Onle
Cinco cosasCinco cosas
Cinco cosas
Berli Onle
Chemical Bonding Part 1
Chemical Bonding Part 1Chemical Bonding Part 1
Chemical Bonding Part 1
Regis Komperda
Metric System Scientific Notation
Metric System Scientific NotationMetric System Scientific Notation
Metric System Scientific Notation
Regis Komperda
Beatifullibrariesintheworld2 1224805198195556 8Beatifullibrariesintheworld2 1224805198195556 8
Beatifullibrariesintheworld2 1224805198195556 8
anabraga
2da Guerra Mundial
2da Guerra Mundial 2da Guerra Mundial
2da Guerra Mundial
Berli Onle
What the Shrink Can Teach the Community Manager
What the Shrink Can Teach the Community ManagerWhat the Shrink Can Teach the Community Manager
What the Shrink Can Teach the Community Manager
Ben Mason
Lieldienas
LieldienasLieldienas
Lieldienas
xlt
ClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerClearOS - Linux Small Business Server
ClearOS - Linux Small Business Server
Francesco Taurino
Piattaforma Accelerated Antivirus Da Freescale & Kaspersky
Piattaforma Accelerated Antivirus Da Freescale & KasperskyPiattaforma Accelerated Antivirus Da Freescale & Kaspersky
Piattaforma Accelerated Antivirus Da Freescale & Kaspersky
Ionela

More Related Content

Viewers also liked (20)

Para que practiquen el inglテゥs
Para que practiquen el inglテゥsPara que practiquen el inglテゥs
Para que practiquen el inglテゥs
Berli Onle
Nonfiction sort 2nd no sr
Nonfiction sort 2nd no srNonfiction sort 2nd no sr
Nonfiction sort 2nd no sr
jschoen
Data is Power
Data is PowerData is Power
Data is Power
Raghavendran S
Country report
Country reportCountry report
Country report
jschoen
Investment
InvestmentInvestment
Investment
kamlesh2008
How to Use Email to Create Loyal Fans Who Love You
How to Use Email to Create Loyal Fans Who Love YouHow to Use Email to Create Loyal Fans Who Love You
How to Use Email to Create Loyal Fans Who Love You
Justin Premick
la firma grafometrica ed i (nuovi) falsari
la firma grafometrica ed i (nuovi) falsarila firma grafometrica ed i (nuovi) falsari
la firma grafometrica ed i (nuovi) falsari
Sandro Fontana
How to Create Killer Emails that Make Readers Love You
How to Create Killer Emails that Make Readers Love YouHow to Create Killer Emails that Make Readers Love You
How to Create Killer Emails that Make Readers Love You
Justin Premick
Para pirates 2010
Para pirates 2010Para pirates 2010
Para pirates 2010
fmschau1
It's Christmas
It's ChristmasIt's Christmas
It's Christmas
anabraga
Covalent Nomenclature
Covalent NomenclatureCovalent Nomenclature
Covalent Nomenclature
Regis Komperda
Polyatomic Nomenclature
Polyatomic NomenclaturePolyatomic Nomenclature
Polyatomic Nomenclature
Regis Komperda
Rescate a lo gallegoRescate a lo gallego
Rescate a lo gallego
Berli Onle
Cinco cosasCinco cosas
Cinco cosas
Berli Onle
Chemical Bonding Part 1
Chemical Bonding Part 1Chemical Bonding Part 1
Chemical Bonding Part 1
Regis Komperda
Metric System Scientific Notation
Metric System Scientific NotationMetric System Scientific Notation
Metric System Scientific Notation
Regis Komperda
Beatifullibrariesintheworld2 1224805198195556 8Beatifullibrariesintheworld2 1224805198195556 8
Beatifullibrariesintheworld2 1224805198195556 8
anabraga
2da Guerra Mundial
2da Guerra Mundial 2da Guerra Mundial
2da Guerra Mundial
Berli Onle
What the Shrink Can Teach the Community Manager
What the Shrink Can Teach the Community ManagerWhat the Shrink Can Teach the Community Manager
What the Shrink Can Teach the Community Manager
Ben Mason
Lieldienas
LieldienasLieldienas
Lieldienas
xlt
Para que practiquen el inglテゥs
Para que practiquen el inglテゥsPara que practiquen el inglテゥs
Para que practiquen el inglテゥs
Berli Onle
Nonfiction sort 2nd no sr
Nonfiction sort 2nd no srNonfiction sort 2nd no sr
Nonfiction sort 2nd no sr
jschoen
Data is Power
Data is PowerData is Power
Data is Power
Raghavendran S
Country report
Country reportCountry report
Country report
jschoen
Investment
InvestmentInvestment
Investment
kamlesh2008
How to Use Email to Create Loyal Fans Who Love You
How to Use Email to Create Loyal Fans Who Love YouHow to Use Email to Create Loyal Fans Who Love You
How to Use Email to Create Loyal Fans Who Love You
Justin Premick
la firma grafometrica ed i (nuovi) falsari
la firma grafometrica ed i (nuovi) falsarila firma grafometrica ed i (nuovi) falsari
la firma grafometrica ed i (nuovi) falsari
Sandro Fontana
How to Create Killer Emails that Make Readers Love You
How to Create Killer Emails that Make Readers Love YouHow to Create Killer Emails that Make Readers Love You
How to Create Killer Emails that Make Readers Love You
Justin Premick
Para pirates 2010
Para pirates 2010Para pirates 2010
Para pirates 2010
fmschau1
It's Christmas
It's ChristmasIt's Christmas
It's Christmas
anabraga
Covalent Nomenclature
Covalent NomenclatureCovalent Nomenclature
Covalent Nomenclature
Regis Komperda
Polyatomic Nomenclature
Polyatomic NomenclaturePolyatomic Nomenclature
Polyatomic Nomenclature
Regis Komperda
Rescate a lo gallegoRescate a lo gallego
Rescate a lo gallego
Berli Onle
Cinco cosasCinco cosas
Cinco cosas
Berli Onle
Chemical Bonding Part 1
Chemical Bonding Part 1Chemical Bonding Part 1
Chemical Bonding Part 1
Regis Komperda
Metric System Scientific Notation
Metric System Scientific NotationMetric System Scientific Notation
Metric System Scientific Notation
Regis Komperda
Beatifullibrariesintheworld2 1224805198195556 8Beatifullibrariesintheworld2 1224805198195556 8
Beatifullibrariesintheworld2 1224805198195556 8
anabraga
2da Guerra Mundial
2da Guerra Mundial 2da Guerra Mundial
2da Guerra Mundial
Berli Onle
What the Shrink Can Teach the Community Manager
What the Shrink Can Teach the Community ManagerWhat the Shrink Can Teach the Community Manager
What the Shrink Can Teach the Community Manager
Ben Mason
Lieldienas
LieldienasLieldienas
Lieldienas
xlt

Similar to The Missing Link (20)

ClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerClearOS - Linux Small Business Server
ClearOS - Linux Small Business Server
Francesco Taurino
Piattaforma Accelerated Antivirus Da Freescale & Kaspersky
Piattaforma Accelerated Antivirus Da Freescale & KasperskyPiattaforma Accelerated Antivirus Da Freescale & Kaspersky
Piattaforma Accelerated Antivirus Da Freescale & Kaspersky
Ionela
Piattaforma Accelerated Antivirus Da Freescale & Kaspersky
Piattaforma Accelerated Antivirus Da Freescale & KasperskyPiattaforma Accelerated Antivirus Da Freescale & Kaspersky
Piattaforma Accelerated Antivirus Da Freescale & Kaspersky
Ionela
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Mario Rossano
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open source
Marco Ferrigno
Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...
Marco Ferrigno
Progetto Netkit
Progetto NetkitProgetto Netkit
Progetto Netkit
Florin D. Tanasache
Mfa.intro
Mfa.introMfa.intro
Mfa.intro
Luigi Perrone
Cloudup, cloud server al minuto
Cloudup, cloud server al minutoCloudup, cloud server al minuto
Cloudup, cloud server al minuto
ENTER S.r.l.
Firewall, Antispam e ipmonitor
Firewall, Antispam e ipmonitorFirewall, Antispam e ipmonitor
Firewall, Antispam e ipmonitor
laisit
Crouzet Automation - em4 Ethernet opuscolo, versione italiana
Crouzet Automation - em4 Ethernet opuscolo, versione italiana Crouzet Automation - em4 Ethernet opuscolo, versione italiana
Crouzet Automation - em4 Ethernet opuscolo, versione italiana
Crouzet
EKMF solution overview
EKMF solution overviewEKMF solution overview
EKMF solution overview
Luigi Perrone
Brochure 2014 - Unified Management Platform
Brochure 2014 - Unified Management PlatformBrochure 2014 - Unified Management Platform
Brochure 2014 - Unified Management Platform
Multivendor Service (MVS) & Consorzio Laser
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Studio Fiorenzi Security & Forensics
ClearOS
ClearOSClearOS
ClearOS
NaLUG
Progettazione e sviluppo di un software applicativo su un single board computer
Progettazione e sviluppo di un software applicativo su un single board computerProgettazione e sviluppo di un software applicativo su un single board computer
Progettazione e sviluppo di un software applicativo su un single board computer
Alessandro Mascherin
ObserveIt -Record and replay SSH, RDP & Citrix sessions-product datasheet- It...
ObserveIt -Record and replay SSH, RDP & Citrix sessions-product datasheet- It...ObserveIt -Record and replay SSH, RDP & Citrix sessions-product datasheet- It...
ObserveIt -Record and replay SSH, RDP & Citrix sessions-product datasheet- It...
ObserveIT
BYTE Engineering Services presentation
BYTE Engineering Services presentationBYTE Engineering Services presentation
BYTE Engineering Services presentation
Dino Fornaciari
Presentazione Suite Nethesis
Presentazione Suite NethesisPresentazione Suite Nethesis
Presentazione Suite Nethesis
Nethesis
Soluzioni IoT con le tecnologie Microsoft
Soluzioni IoT con le tecnologie MicrosoftSoluzioni IoT con le tecnologie Microsoft
Soluzioni IoT con le tecnologie Microsoft
Massimo Bonanni
ClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerClearOS - Linux Small Business Server
ClearOS - Linux Small Business Server
Francesco Taurino
Piattaforma Accelerated Antivirus Da Freescale & Kaspersky
Piattaforma Accelerated Antivirus Da Freescale & KasperskyPiattaforma Accelerated Antivirus Da Freescale & Kaspersky
Piattaforma Accelerated Antivirus Da Freescale & Kaspersky
Ionela
Piattaforma Accelerated Antivirus Da Freescale & Kaspersky
Piattaforma Accelerated Antivirus Da Freescale & KasperskyPiattaforma Accelerated Antivirus Da Freescale & Kaspersky
Piattaforma Accelerated Antivirus Da Freescale & Kaspersky
Ionela
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Mario Rossano
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open source
Marco Ferrigno
Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...
Marco Ferrigno
Progetto Netkit
Progetto NetkitProgetto Netkit
Progetto Netkit
Florin D. Tanasache
Mfa.intro
Mfa.introMfa.intro
Mfa.intro
Luigi Perrone
Cloudup, cloud server al minuto
Cloudup, cloud server al minutoCloudup, cloud server al minuto
Cloudup, cloud server al minuto
ENTER S.r.l.
Firewall, Antispam e ipmonitor
Firewall, Antispam e ipmonitorFirewall, Antispam e ipmonitor
Firewall, Antispam e ipmonitor
laisit
Crouzet Automation - em4 Ethernet opuscolo, versione italiana
Crouzet Automation - em4 Ethernet opuscolo, versione italiana Crouzet Automation - em4 Ethernet opuscolo, versione italiana
Crouzet Automation - em4 Ethernet opuscolo, versione italiana
Crouzet
EKMF solution overview
EKMF solution overviewEKMF solution overview
EKMF solution overview
Luigi Perrone
Brochure 2014 - Unified Management Platform
Brochure 2014 - Unified Management PlatformBrochure 2014 - Unified Management Platform
Brochure 2014 - Unified Management Platform
Multivendor Service (MVS) & Consorzio Laser
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Studio Fiorenzi Security & Forensics
ClearOS
ClearOSClearOS
ClearOS
NaLUG
Progettazione e sviluppo di un software applicativo su un single board computer
Progettazione e sviluppo di un software applicativo su un single board computerProgettazione e sviluppo di un software applicativo su un single board computer
Progettazione e sviluppo di un software applicativo su un single board computer
Alessandro Mascherin
ObserveIt -Record and replay SSH, RDP & Citrix sessions-product datasheet- It...
ObserveIt -Record and replay SSH, RDP & Citrix sessions-product datasheet- It...ObserveIt -Record and replay SSH, RDP & Citrix sessions-product datasheet- It...
ObserveIt -Record and replay SSH, RDP & Citrix sessions-product datasheet- It...
ObserveIT
BYTE Engineering Services presentation
BYTE Engineering Services presentationBYTE Engineering Services presentation
BYTE Engineering Services presentation
Dino Fornaciari
Presentazione Suite Nethesis
Presentazione Suite NethesisPresentazione Suite Nethesis
Presentazione Suite Nethesis
Nethesis
Soluzioni IoT con le tecnologie Microsoft
Soluzioni IoT con le tecnologie MicrosoftSoluzioni IoT con le tecnologie Microsoft
Soluzioni IoT con le tecnologie Microsoft
Massimo Bonanni

More from Sandro Fontana (14)

Blockchain! - Luglio 2018 Convegno SGI a Bevagna
Blockchain! - Luglio 2018 Convegno SGI a BevagnaBlockchain! - Luglio 2018 Convegno SGI a Bevagna
Blockchain! - Luglio 2018 Convegno SGI a Bevagna
Sandro Fontana
Sgi breve storia della crittografia ep II
Sgi breve storia della crittografia ep IISgi breve storia della crittografia ep II
Sgi breve storia della crittografia ep II
Sandro Fontana
SGI sandro fontana breve storia della crittografia Ep I
SGI sandro fontana breve storia della crittografia Ep ISGI sandro fontana breve storia della crittografia Ep I
SGI sandro fontana breve storia della crittografia Ep I
Sandro Fontana
Iged s fontana-quando-la-firma-digitale-incontra-la-carta
Iged s fontana-quando-la-firma-digitale-incontra-la-cartaIged s fontana-quando-la-firma-digitale-incontra-la-carta
Iged s fontana-quando-la-firma-digitale-incontra-la-carta
Sandro Fontana
Wiress Lan Pros And Cons.Pdf
Wiress Lan Pros And Cons.PdfWiress Lan Pros And Cons.Pdf
Wiress Lan Pros And Cons.Pdf
Sandro Fontana
[Se T 05 0044] T I Prs Secure Log Appliance [2
[Se T 05 0044] T I Prs Secure Log Appliance [2[Se T 05 0044] T I Prs Secure Log Appliance [2
[Se T 05 0044] T I Prs Secure Log Appliance [2
Sandro Fontana
Paper E Sign La Firma Digitale Su Carta Seminario Epa
Paper E Sign La Firma Digitale Su Carta Seminario EpaPaper E Sign La Firma Digitale Su Carta Seminario Epa
Paper E Sign La Firma Digitale Su Carta Seminario Epa
Sandro Fontana
Paper E Sign Aica Xxxix Annual Conference
Paper E Sign Aica Xxxix Annual ConferencePaper E Sign Aica Xxxix Annual Conference
Paper E Sign Aica Xxxix Annual Conference
Sandro Fontana
Minaccie Vere Vulnerabilita Evitabili
Minaccie Vere Vulnerabilita EvitabiliMinaccie Vere Vulnerabilita Evitabili
Minaccie Vere Vulnerabilita Evitabili
Sandro Fontana
La Firma Digitale Come Mezzo Per L窶僊utenticazione Dei Documenti Stampati In...
La Firma Digitale Come Mezzo Per L窶僊utenticazione Dei Documenti Stampati In...La Firma Digitale Come Mezzo Per L窶僊utenticazione Dei Documenti Stampati In...
La Firma Digitale Come Mezzo Per L窶僊utenticazione Dei Documenti Stampati In...
Sandro Fontana
Che Bel Progresso Abbiamo Fatto! Iged
Che Bel Progresso Abbiamo Fatto! IgedChe Bel Progresso Abbiamo Fatto! Iged
Che Bel Progresso Abbiamo Fatto! Iged
Sandro Fontana
Critical Infrastructure Security Ict Security Anno Vi N
Critical Infrastructure Security Ict Security Anno Vi NCritical Infrastructure Security Ict Security Anno Vi N
Critical Infrastructure Security Ict Security Anno Vi N
Sandro Fontana
Security Certification Vs Marketing Hype
Security Certification Vs Marketing HypeSecurity Certification Vs Marketing Hype
Security Certification Vs Marketing Hype
Sandro Fontana
Paper E Sign
Paper E SignPaper E Sign
Paper E Sign
Sandro Fontana
Blockchain! - Luglio 2018 Convegno SGI a Bevagna
Blockchain! - Luglio 2018 Convegno SGI a BevagnaBlockchain! - Luglio 2018 Convegno SGI a Bevagna
Blockchain! - Luglio 2018 Convegno SGI a Bevagna
Sandro Fontana
Sgi breve storia della crittografia ep II
Sgi breve storia della crittografia ep IISgi breve storia della crittografia ep II
Sgi breve storia della crittografia ep II
Sandro Fontana
SGI sandro fontana breve storia della crittografia Ep I
SGI sandro fontana breve storia della crittografia Ep ISGI sandro fontana breve storia della crittografia Ep I
SGI sandro fontana breve storia della crittografia Ep I
Sandro Fontana
Iged s fontana-quando-la-firma-digitale-incontra-la-carta
Iged s fontana-quando-la-firma-digitale-incontra-la-cartaIged s fontana-quando-la-firma-digitale-incontra-la-carta
Iged s fontana-quando-la-firma-digitale-incontra-la-carta
Sandro Fontana
Wiress Lan Pros And Cons.Pdf
Wiress Lan Pros And Cons.PdfWiress Lan Pros And Cons.Pdf
Wiress Lan Pros And Cons.Pdf
Sandro Fontana
[Se T 05 0044] T I Prs Secure Log Appliance [2
[Se T 05 0044] T I Prs Secure Log Appliance [2[Se T 05 0044] T I Prs Secure Log Appliance [2
[Se T 05 0044] T I Prs Secure Log Appliance [2
Sandro Fontana
Paper E Sign La Firma Digitale Su Carta Seminario Epa
Paper E Sign La Firma Digitale Su Carta Seminario EpaPaper E Sign La Firma Digitale Su Carta Seminario Epa
Paper E Sign La Firma Digitale Su Carta Seminario Epa
Sandro Fontana
Paper E Sign Aica Xxxix Annual Conference
Paper E Sign Aica Xxxix Annual ConferencePaper E Sign Aica Xxxix Annual Conference
Paper E Sign Aica Xxxix Annual Conference
Sandro Fontana
Minaccie Vere Vulnerabilita Evitabili
Minaccie Vere Vulnerabilita EvitabiliMinaccie Vere Vulnerabilita Evitabili
Minaccie Vere Vulnerabilita Evitabili
Sandro Fontana
La Firma Digitale Come Mezzo Per L窶僊utenticazione Dei Documenti Stampati In...
La Firma Digitale Come Mezzo Per L窶僊utenticazione Dei Documenti Stampati In...La Firma Digitale Come Mezzo Per L窶僊utenticazione Dei Documenti Stampati In...
La Firma Digitale Come Mezzo Per L窶僊utenticazione Dei Documenti Stampati In...
Sandro Fontana
Che Bel Progresso Abbiamo Fatto! Iged
Che Bel Progresso Abbiamo Fatto! IgedChe Bel Progresso Abbiamo Fatto! Iged
Che Bel Progresso Abbiamo Fatto! Iged
Sandro Fontana
Critical Infrastructure Security Ict Security Anno Vi N
Critical Infrastructure Security Ict Security Anno Vi NCritical Infrastructure Security Ict Security Anno Vi N
Critical Infrastructure Security Ict Security Anno Vi N
Sandro Fontana
Security Certification Vs Marketing Hype
Security Certification Vs Marketing HypeSecurity Certification Vs Marketing Hype
Security Certification Vs Marketing Hype
Sandro Fontana
Paper E Sign
Paper E SignPaper E Sign
Paper E Sign
Sandro Fontana

The Missing Link

  • 1. Forum ICT Security Sandro Fontana, CISSP CEO Secure Edge sfontana@secure-edge.com s.fontana@computer.org Roma 4 Novembre 2003
  • 4. Ich Sunt Leones/2 Internet Router (multiport/ multi protocol) Dial in Servers TELCO Partner Offices Frame Relay Network Remote router Laptop PCsRemote Router Remote Hub UNIX Server NFS Gateway Novel File Server Hub Central Router (multiport/ multiprotocol Hub Hub Groupware Server Offices Hub PCs Hub Hub PCs Windows NTServer Groupware Server Offices PCs PCs PCs Windows NTServer PCs Email/Shared File Server PCs Firewall / AV / Proxy Firewall / RAS / AV / Proxy
  • 5. Ich Sunt Leones/3 Internet Router (multiport/ multi protocol) Dial in Servers TELCO Partner Offices Frame Relay Network Remote router Laptop PCsRemote Router Remote Hub UNIX Server NFS Gateway Novel File Server Hub Central Router (multiport/ multiprotocol Hub Hub Groupware Server Offices Hub PCs Hub Hub PCs Windows NTServer Groupware Server Offices PCs PCs PCs Windows NTServer PCs Email/Shared File Server PCs Firewall / AV / Proxy Firewall / RAS / AV / Proxy
  • 6. the speed of insecurity/1 窶徭ecurity works in an era of (computer) worms that can spread across the Internet in 10 minutes窶 (Bruce Schneier - IEEE S&P, July/August 2003)
  • 7. the speed of insecurity/2
  • 8. change viewpoint non si tratta piテケ soltanto di difendere i computer presenti nella rete aziendale da attacchi provenienti dall窶册sterno
  • 9. change viewpoint non si tratta piテケ soltanto di difendere i computer presenti nella rete aziendale da attacchi provenienti dall窶册sterno bisogna inoltre difendere l窶僞nterprise Network da eventuali attacchi provenienti dalle stazioni di lavoro e dai server interni.
  • 10. the missing link Nuova responsabilitテ: proteggere l窶僮ntranet dagli attacchi provenienti da computer attestati all窶冓nterno della stessa rete aziendale(*) (Chief Security Officer) Irrobustire Identificare Controllare Contrastare Rilevare (*) (garantendo l窶兮ttuale flessibilitテ)
  • 11. Mai dimenticare che 窶ヲ 窶徑a sicurezza ティ un processo, non ティ un prodotto窶 (Bruce Schneier)
  • 12. Goals ogni server deve poter qualificare la fonte del traffico di rete in ingresso Request Verification Worm confinement CentralManagement un Client od un Server, anche se compromesso, non deve divenire la fonte di ulteriore infezione all窶冓nterno dell窶僊zienda; la gestione delle contromisure deve essere centralizzata
  • 13. Una proposta Essential Point 窶「 Policy 窶「 Requirements 窶「 Management 窶「 Tools Secure Edge vede un percorso progettuale inserito all窶冓nterno del sistema di gestione della sicurezza ad es. l窶僮SMS della ISO/IEC 17799
  • 14. Policy Per potere accedere alla intranet ed alle sue risorse ogni macchina, sia Client che Server ed ogni Utente, deve essere autorizzato NetAccess Verification il parco dei Client e Server installato ed attivo, deve essere tenuto sotto controllo, senza necessitテ di gestione IP address e/o ethernet address ogni utente deve essere identificato ed autenticato con meccanismo forte Effective RT-IDS Ogni violazione alle regole precedenti deve poter essere rilevata in tempo reale Identification Authentication
  • 15. Requirements Accesso alla intranet controllato tramite: Identificazione certa dei Client e Server connessi Autenticazione forte degli utenti firewall distribuito Profilo di accesso specializzato per ruolo Network Single SignOnツョ Consolidamento centralizzato dei log Audit in tempo reale sugli eventi rilevanti
  • 17. Management Operation Manager controlla in tempo reale, lo stato delle singole macchine e dei singoli utenti attiva e gestisce gli alert, analizza i log provenienti dal parco macchine interno Policy Manager il responsabile della definizione dei profili e delle regole che devono essere applicate ai gruppi di macchine (client e server) ed ai ruoli aziendali (users)
  • 19. Gli strumenti/1 ティ il cuore informativo del sistema; raccoglie tutti i dati dell窶兮mbiente PcP Enterprise Edition : 窶 licenze Client e Server 窶 ruoli aziendali 窶 profili utenti 窶 certificati di chiave pubblica di tutti gli attori coinvolti 窶 regole di firewalling 窶 log globali di tutte le macchine controllate 窶 heart_beat in tempo reale PcP-EE_DB (RDBMS)
  • 20. Gli strumenti/2 permette al Policy Manager la definizione di: 窶 gruppi di macchine: Client/Server 窶 ruoli aziendali 窶 profili 窶 regole di firewalling Policy Management Tool (software client) Lavora in locale con aggiornamento del PcP-EE_DB on demand
  • 21. Gli strumenti/3 Monitor Console E窶 l窶冓nterfaccia web al PcP-EE_ DB che permette all窶儖peration Manager: 窶「 l窶冓nterrogazione, l窶册laborazione e la presentazione delle informazioni generate dai software PcP-EE in esercizio su tutte le macchine Client/Server Windows all窶冓nterno dell窶僊zienda; 窶「 la configurabilitテ e la gestione di allarmi 窶「 la memorizzazione di query ricorrenti
  • 22. Gli strumenti/4 窶 autenticare le licenze PcP-EE ed i singoli Users; 窶 distribuire le Policy per i Server ed i Client oltre che le policy specifiche per lo User; 窶 acquisire i log dalle varie stazioni ed i pacchetti informativi (heart beat) relativi al traffico di rete dei singoli sistemi 窶 aggiornare PcP-EE_ DB centrale Policy Server ティ un servizio presente su uno o piテケ sistemi all窶冓nterno dell窶兮zienda permette di:
  • 23. Distribuited Security Agent questo software assolve una serie di compiti テゥ presente su ogni client ed ogni server aziendale con sistema operativo Microsoft Gli Strumenti/5
  • 24. PcP-EE: duty/1 ogni macchina viene associata ad una licenza PcP-EE un utente che voglia lavorare su una macchina viene prima identificato ed autorizzato, quindi le regole di firewalling ed il profilo di protezione associato al ruolo che l窶冰tente, in quel momento, incarna in azienda sono calate sulla macchina su cui opera ad ogni macchina vengono assegnate specifiche regole di firewalling ed il profilo di protezione del gruppo a cui la macchina appartiene
  • 25. PcP-EE: duty/2 il traffico di rete viene bloccato/abilitato, cosテャ come viene indicato dalle regole di firewalling dichiara la propria esistenza in vita tramite pacchetti statistici che fungono da HeartBeat per PcP-EE stesso viene generato il log relativo al matching delle regole di firewalling, se questa funzione ティ richiesta per queste regole
  • 27. per concludere 窶ヲ 窶徑a sicurezza ティ un processo, non ティ un prodotto窶 (Bruce Schneier)
  • 28. Exit
AboutCopyright
ツゥ 2025 コンコン゚」