AIEA Associazione Italiana Information Systems Auditors

Transcript

1 AIEA Associazione Italiana Information Systems Auditors UTILIZZARE I SERVIZI CORPORATE TRAMITE LA TECNOLOGIA WIRELESS Carlo Muzzì Torino, 26 febbraio 2009

2 UTILIZZARE I SERVIZI CORPORATE TRAMITE LA TECNOLOGIA WIRELESS L utilizzo delle tecnologie wireless come mezzo per la fruizione di servizi informatici aziendali attestati su un infrastruttura di rete corporate geograficamente distribuita: aspetti tecnici e di sicurezza, riflessi organizzativi e policy gestionali. Sintesi degli argomenti trattati nella sessione di studio: - overview sulla case history - integrazione di reti wired su architetture geograficamente distribuite - l aggiunta di reti wireless - sintesi delle soluzioni applicate - reti private: componenti tecnologiche e di sicurezza organizzazione e policy gestionali - reti guest: componenti tecnologiche e di sicurezza organizzazione e policy gestionali - vantaggi - evoluzioni 2

3 Le interazioni tra le componenti attestate sulle reti geografiche rappresentazione logica Reti partner internazionali Backbone Fibra Ottica Reti partner nazionali Internet 3

4 Ogni rete attiva su una dorsale geografica è costituita da diversi segmenti, ognuno attestato sui singoli siti in cui la rete stessa è fruibile 1. Tutti i singoli pacchetti costituenti una comunicazione scambiata sulla dorsale viaggiano insieme ad un etichetta che identifica la rete cui appartengono: VLAN TAGGING (IEEE 802.1q) Backbone Fibra Ottica 2. Gli apparati UTM (UNIFIED THREAT MANAGEMENT), implementati in modalità cluster, garantiscono che i pacchetti di una specifica rete viaggino solo sui segmenti di rete cui effettivamente appartengono; gli stessi apparati implementano altre misure di sicurezza: firewall, antivirus, intrusion detection e prevention, antispamming, 4

5 Cosa è richiesto ad una soluzione wireless generalista? Backbone Fibra Ottica trasformare il wired in wireless mantenendo sostanzialmente inalterato il resto! 5

6 Sintesi di una soluzione concreta Vengono implementate due reti Wi-Fi: ciascuna operante su aree a diversa sensibilità di sicurezza 6

7 LAN Wi-Fi Privata Focus sulla parte privata delle reti! LAN Interna wired di sede (vlan LAN_INTERNA) LAN Wi-Fi Privata Office unmanaged switch FIREWALL / UTM Internet fw VLAN controlled ports Router Internet Rete Firewall esterna LAN Wi-Fi Ospiti unmanaged switch 7

8 LAN Wi-Fi Privata Office componente tecnologica 1. L utente interno accede in modalità wireless (IEEE 802.1x ) alle stesse risorse cui accederebbe in wired; 2. per farlo deve esclusivamente utilizzare un computer facente parte del dominio aziendale. 3. Il calcolatore che entra in rete Wi-Fi deve essere preventivamente predisposto all accesso: viene utilizzato un certificato digitale (ITU-T X.509) emesso da una Certification Authority interna che un authentication server convalida mediante il protocollo RADIUS (IETF RFC 2865). 4. L utilizzatore del calcolatore connesso in Wi-Fi viene a suo volta identificato e autenticato con metodologie conformi al Codice della Privacy (Dlgs 196/2003) 5. e gli vengono presentate le sole risorse aziendali a cui è specificatamente autorizzato ad accedere. 6. Solo a questo punto l utente può interagire con le risorse verso le quali è accreditato: il trattamento delle stesse sarà però sempre governato dalle ulteriori policy implementate a livello di singole applicazioni (gestione ruoli aziendali). 8

9 LAN Wi-Fi Privata Office: sintesi policy gestionali flusso standard Accredito Attori: Area del Personale, Responsabili di Organismo, Responsabile del Trattamento Strumenti: Procedure aziendali, Modulistica formale Identificazione Attori: Responsabile del Trattamento, Responsabile Sicurezza Strumenti: Elenchi formali, Sistemi informatici Istruzione Accredito Identificazione Operatività Istruzione Attori: Responsabile del Trattamento, Responsabile di Organismo, Utente Strumenti: Corsi, Training on the job, Procedure e manualistica Abilitazione Abilitazione Attori: Responsabile del Trattamento, Responsabile Sicurezza, Staff IT Strumenti: Procedure aziendali, Modulistica formale Operatività Attori: Tutti i precedenti soggetti Strumenti: Tutti i precedenti strumenti Verifiche e convalide periodiche (in ogni fase del flusso) Verifiche e convalide periodiche (in ogni fase del flusso) Attori: Tutti i precedenti soggetti, Auditors interni ed esterni Strumenti: Tutti i precedenti strumenti, Verifiche incrociate, Auditing 9

10 LAN Wi-Fi Privata Office: sintesi policy gestionali step aggiuntivi per il wireless Istruzione uso device Attori: Utente, Staff IT Strumenti: Training on the job, Manualistica Istruzione uso device Istruzione Accredito Identificazione Operatività Abilitazione Abilitazione device Abilitazione device Attori: Utente, Staff IT Strumenti: Sistemi informatici, Procedure e manualistica IT 10

11 LAN Wi-Fi Ospiti 11 Focus sulla parte ospiti delle reti!

12 LAN Wi-Fi Ospiti componente tecnologica 1. L ospite accede in modalità wireless (IEEE 802.1x ) solo ad Internet e NON alle risorse aziendali interne; 2. per accedere utilizza un proprio calcolatore (o altro device) in grado di supportare la modalità wireless. 3. L interazione del calcolatore con la rete Wi-Fi avviene con metodologie standard di semplice utilizzo: vengono utilizzate le chiavi WPA PresharedKey (cfr. IEEE i-2004 or i). 4. L utilizzatore del calcolatore connesso in Wi-Fi viene a suo volta identificato e autenticato con metodologie conformi al Codice della Privacy (Dlgs 196/2003) 5. le credenziali di identificazione e autenticazione sono governate direttamente dagli apparati UTM (firewall verso Internet e altro) per garantirne i diritti di accesso: solo a questo punto l ospite può accedere verso Internet. 6. È interessante notare che: a) il calcolatore che entra in Internet lo fa utilizzando policy e securizzazioni attivate dall organizzazione proprietaria del device utilizzato dall ospite: gli apparati UTM (agendo sul flusso) permettono però all organizzazione ospitante di disporre di un punto di imposizione di proprie policy (es. se il device non ha un antivirus ne viene comunque imposto uno) b) le policy dell organizzazione ospitante non precludono, ma si aggregano, alle eventuali altre policy definite dall organizzazione proprietaria del device. 12

13 LAN Wi-Fi Ospiti : sintesi policy gestionali Predisposizione sale di accesso Predisposizione credenziali Identificazione ospite Consegna buste (inizio accesso) Restituzione buste (fine accesso) Predisposizione sale di accesso Attori: Responsabili di Organismo (richiedenti), Responsabili di spesa (acquisizione materiali), Responsabile della Sicurezza, Staff IT, Impiantisti Strumenti: Procedure aziendali, Modulistica formale, Sistemi informatici Predisposizione credenziali Attori: Responsabile Sicurezza, Staff IT, Segreteria di competenza della singola sala Strumenti: Procedure aziendali, Buste sigillate con credenziali, Modulistica formale Identificazione ospite Attori: Segreteria di competenza della singola sala, Ospite Strumenti: Procedure aziendali, Modulistica formale Consegna buste (inizio accesso) Attori: Segreteria di competenza della singola sala, Ospite Strumenti: Buste sigillate con credenziali e manualistica Restituzione buste (fine accesso) Attori: Segreteria di competenza della singola sala, Ospite Strumenti: Buste sigillate con credenziali e manualistica, Modulistica formale Verifiche e convalide periodiche (in ogni fase del flusso) Verifiche e convalide periodiche (in ogni fase del flusso) Attori: Tutti i precedenti soggetti, Auditors interni ed esterni Strumenti: Tutti i precedenti strumenti, Verifiche incrociate, Auditing 13

14 Alcuni vantaggi di quanto discusso Semplificazione dell impatto sulla parte gestionale-organizzativa organizzativa: nessuna implementazione aggiuntiva per la parte più corposa e sensibile dell infrastruttura l aggiunta di regolamentazione erga omnes viene limitata alle sole nuove esigenze operative (sostanzialmente la governance degli ospiti) Semplificazione dell impatto sulla parte gestionale-tecnica tecnica: in sostanza limitato alle attività di predisposizione e messa in esercizio delle tecnologie wireless securizzate confinato al mondo ICT in un infrastruttura di rete standard (se ben congegnata allo stato dell arte) l inserimento è relativamente semplice Scalabilità: l incremento dei punti serviti dal wireless è solo un problema confinato alla maggiore componente impiantistica Fruizione: utilizzo estremamente semplice: chi sa usare un accesso Wi-Fi procede in modo autonomo facilmente estensibile ai diversi dispositivi wireless-connected (es. calcolatori, PDA, telefoni cellulari e multimediali, ) Costi: in un infrastruttura di rete standard (sempre se ben congegnata allo stato dell arte) l inserimento con un sufficiente grado di sicurezza può realizzarsi a costi generalmente accettabili 14

15 Alcuni possibili ambiti di evoluzione Centralizzazione della gestione delle credenziali ospiti: all incremento delle sale coperte dal wireless può aumentare il livello di account gestiti localmente al sito; in tal caso può essere utile centralizzare la gestione delle parte informatica delle credenziali in un solo punto (es. UTM che autenticano su server RADIUS). un analogo approccio alla centralizzazione potrebbe anche derivare dalla semplice espansione del dominio di autenticazione di un server (es. RADIUS) che l organizzazione potrebbe aver introdotto inizialmente per altre necessità Portali: tendenza al porting sul web delle applicazioni (es. il web-sharing dei file-server elimina l esigenza del mapping dei dischi di rete) creazione di portali pubblici wireless come entry-point per l accesso a reti wireless securizzate Strong-Authentication Authentication: scalabile verso soluzioni di autenticazione a più fattori; es. password e security token potrebbero essere adottati per autenticare a 2 fattori. Voice Over IP di telecomunicazioni mobili: la disponibilità della tecnologia wireless potrebbe spingere (o essere la spinta) verso soluzioni di riduzione dei costi per la comunicazione mobile: convergenza della telefonia mobile sul VoIP. In questo caso, cellulari che insistessero su un area coperta dal medesimo dominio Wi-Fi parlerebbero tra loro senza corrispondere tariffe ai carrier di telecomunicazioni. Risposta rapida a vincoli per la stesura di cavi: costituisce una soluzione rapida per l aggiunta di nuove reti nei casi in cui un organizzazione wired-based non possa continuare ad utilizzare il media fisico (es. vincoli edili, investimenti non giustificati per un utilizzo limitato nel tempo, ) 15

16 UTILIZZARE I SERVIZI CORPORATE TRAMITE LA TECNOLOGIA WIRELESS Discutiamo di quanto trattato 16