Guida alla valutazione. Web Appliance WS1000. PureMessage for Windows/Exchange Product tour

Transcript

1 Guida alla valutazione Web Appliance WS1000 PureMessage for Windows/Exchange Product tour

2

3 guida alla valutazione: sophos web appliance

4 benvenuti BENVENUTI Benvenuti nella guida alla valutazione della Sophos Web Appliance. Questo documento passa in rassegna le funzionalità chiave dell appliance, mettendone in risalto l efficacia e la facilità di utilizzo. La lettura della guida aiuta a comprendere a fondo come l appliance Sophos WS1000 garantisce il livello di sicurezza richiesto dalle aziende e le prestazioni da queste auspicate ai fini di una navigazione web sicura e produttiva. Questo dispositivo appartiene alla pluripremiata gamma di soluzioni Sophos per la sicurezza e il controllo dell infrastruttura web, ed è progettato su misura per il segmento business, il settore Education e la Pubblica Amministrazione. Le appliance Sophos sono frutto dell esperienza ventennale di Sophos nel settore della sicurezza informatica e della competenza di SophosLabs, la rete mondiale di centri per l analisi delle minacce informatiche, nella protezione da virus e spam. Sophos rileva tempestivamente le minacce alla sicurezza, ormai sempre più complesse e rapide a diffondersi, rilasciando immediatamente la protezione specifica. Questa è una delle ragioni per cui Sophos vanta nel settore un livello invidiabile di protezione e di soddisfazione dei clienti. La Sophos WS1000 è esattamente la soluzione ricercata dalle aziende: blocca di fatto tutto il malware, senza ostacolare o rallentare l accesso dei client a Internet. Barry Nance, Network Testing Labs Come tutte le soluzioni Sophos, la WS1000 include il supporto tecnico completo, fornito senza costi aggiuntivi 24 ore su 24,365 giorni all anno dalla rete mondiale Sophos di tecnici altamente qualificati. Per informazioni sui prezzi e sulla disponibilità dell appliance nella propria area, contattare la filiale o il partner Sophos più vicino. Per sapere da chi è servita la vostra area, visitate: Per richiedere la valutazione del prodotto, compilare il modulo di richiesta online disponibile all indirizzo:

5 guida alla valutazione: sophos web appliance

6 sommario Sommario 1 introduzione 6 Gestione 7 Funzionalità e vantaggi principali 8 Componenti software 8 Componenti hardware 9 2 funzionalità del prodotto 10 Filtraggio di sicurezza 10 Acceptable Use Policy 12 Filtraggio degli URL 16 Altre opzioni di filtraggio 17 Scansione con un singolo motore 18 Blocco del traffico diretto ai server in attesa ( call home ) 19 3 impostazione 20 Installazione 20 Configurazione 21 Esperienza utente 22 4 gestione dell appliance 25 Console di gestione e pannello di controllo Monitoraggio, allarmi e notifiche Aggiornamenti 27 Backup e ripristino della configurazione 28 Gestione del feedback degli utenti 29 Funzioni aggiuntive di ricerca 30 Integrazione con Active Directory 31 5 reportistica 32 Report del pannello di controllo 32 Pagina Reports 33 Utilizzo dei dati di log per la creazione di report 35 6 supporto tecnico 36 Il concetto di appliance gestita 36 Garanzia 38 Supporto tecnico standard 38 Appendici I Criteri predefiniti 39 II Modalità proxy trasparente e bridge 41 III Livelli di servizio dell appliance gestita 42

7 guida alla valutazione: sophos web appliance 1: introduzione panoramica La web appliance WS1000 è una soluzione per la sicurezza del gateway web che protegge in maniera completamente integrata da spyware, virus, Trojan, worm, phishing e dai contenuti web offensivi o indesiderati. La WS1000 è costituita da una robusta piattaforma hardware ad alta capacità e disponibilità, che garantisce il massimo della sicurezza con una semplicità e un controllo senza paragoni. Sempre un passo avanti rispetto alle minacce in continua evoluzione, che proliferano in Internet e sfuggono ai filtri web tradizionali, la WS1000 salvaguarda le reti dalle minacce provenienti dal web, aiutando a mantenere inalterate le prestazioni della rete e la produttività dei dipendenti. Massima protezione del gateway web La Sophos Web Appliance assicura il massimo della protezione per il gateway web con il minimo impiego di risorse amministrative. Caratteristiche principali del prodotto Protezione proattiva senza eguali nel mercato delle appliance per la sicurezza web Le Sophos Web Appliance garantiscono sicurezza e controllo completo, esaminando tutto il traffico in ingresso e in uscita dalla rete aziendale. Questo metodo di filtraggio, unico nel suo genere, abbinato alla tecnologia proprietaria di scansione Genotype, assicura la protezione automatica contro gli odierni attacchi web, rapidi e mutevoli. La tecnologia Genotype effettua la scansione di un codice e ne determina la funzionalità e il probabile comportamento, senza consentirne l esecuzione. Controllo completo Le funzionalità di controllo dell infrastruttura web delle appliance Sophos si avvalgono di un database formato da 54 categorie che copre 3,9 miliardi di pagine in 200 lingue, aiutando le aziende ad assicurare un uso produttivo e conforme di Internet. Attraverso il controllo delle applicazioni e della tipologia di dati, gli amministratori sono in grado di gestire una navigazione ad uso intensivo di larghezza di banda e di limitare le applicazioni e i contenuti indesiderati. Appliance gestita La soluzione gestita di Sophos, unica nel suo genere, sgrava gli amministratori da compiti di configurazione e manutenzione che richiedono molto tempo, semplificando la gestione attraverso intuitivi controlli grafici. Lo stato di attività e la disponibilità del sistema sono garantiti da una rete di 50 monitor di sistema integrati, che verificano di continuo l hardware, il software e il traffico, fornendo aggiornamenti automatici sullo stato del sistema al team operativo di Sophos. Console di gestione con funzioni a portata di tre clic A queste potenti tecnologie si affianca una console di gestione via web che semplifica le operazioni amministrative, consentendo di monitorare e controllare al meglio la sicurezza web. La console di gestione è progettata per dare accesso immediato a importanti informazioni processabili, che aiutano gli amministratori a prendere decisioni informate sui livelli di traffico, le prestazioni del sistema e le abitudini di navigazione degli utenti.

8 1: introduzione Gestione La Sophos Web Appliance offre una serie di vantaggi che rendono la navigazione web semplice, sicura e produttiva. Proteggete il più cruciale dei sistemi di comunicazione odierni Prevenite le infezioni causate dalle rapide e mutevoli minacce provenienti dal web, facendo affidamento sulla comprovata protezione proattiva di Sophos. La tecnologia Genotype rileva in maniera proattiva il 93% delle minacce, senza richiedere aggiornamenti. Controllate l utilizzo di Internet Salvaguardate la produttività controllando l accesso web e l utilizzo di Internet a seconda dell utente, del gruppo, del sito web e del contenuto. Migliorate il monitoraggio della sicurezza Utilizzate informazioni in tempo reale sulla sicurezza e sulle prestazioni per creare rapidamente criteri efficaci. Semplificate l amministrazione Riducete costi e rischi mediante funzioni di gestione a portata di tre clic e funzioni di monitoraggio e correzione da remoto uniche nel loro genere. Scegliete una piattaforma ad alte prestazioni La piattaforma Sophos è stata sviluppata ad hoc per il filtraggio ad alte prestazioni e garantisce la massima disponibilità.

9 guida alla valutazione: sophos web appliance Funzionalità e vantaggi principali Funzionalità Indipendenza dalla piattaforma Vigilanza incomparabile sulle minacce web Rilevamento completo del malware Protezione proattiva Genotype e Behavioral Genotype Proxy con anonimato e rilevamento HTTPS Elevata capacità Alte prestazioni Conformità normativa e protezione della produttività Protezione multilingue Appliance gestita di Sophos Supporto tecnico completo Vantaggio Si integra perfettamente in qualsiasi infrastruttura di rete preesistente La rete di centri di sicurezza di SophosLabs esamina miliardi di pagine web al giorno, ricercando a fondo il malware come nessun altro produttore di soluzioni di sicurezza Blocca spyware, phishing, virus, Trojan, worm, adware e altro malware, compreso il traffico proveniente dai computer infetti e diretto ai server in attesa ( call-home ) Blocca le varianti mutevoli di malware e le minacce sconosciute prima che possano essere eseguite o installate Rileva e blocca automaticamente i proxy e i filtri con anominato e controlla il traffico HTTPS criptato. Gestisce facilmente il traffico web fino a 200 utenti concorrenti su un singolo dispositivo Un singolo motore di scansione rileva e blocca le minacce in modo più rapido ed efficiente rispetto alle soluzioni a motore multiplo Blocca l accesso a contenuti web offensivi e illegali, consentendo di controllare l accesso a un ampia gamma di ulteriori categorie Protegge le aziende multinazionali dalle minacce web nei flussi di messaggi in diverse lingue Richiede poche risorse amministrative, installa automaticamente gli aggiornamenti software e di sicurezza e consente il monitoraggio remoto dell attività di sistema, garantendo il massimo della protezione 24 ore su 24 Include il supporto tecnico 24 x 7 x 365 per l intera durata della licenza software, attraverso l assistenza personalizzata contattabile a qualsiasi ora Componenti software Il software integrato nella WS1000 include i seguenti componenti principali: motore di scansione Sophos ad ampio spettro, che protegge da spyware, virus e applicazioni indesiderate filtro degli URL Console di gestione e pannello di controllo Allarmi e notifiche di sistema integrazione con Active Directory. La WS1000 è dotata di sistema operativo Linux con protezione avanzata, ottimizzato per la piattaforma hardware e per il software Sophos integrato. Linux è un sistema operativo estremamente stabile e affidabile, ed offre velocità e prestazioni eccellenti alle appliance per la sicurezza di rete. Il kernel Linux è stato ottimizzato per la massima sicurezza e prevenzione dagli attacchi degli hacker, pertanto il numero di porte aperte è il minimo possibile.

10 1: introduzione Componenti hardware La WS1000 è ingegnerizzata per reti di piccole e medie dimensioni, ed è dotata di una robusta piattaforma hardware in grado di gestire fino a 1000 utenti simultanei. L appliance presenta i seguenti componenti hardware su server dedicato 1U: processore dual-core due hard disk SATA da 160 GB, 7200 giri/min. Funzioni a portata di tre clic La console di gestione è caratterizzata da una notevole facilità di navigazione: ogni funzione è distante al massimo tre clic, e non è mai necessario accedere da riga di comando.

11 guida alla valutazione: sophos web appliance 2: FUNZIONALITÀ DEL PRODOTTO panoramica La WS1000 è una soluzione per la protezione del gateway web estremamente facile da implementare, che garantisce sicurezza e controllo completo. Si integra perfettamente in qualsiasi infrastruttura di rete ed è dotata di un sistema operativo autosufficiente, quindi non è necessaria la conoscenza di UNIX, Linux, Solaris o di altra piattaforma server. La WS1000 offre una combinazione unica tra protezione completa dal malware a livello di pagina (anziché solo a livello di dominio) e controllo dell adware, dello streaming media e delle applicazioni indesiderate. Permette inoltre la creazione di criteri di accesso personalizzati basati sulle categorie di sito web. Monitorando le richieste in uscita e i dati in ingresso, la WS1000 consente agli amministratori di garantire la sicurezza della rete e di applicare criteri di navigazione Internet in modo facile ed efficace con un singolo dispositivo. Questa sezione spiega come la WS1000 permette di mettere in atto una politica di sicurezza del web. Filtro per spyware, malware e tipi di file indesiderati Filtro di tipo call-home per URL e spyware Filtraggio di sicurezza In seguito all evoluzione delle comunicazioni a banda larga e delle applicazioni via web, Internet si è affermato non solo come indispensabile strumento di comunicazione per le aziende di ogni tipo e dimensione, ma anche come principale punto vulnerabile della sicurezza di rete. Oggigiorno la maggior parte delle aziende non potrebbe più svolgere le proprie attività di routine senza consentire ai propri utenti l accesso a Internet. Questa forma di libertà è purtroppo ben nota agli autori di malware, come lo è il fatto che la maggior parte delle aziende non ha ancora provveduto ad adottare a tal riguardo adeguate misure di sicurezza. La crescita esplosiva del fenomeno dello spyware e del phishing, cui si è assistito negli ultimi anni, testimonia quanto sia rischioso navigare in Internet in maniera incontrollata. 10

12 2: funzionalità del prodotto: determinare i rischi associati a una pagina web La WS1000 è anzitutto un dispositivo di sicurezza. Nasce dall esperienza maturata da Sophos nel settore della sicurezza informatica nel corso di un ventennio, e la sua funzione principale è di prevenire le infezioni causate dal malware proveniente dal web, tra cui spyware, Trojan, virus, worm e phishing. La protezione è assicurata dalla scansione di tutto il traffico HTTP/HTTPS in ingresso nella rete aziendale, prima che raggiunga il browser dell utente finale. Se viene rilevata la presenza di malware, questo viene rimosso e il rimanente contenuto pulito raggiunge il browser senza difficoltà. Contenuti malevoli possono annidarsi praticamente su qualsiasi sito web, ma non è pensabile analizzare senza sosta il contenuto di tutti i siti perché causerebbe un eccessiva latenza, che verrebbe percepita negativamente dall utente. Per vincere questa sfida, che altrimenti costringerebbe a un compromesso tra sicurezza e prestazioni, la Sophos Web Appliance si avvale di un innovativa tecnologia di scansione sensibile al livello di rischio, adeguando la profondità di scansione al rischio associato alla pagina web. Scansione sensibile al livello di rischio La profondità di scansione dei contenuti in ingresso varia a seconda del rischio accertato in relazione alla pagina web: più alto è il rischio, più approfondita sarà la scansione. Determinare i rischi associati a una pagina web La scansione sensibile al livello di rischio si fonda sulla capacità peculiare di Sophos di determinare il livello di rischio di miliardi di pagine web al giorno. La rete di centri di sicurezza di SophosLabs perlustra il web ricercando fonti di codice malevolo e identifica una media di oltre nuovi URL alla settimana. Quando domini e pagine web vengono visitati, i livelli di rischio e l azione da intraprendere vengono assegnati come segue: Livello di Caratteristiche del sito Azione rischio Alto Ospita attualmente contenuti malevoli Blocca Medio Basso Casi passati di scarsa privacy e/o sicurezza che possono compromettere la sicurezza di rete Dalla verifica periodica effettuata da SophosLabs non risulta alcun caso recente di comportamento o contenuto malevolo Blocca o esamina Esamina La capacità di differenziare tra siti a basso e medio rischio è fondamentale per garantire un esperienza utente senza soluzione di continuità, che non comprometta la sicurezza. Utilizzando una scansione sensibile al livello di rischio, la WS1000 esegue sui siti a medio rischio una scansione più approfondita rispetto ai siti a basso rischio. Per esempio, analizza le immagini sui siti a medio rischio, ma tralascia quelle sui siti a basso rischio, poiché questi elementi raramente contengono malware. La WS1000 utilizza altre due categorie relative al rischio: Siti affidabili e siti non classificati. La lista dei siti affidabili è gestita dall amministratore e contiene siti web considerati sicuri e quindi esclusi dalla scansione. Questa lista, che può includere reti interne, portali aziendali e siti istituzionali, può essere gestita a livello locale. Non classificati sono invece i siti non ancora analizzati da SophosLabs. L amministratore può scegliere di associare questi siti a una delle tre classi principali di rischio alto, medio o basso e di assegnare le opportune azioni. 11

13 guida alla valutazione: sophos web appliance Acceptable Use Policy Controllare o monitorare l utilizzo di Internet da parte dei dipendenti è senz altro il metodo più efficace per migliorare la produttività, ridurre il rischio di responsabilità legale e impedire la perdita accidentale di dati riservati. Com è ovvio, è necessario conciliare le esigenze di controllo con le mutevoli esigenze degli utenti. In tal senso, la funzione Group Policy della WS1000 permette di creare facilmente criteri completi, che consentono alle aziende di esercitare il necessario controllo, senza impedire l utilizzo legittimo di Internet. Group Policy è un insieme di criteri comprendente il criterio predefinito e numerosi criteri aggiuntivi, a seconda delle esigenze aziendali. Ogni singolo criterio consta di tre elementi: un elenco di utenti, computer e/o gruppi a cui si applica il criterio un elenco di regole relative al filtraggio delle applicazioni e degli URL opzioni aggiuntive che influenzano l esperienza di navigazione dell utente. Durante l installazione, l amministratore seleziona un set di criteri basilari che diventerà il criterio predefinito dell appliance in questione, e può essere visualizzato e modificato in un secondo momento nella pagina Default Policy. Il criterio predefinito è una regola valida per ogni categoria di URL e tipo di applicazione. Figura 1: selezione dei criteri basilari durante la procedura guidata di installazione La maggior parte delle aziende presenta utenti o gruppi che necessitano di visitare siti ad accesso ristretto, o ai quali è consigliabile applicare controlli severi. Per esempio, è probabile che un università voglia imporre al personale e ai docenti restrizioni diverse da quelle applicate agli studenti. La WS1000 consente questa distinzione tramite la creazione di criteri aggiuntivi che specificano regole alternative per determinati utenti, computer o gruppi. La maggior parte dei criteri aggiuntivi specificherà soltanto le regole valide per un sottoinsieme di possibili categorie di URL o tipi di applicazioni. La creazione di criteri aggiuntivi avviene tramite una procedura guidata in tre passi (v. figura 1), che consente di specificare per ogni criterio l appartenenza, il contenuto e un nome facile da ricordare. I criteri possono essere creati anche con una data di scadenza prestabilita se sono temporanei, per esempio un criterio che consente a un collaboratore esterno l accesso limitato a Internet. 12

14 2: funzionalità del prodotto Acceptable Use Policy Ogni accesso a un sito web o download dallo stesso viene confrontato con ogni criterio in ordine di priorità. Se l utente o indirizzo IP corrisponde a un criterio, e il contenuto corrisponde a una categoria o tipo di file specificato nel criterio, sarà messa in atto l azione opportuna. Se non esiste corrispondenza alcuna, viene applicato il criterio predefinito. È possibile rimuovere utenti dal criterio predefinito. In questo caso, le richieste degli interessati saranno bloccate. L esclusione dal criterio predefinito può essere gestita nella pagina Default Groups. Figura 2: dalla pagina Special Hours è possibile gestire l utilizzo di Internet in certe ore della giornata Alcune aziende consentono ai propri utenti di accedere a numerosi siti web in certe ore della giornata. La pagina Special Hours (v. figura 2) consente la creazione di tale criterio alternativo. Questo criterio può essere applicato a un numero massimo di due fasce orarie al giorno, per esempio la pausa pranzo e un certo periodo di tempo al di fuori dell orario di lavoro. Figura 3: la funzionalità Policy Test identifica il criterio che sta bloccando una richiesta 13

15 guida alla valutazione: sophos web appliance La WS1000 presenta l innovativa funzione Policy Test (v. figura 3, pag. 13), studiata per facilitare la risoluzione dei problemi legati ai criteri. Questa funzione è di grande utilità, in quanto la struttura dei gruppi di Active Directory può essere complessa e gli utenti potrebbero appartenere a molti gruppi diversi. Se a un utente viene negato l accesso a un sito web, è possibile scoprire immediatamente quale criterio è responsabile del blocco inserendo l URL insieme al nome utente o indirizzo IP. Anche se un sito è autorizzato dal Criterio gruppo, le funzionalità di filtraggio dell appliance non possono essere escluse. Tutti i siti vengono esaminati per verificare l eventuale presenza di contenuti malevoli e bloccati se ritenuti ad alto rischio per la sicurezza. Proxy con anonimato e filtraggio HTTPS I proxy con anonimato sono server che nascondono la vera natura di un sito Web. Gli utenti di aziende e scuole li utilizzano per ingannare il filtro Internet della loro organizzazione e accedere quindi ai siti proibiti, come quelli per il gioco di azzardo o per adulti. Molti amministratori IT dedicano regolarmente varie ore a settimana al rilevamento e al bloccaggio manuale di questa minaccia per la rete. Rilevamento di proxy con anonimato Sophos Web Appliance utilizza due tecnologie fondamentali per rilevare e bloccare i proxy con anonimato: un servizio basato sulla reputazione e uno scanner del traffico in tempo reale in attesa di brevettazione. Il servizio basato sulla reputazione rileva tutti i forum Internet, le mailing list e i blog che condividono nuovi siti proxy con anonimato. Mano a mano che vengono pubblicati nuovi siti, Sophos aggiorna automaticamente il suo elenco di bloccaggio dei proxy, riducendo la permanenza in Internet dei proxy con anominato. La scansione del traffico in tempo reale controlla ogni richiesta in Internet relativa alla presenza di proxy con anonimato. Questa tecnologia consente di intercettare efficacemente i proxy privati, non pubblicati o nuovi che altrimenti non verrebbero identificati dal servizio basato sulla reputazione. Filtraggio degli HTTPS Sophos Web Appliance consente l attuazione della sicurezza e dei criteri su canali criptati mediante HTTPS, eliminando le tradizionali falle nella sicurezza. Questo fa sì che tutto il traffico Internet venga filtrato per verificarne l uso accettabile, la presenza di malware e proxy, compresi i tradizionali contenuti codificati della posta SSL, come Gmail. 14

16 2: funzionalità del prodotto filtraggio delle applicazioni Filtraggio delle applicazioni La WS1000 consente una migliore gestione dell utilizzo di banda connesso alla navigazione web. L appliance è in grado di bloccare il download di numerosi tipi di file, che potrebbero consumare banda e rallentare il traffico web. Utilizzando un semplice sistema di tipo punta e clicca all interno della console di gestione, gli amministratori possono controllare i seguenti tipi di file: Tipo di file Eseguibile Documento Streaming audio Streaming video Archivio Dettagli Comando DOS (com) Applet Java (Class) Javascript (js) Controllo ActiveX (ocx) Adobe PDF (pdf) Microsoft Excel (xls) Microsoft Powerpoint (ppt) Microsoft Word (doc) Midi (midi) Audio MPEG (mp3) RealAudio (ra) Audio Video Interleave (avi) Video MPEG (mpg, mpeg) QuickTime video (mov) Java (jar) RAR (rar) Stuffit (sit) Estensione Visual Basic (vbx) Eseguibile Windows (exe) File di libreria di Windows (dll) Altri eseguibili Microsoft Project (mpp) Rich Text Format (rtf) WordPerfect (wpd) Wave (wav) Windows Media Audio (wma) RealMedia (rm) Windows Media video (wmv) Tarball (tar) Zip (zip) Altro archivio (bz2, gz, Z) Oltre a questi tipi comuni di file, la WS1000 è anche in grado di bloccare numerose applicazioni classificate da Sophos come applicazioni potenzialmente indesiderate (PUA, potentially unwanted application). Queste applicazioni, tra cui adware, strumenti di hacking, dialer, strumenti per il monitoraggio remoto e monitor di sistema, possono essere di per sé innocue, ma potrebbero consumare banda e CPU, risultando quindi indesiderate. Le applicazioni potenzialmente indesiderate possono essere facilmente bloccate spuntando la relativa casella durante la creazione o la modifica dei criteri (v. figura 4). Applicazioni potenzialmente indesiderate Per applicazioni potenzialmente indesiderate Sophos intende le applicazioni ritenute inadatte all ambiente di lavoro, che potrebbero ripercuotersi negativamente sulle risorse del computer o della rete. Figura 4: impostazione dei criteri di download per bloccare determinati tipi di file 15

17 guida alla valutazione: sophos web appliance Come per le pagine web, gli amministratori possono applicare delle eccezioni anche alla lista delle applicazioni o dei tipi di file bloccati, autorizzandoli manualmente in base alle richieste degli utenti (per poter inoltrare richieste di sblocco e di riclassificazione l opzione Allow user feedback deve essere abilitata v. sezione 3 e figura 5). Figura 5: l opzione Allow user feedback abilita l invio di richieste di riclassificazione dei siti Filtraggio degli URL Per una serie di ragioni, molte aziende non desiderano consentire ai propri dipendenti l accesso illimitato a Internet. Alcuni contenuti sono ritenuti fuori luogo nell ambiente di lavoro, per le seguenti ragioni: perdita di produttività e utilizzo del tempo e delle risorse aziendali per uso personale rischio di responsabilità legale derivante dalla pubblicazione e/o distribuzione di contenuti offensivi e/o illegali. Controllo della produttività I lavoratori hanno utilizzato circa il 20% del tempo di navigazione in Internet a scopo personale o di intrattenimento. Studio di Burstek sull utilizzo di Internet nel 2005 Il metodo più efficace per impedire al personale di visualizzare contenuti indesiderati o pericolosi, consentendogli nello stesso tempo l accesso ad altri contenuti, è di bloccare l accesso ai siti web in base alla categoria di appartenenza (ad es. acquisti, intrattenimento, giochi, finanza, pornografia, ecc.). 16

18 2: funzionalità del prodotto altre opzioni di filtraggio La WS1000 è dotata di un database formato da 54 categorie che copre oltre 24 milioni di siti e tre miliardi di pagine web: Le categorie sono: Adulti/Sessualmente Cibo e ristorazione Motori Shopping esplicito Pubblicità e pop-up Gioco d azzardo Notizie Società e cultura Alcool e tabacchi Giochi Peer-to-Peer URL di spam Arti Pubblica amministrazione Annunci personali Sport Blog e forum Pirateria informatica Org. filantropiche e professionali Spyware Affari Salute e medicina Phishing e truffe Streaming Chat Hobby e svago Ricerca di foto Cattivo gusto/ Offensivo Informatica Siti host Politica Viaggi e Internet Attività criminose Sostanze illecite Proxy e traduttori Violenza Download Infrastrutture Immobili Armi Istruzione Biancheria intima e moda mare Riferimento basata sul web Intrattenimento Moda e prodotti di bellezza Finanza e investimenti Intolleranza e razzismo Ricerca di lavoro e sviluppo carriera Siti per ragazzi Suonerie/Download per cellulari Motori di ricerca Educazione sessuale Personalizzata Intranet e altri siti dei clienti L amministratore può impostare un criterio per autorizzare o negare l accesso a ognuna di queste categorie. (Nota: il filtro di sicurezza della WS1000 esaminerà comunque i contenuti autorizzati per verificare l eventuale presenza di malware v. pagina 11). Gli amministratori possono scegliere di avvertire gli utenti in procinto di visitare un sito appartenente a una specifica categoria e di richiederne il consenso prima di consentire l accesso. Se una richiesta viene negata in base al criterio stabilito, l appliance dà la possibilità di comunicare all utente che ha richiesto la pagina la ragione per cui la sua richiesta è stata negata. Per maggiori dettagli consultare il paragrafo Notifiche all utente finale a pagina 24. Sicurezza aggiornata SophosLabs esamina ogni giorno miliardi di pagine web, al fine di aggiornare il database integrato nella WS1000 comprendente oltre 24 milioni di siti web sospetti. Altre opzioni di filtraggio La WS1000 permette di impostare ulteriori criteri, tra cui: Impostazioni cache SophosLabs Modalità di log Opzioni aggiuntive Dimensioni massime e minime degli oggetti memorizzabili nella cache Condivisione dati con SophosLabs (non identificabili in base all utente o all indirizzo IP) Includere nome utente e indirizzo IP durante la visualizzazione di report, risultati di ricerca e log Autorizza/nega indirizzo IP pubblico; autorizza file crittografati e non esaminabili; autorizza file di grandi dimensioni senza esaminarli 17

19 guida alla valutazione: sophos web appliance Scansione con un singolo motore Il cuore operativo della WS1000 è costituito dall avanzata tecnologia Sophos di scansione con un singolo motore, lo stesso motore che protegge oltre 100 milioni di utenti Sophos nel mondo. La nostra tecnologia garantisce una sicurezza completa e tempestiva, verificando contemporaneamente la presenza di tutte le tipologie di minaccia web in un unico passaggio (v. figura 6). Questo metodo elimina la necessità di utilizzare motori separati per rilevare spyware e virus, e filtrare gli URL, riducendo inoltre la latenza delle pagine a beneficio dell utente finale. Ne consegue un dispendio sostanzialmente ridotto di risorse amministrative altrimenti necessarie alla gestione e alla creazione di criteri per diversi motori. Protezione estesa all intero ciclo di vita delle minacce La protezione garantita da SophosLabs si estende all intero ciclo di vita di una minaccia, dall identificazione del malware alla sua diffusione e ulteriore evoluzione. La Sophos Web Appliance offre il connubio ideale tra automazione e controllo a supporto delle esigenze di sicurezza della navigazione web in ambito aziendale. Questo dispositivo abbina l aggiornamento automatizzato delle definizioni del malware a funzionalità rapide e intuitive di amministrazione e agli allarmi basati sulle eccezioni. Questa combinazione di funzionalità riduce al minimo il carico di lavoro giornaliero degli amministratori, soddisfacendone nello stesso tempo le esigenze di monitoraggio e controllo. Inoltre, la WS1000 trae vantaggio dall intensa attività svolta da SophosLabs nel panorama della sicurezza informatica, che assicura una protezione proattiva tramite l analisi tempestiva delle nuove minacce alla sicurezza, molteplici metodi di rilevamento/aggiornamento e la gestione completa dell intero ciclo di vita delle minacce. L utilizzo delle Sophos Web Appliance in ambito aziendale presenta i seguenti vantaggi: massima protezione contro minacce nuove e sconosciute riduzione del carico di lavoro per gli amministratori certezza che l infrastruttura web è protetta. Figura 6: la tecnologia di scansione della WS1000 garantisce il massimo della protezione 18

20 2: funzionalità del prodotto blocco del traffico di tipo call home Blocco del traffico diretto ai server in attesa ( call home ) Avvalendosi della capacità di Sophos di rilevare e analizzare il malware proveniente dalle fonti più disparate, la WS1000 è anche in grado di impedire ai computer client infettati da spyware di ritrasmettere i dati ai server in attesa ( calling home ). Quando SophosLabs identifica un URL che funge da archivio di informazioni rubate da computer infetti, aggiunge l URL alla lista dei siti web ad alto rischio, impedendo ai computer di visitarlo. Qualora l infezione si fosse verificata prima dell installazione della WS1000, o in altro modo, l amministratore sarebbe in grado di identificare i computer compromessi tramite la semplice visualizzazione del report Suspect Machines all interno della console di gestione (v. figura 7 qui sotto). Protezione dallo spyware Quando i computer sono infettati da spyware, gli si impedisce di contattare gli URL che fungono notoriamente da archivio di informazioni rubate. Figura 7: report Suspect Machines 19

21 guida alla valutazione: sophos web appliance 3: installazione Panoramica Questa sezione tratta i seguenti argomenti: installazione basilare e configurazione dell appliance, impostazione di Active Directory, preferenze utente e impostazioni predefinite dei criteri. Il suo scopo non è di sostituire la guida all installazione della WS1000, bensì di dimostrare la semplicità e la facilità di amministrazione dell appliance. Installazione Come dispositivo per la sicurezza del gateway, la Sophos Web Appliance viene installata normalmente nella DMZ, all interno del firewall di rete e dell upstream dai computer client. Esistono tre modalità tipiche di installazione: proxy esplicito, proxy trasparente e bridge. Proxy esplicito Il metodo preferito di installazione della Sophos Web Appliance è proxy esplicito. Questa modalità offre la maggior sicurezza e funzionalità, e migliora l esperienza utente, in quanto il browser client comunica direttamente con l appliance. Questa modalità di installazione consente la validazione dei certificati HTTPS, nonché l utilizzo di Active Directory per la reportistica e la creazione dei criteri. La modalità esplicita richiede la configurazione delle impostazioni del browser client, che può essere automatizzata in ambiente Active Directory. Sophos raccomanda inoltre di verificare la configurazione del firewall per garantire una sicurezza ottimale. Figura 8: WS1000 installata in modalità proxy esplicito 20

22 3: impostazione configurazione Altre modalità Le modalità proxy trasparente e bridge limitano alcune aree del controllo dei criteri e non consentono l integrazione con Active Directory. Per una descrizione più dettagliata, consultare l Appendice II. Configurazione La configurazione delle Sophos Web Appliance è estremamente semplice. Dopo l installazione e l avvio, una procedura guidata di installazione molto semplice aiuta a completare il processo di configurazione, riducendo il tempo di installazione a meno di 30 minuti. La procedura guidata comprende il rilevamento automatico delle impostazioni di Active Directory, nonché una serie di impostazioni predefinite dei criteri, in modo da proteggere il traffico web in modo rapido e semplice. Come illustrato dalla figura 9, le impostazioni di configurazione possono essere modificate in qualsiasi momento utilizzando la console di gestione dell appliance con funzioni a portata di tre clic. Figura 9: modifica delle impostazioni di configurazione 21

23 guida alla valutazione: sophos web appliance La tabella sottostante mostra i componenti della WS1000 configurabili in maniera specifica: Account Criterio gruppo Amministratori Opzioni della pagina di notifica Criterio predefinito Gruppi predefiniti Orari speciali Criteri aggiuntivi Criterio globale Test dei criteri Filtro di sicurezza Opzioni di download Opzioni generali Validazione certificati Classificazioni locali Sistema Aggiunta classificazioni locali Aggiornamenti Backup Ripristino Allarmi Active Directory Rete Fuso orario Interfaccia di rete Nome host Connettività di rete Per trovare un elenco delle impostazioni predefinite, consultare l Appendice I. Esperienza utente Quando si tratta di navigare in Internet, gli utenti si aspettano l accesso immediato (o quasi) ai contenuti desiderati. Malgrado l esistenza di numerose ragioni per cui una pagina non viene caricata banda insufficiente, ritardi nell instradamento, sovraccarico del server, ecc. gli utenti si spazientiscono quando non riescono a ottenere le informazioni ricercate. La sicurezza web finisce spesso sotto accusa, in base all assunto che la scansione finalizzata al rilevamento di eventuali minacce rallenta la fruizione dei contenuti web. Impostazione rapida e semplice Una semplice procedura guidata di installazione aiuta a mettere in opera l appliance in meno di 30 minuti. Mentre la scansione dei file può determinare gran parte della latenza nelle tradizionali soluzioni per la sicurezza web, ciò non vale per la WS1000. Uno dei principi chiave di progettazione delle Sophos Web Appliance consiste nel garantire un esperienza utente ottimale, senza problemi di latenza. Come discusso nella sezione 2, la tecnologia di scansione dell appliance è progettata per ridurre al minimo il tempo di scansione e la latenza delle pagine. Per quanto riguarda la visualizzazione, l esperienza utente è altrettanto positiva. 22

24 3: impostazione notifiche all utente finale La WS1000 utilizza una serie di notifiche all utente finale e routine di feedback per comunicare efficacemente con i browser al verificarsi di una violazione dei criteri o di un ritardo nella visualizzazione dei contenuti. La sezione successiva descrive questi strumenti in maniera dettagliata. Notifiche all utente finale Non appena si verifica una violazione dei criteri per esempio, il tentativo di visitare un sito che ospita contenuti malevoli o la richiesta di scaricare un tipo di file indesiderato la WS1000 invia una notifica all utente. Le pagine di notifica vengono visualizzate nei seguenti casi: Rilevamento di malware Sito ad accesso ristretto Violazione dei criteri Applicazione bloccata Tipo di file bloccato Attesa (download lento dal server web) Certificato non valido (HTTPS) Avviso con possibilità di continuare. A discrezione dell amministratore, la pagina di notifica può contenere le seguenti informazioni: URL richiesto Ragione per cui è stato negato l accesso Logo aziendale. Quando si tenta di scaricare file di grandi dimensioni, gli utenti finali visualizzano anche una finestra di attesa, completa di barra di avanzamento (v. sotto). 23

25 guida alla valutazione: sophos web appliance L amministratore può modificare il titolo della pagina e i commenti aggiuntivi per ogni pagina di notifica. Gli utenti, i cui browser funzionano in una delle lingue alternative supportate (francese, spagnolo, tedesco o italiano), vedranno il testo visualizzato nella propria lingua. Tutti gli altri utenti vedranno la versione in lingua inglese. Gli amministratori possono modificare il testo visualizzato per ogni lingua in modo indipendente. Per maggiori dettagli si veda la figura 10 qui sotto. Le funzionalità di notifica della WS1000 sono una garanzia di trasparenza per la politica di sicurezza web di un azienda, e dimostrano l efficacia dell appliance nel tenere la rete al riparo da malware e contenuti pericolosi o indesiderati. Opzione Allow user feedback Figura 10: pagina di configurazione delle notifiche Un altro modo per garantire agli utenti una navigazione sicura e piacevole consiste nel consentirgli di richiedere la modifica dei criteri di sicurezza web attraverso il sistema di notifica descritto sopra. Le richieste vengono inoltrate con un semplice clic sul link presente nella pagina di notifica, e consentono agli utenti di richiedere la modifica dei criteri, per esempio la riclassificazione di un determinato URL. 24

26 4: gestione dell appliance 4: gestione dell appliance console di gestione e pannello di controllo Panoramica La WS1000 offre il massimo della sicurezza con il minimo dispendio di risorse amministrative. Traendo vantaggio dalla vasta esperienza di Sophos nel rilevamento di virus, spam e altre tipologie di malware, l appliance presenta efficaci criteri predefiniti che semplificano la configurazione del sistema. Tuttavia, nel caso in cui fosse necessario creare criteri personalizzati, l intuitiva console di gestione ne consente l impostazione rapida e semplice. L amministrazione e il controllo continui del gateway web risultano notevolmente semplificati grazie a un ampia gamma di strumenti e impostazioni concepiti per eliminare o automatizzare la maggior parte delle operazioni, seguendo una rigida filosofia di gestione basata sulle eccezioni. Questa sezione descrive a grandi linee le operazioni giornaliere di amministrazione della WS1000. Console di gestione e pannello di controllo La console di gestione è l interfaccia grafica utente sicura tra l amministratore di sistema e l appliance, e consente agli amministratori di: configurare le impostazioni di rete, utente e sistema configurare i filtri di sicurezza e dei contenuti monitorare lo stato del sistema e diagnosticare le interruzioni del servizio gestire il feedback degli utenti controllare la categoria e i livelli di rischio di un sito tramite la funzionalità di verifica degli URL Sono stato particolarmente colpito dalla facilità di utilizzo della console di gestione, che mi ha consentito di navigare rapidamente e di visualizzare le statistiche sul traffico web e i report sulle prestazioni e sull utilizzo di Internet. Wally Eisenhart, Provincia di Avellino Figura 11: console di gestione e pannello di controllo 25

27 guida alla valutazione: sophos web appliance visualizzare i dati statistici relativi a virus, applicazioni potenzialmente indesiderate, siti ad alto rischio e violazioni dei criteri, e analizzarli in maniera approfondita generare report in tempo reale su argomenti quali siti visitati, attività degli utenti, minacce rilevate, ecc. Il pannello di controllo (v. figura 11) è la pagina iniziale della console e presenta il riepilogo delle prestazioni generali del sistema. Dal pannello di controllo, l amministratore può verificare il traffico web, monitorare lo stato della protezione, misurare le prestazioni del sistema, verificare la categoria e il livello di rischio di un URL, nonché garantire la disponibilità del sistema. La console di gestione è caratterizzata da una notevole facilità di navigazione: ogni funzione è distante al massimo tre clic, e non è mai necessario accedere da riga di comando. Maggiori informazioni sugli intuitivi ed efficaci strumenti di gestione della WS1000 si possono trovare più avanti in questa sezione. Monitoraggio, allarmi e notifiche La WS1000 riduce il carico di lavoro degli amministratori monitorando costantemente lo stato del sistema tramite una complessa rete formata da oltre 50 sensori di sistema integrati. Quando un sensore rileva qualcosa, l amministratore riceve un allarme visivo e/o un messaggio di posta elettronica o di testo. Accedendo al dispositivo e cliccando sul pulsante System Status è possibile visualizzare in un colpo d occhio lo stato del sistema, nonché le misure correttive consigliate. Amministrazione semplificata Oltre 40 sensori di sistema monitorano l attività dell appliance, quindi non è necessario che se ne occupi l utente. In situazioni critiche che richiedono assistenza dall esterno (ad es. guasto dell hard disk), anche Sophos riceve un allarme al fine di risolvere il problema. Sophos è spesso in grado di risolvere l anomalia prima ancora che l amministratore se ne renda conto. Per maggiori dettagli, si veda la sezione 6. In parole povere, se non si ricevono allarmi o notifiche dalla WS1000 o da Sophos, significa che tutto funziona come previsto e non sono necessari interventi di alcun tipo. Gli amministratori ricevono una notifica solo se qualcosa richiede attenzione. In caso contrario, possono dedicarsi ad altre attività prioritarie, nell assoluta certezza che il gateway web è libero da minacce e funziona correttamente. Figura 12: pagina System Status 26

28 4: gestione dell appliance verifiche dello stato del sistema Verifiche dello stato del sistema Gli amministratori possono effettuare una verifica immediata dello stato generale della WS1000 accedendo alla console di gestione e controllando l indicatore di stato situato in alto a destra in ogni pagina (v. la parte cerchiata in rosso nella figura 12). Il colore verde (OK) indica che tutti i sistemi funzionano normalmente; il colore giallo (Avviso) indica un anomalia temporanea o di livello basso; il colore rosso (Critico) indica invece un anomalia critica. In quest ultimo caso, la WS1000 invierà un allarme via al responsabile tecnico, oltre che a Sophos. Cliccando sull indicatore di stato viene visualizzata una serie completa di informazioni dettagliate sulle seguenti caratteristiche dell ambiente della WS1000: Traffico: picchi nel numero di virus, applicazioni e file indesiderati, latenza delle pagine, lunghezza della coda di scansione e tempi di scansione Hardware: sensori che rilevano le prestazioni dei componenti hardware, la temperatura, l utilizzo della memoria, ecc. Software: stato dei processi, stato della protezione, connessione a Sophos, riavvio del sistema e aggiornamenti del sistema Licenza: la durata residua della licenza software. Come illustrato nella figura 12, la pagina System Status visualizza un indicatore per ogni oggetto monitorato, nonché un messaggio che spiega lo stato attuale, le istruzioni correttive e i dettagli sulla data e sull ora dell ultima eccezione. Se si verificasse un eccezione, l amministratore sarebbe in grado di cliccarvi sopra per visualizzare maggiori dettagli sull evento e verificare se sono state messe in atto automaticamente eventuali azioni. Da questa singola pagina nella console di gestione, l amministratore può verificare ogni operazione critica della WS1000. La pagina System Status semplifica lo svolgimento di controlli spontanei delle prestazioni generali e dello stato della protezione, e l ottenimento di assistenza per la risoluzione delle interruzioni del sistema. Aggiornamenti La WS1000 si connette a Sophos ogni cinque minuti per scaricare gli aggiornamenti delle definizioni del malware, la lista Sophos dei siti web illeciti e il software operativo. Per impostazione predefinita, questi aggiornamenti vengono scaricati e applicati automaticamente. L amministratore dispone di un opzione che gli consente di scaricare e applicare gli aggiornamenti non critici del software per mezzo di un operazione pianificata, o su richiesta con un solo clic, indipendentemente da tale operazione pianificata. Gli aggiornamenti non critici possono essere differiti fino a un massimo di sette giorni e saranno automaticamente applicati all interno della finestra di aggiornamento selezionata dall amministratore. Gli aggiornamenti critici del software come le patch di sicurezza per la correzione delle vulnerabilità vengono applicati immediatamente. 27

29 guida alla valutazione: sophos web appliance Figura 13: backup della configurazione Backup e ripristino della configurazione Gli amministratori possono impostare la WS1000 in modo da avviare backup automatici via FTP dei dati di configurazione e dei log di sistema. Se tale opzione è abilitata, i dati vengono salvati automaticamente a mezzanotte. Dei dati di configurazione è possibile inoltre effettuare il backup manuale con un solo clic nella pagina System Backup della console di gestione (v. figura 13). Nella WS1000 scadenza e archiviazione dei log sono automatiche, al fine di mantenere le prestazioni a livelli ottimali e di garantire sufficiente disponibilità di spazio per l archiviazione. Se i dati presenti sull hard disk raggiungono il 70% della capacità, saranno automaticamente archiviati in modo che sia disponibile almeno il 40% di spazio su disco. Gli amministratori possono anche ripristinare con facilità la configurazione di sistema e la lista locale dei siti web da un backup precedente per mezzo di una semplice interfaccia (v. figura 14). 28 Figura 14: ripristino del sistema

30 4: gestione dell appliance gestione del feedback degli utenti Gestione del feedback degli utenti Come discusso nella sezione 3, gli amministratori possono autorizzare gli utenti a fornire feedback sulle categorie di sito. Ciò avviene tramite il criterio predefinito e i criteri aggiuntivi. Quando questi utenti si imbattono in una pagina di notifica relativa alla violazione di un criterio, possono cliccare su un link per creare una richiesta di modifica del criterio da inviare all amministratore. Per esempio, se gli utenti tentano di accedere a una pagina web bloccata a causa di un errata classificazione, possono inviare una richiesta di riclassificazione e/o sblocco. Il feedback degli utenti appare all interno della funzione Search nella console di gestione, suddivisa in tre categorie sotto User Reports: siti applicazioni (ad es. plug-in del browser, barre degli strumenti, riproduttori multimediali, ecc.) tipi di file (ad es. archivi, documenti, eseguibili). L amministratore può approvare o negare le richieste con un semplice clic sul pulsante Actions (cerchiato in rosso qui sotto) all estrema destra dello schermo. Le modifiche degli URL che sono state approvate appariranno automaticamente nella lista locale dei siti web. Figura 15: richieste di approvazione o riclassificazione dei siti inviate dagli utenti 29

31 guida alla valutazione: sophos web appliance Funzioni aggiuntive di ricerca La WS1000 consente inoltre di effettuare ricerche nella cronologia dei siti visitati. La console di gestione ha un interfaccia grafica contenente i dati di log archiviati nella WS1000, cui si accede tramite la pagina Search. Con la funzione di ricerca nei log è possibile determinare: i siti visitati da un dato utente o indirizzo IP (a seconda che si utilizzi o meno Active Directory) i nomi utente o indirizzi IP che hanno visitato un dato dominio. Queste informazioni sono utili a molti scopi, tra cui monitorare le abitudini di navigazione dei dipendenti o identificare gli utenti che visitano siti web non conformi con l Acceptable Use Policy aziendale (v. figura 16 e 17 qui sotto). Figura 16: ricerca per nome utente/indirizzo IP Figura 17: ricerca per dominio 30

32 4: gestione dell appliance integrazione con active directory Integrazione con Active Directory La WS1000 consente la rapida impostazione di utenti e gruppi di utenti attraverso l integrazione avanzata con Active Directory (AD), l autenticazione utente nei criteri e report, nonché esclusioni basate sui nomi utente di Active Directory. L appliance supporta anche le foreste Active Directory. Nella pagina di configurazione di Active Directory, l amministratore può automaticamente rilevare e importare le impostazioni di Active Directory, o inserirle manualmente. Figura 18: pagina di configurazione di Active Directory Come ulteriore misura di sicurezza, se l autenticazione è abilitata, l appliance invierà un allarme all amministratore qualora non sia possibile accedere al server Active Directory. 31