Monitoraggio di outsourcer e consulenti remoti

Transcript

1 1 Monitoraggio di outsourcer e consulenti remoti Un Whitepaper di Advanction e ObserveIT Daniel Petri

2 2 Sommario Esecutivo Nel presente whitepaper verrà mostrato come registrare le sessioni remote su gateway VPN utilizzando i Terminal Services congiuntamente a ObserveIT. In questa implementazione tutte le sessioni di accesso remoto sicuro via VPN con SSL vengono inoltrate attraverso gateway di accesso remoto: le sessioni di accesso remoto vengono utilizzate per accedere server Windows o Unix interni all azienda e altri device di rete. Tutte le sessioni che transitano dal Secure Remote Access SSL VPN Gateway sono sottoposte ad audit e registrate. Le sessioni registrate permettono ad Auditor e responsabili della sicurezza di avere un audit trail completo di tutti gli accessi remoti via VPN, identificare la fonte di ogni connessione remota e visualizzare una replica passo dopo passo delle attività e delle applicazioni sul server. Questo whitepaper affronterà i seguenti argomenti: 1. configurare un server Windows Terminal Gateway 2. comunicare in modo sicuro col gateway utilizzando un SSL VPN Gateway 3. effettuare audit, inviare alert o replicare le sessioni sul gateway che sono state registrate La necessità di centralizzare gli accessi remoti Nel complesso ambiente IT di oggi, sempre più persone hanno la necessità di accedere a server, applicazioni, database e strumenti di gestione aziendali. Tentando di minimizzare l intervento umano in questi servizi critici, gli IT manager devono considerare come poter permettere gli accessi e la gestione remota di questi servizi, a chi permettere l accesso, come renderlo sicuro e come tenerne traccia, come registrare le azioni svolte sui server. La necessità continua di controllare i budget diminuendo i costi operativi e della manutenzione ha portato molte aziende a utilizzare consulenti esterni e servizi di outsourcing riducendo la dimensione del dipartimento IT interno. Le connessioni remote Per mitigare I rischi, un approccio per permettere le connessioni remote consiste nel creare un accesso remoto sicuro, con cui tutte le connessioni remote passino attraverso uno o più terminal server o citrix gateway server. Tutti i vendor e gli amministratori remoti inizieranno una sessione di desktop remoto RDP/ICA su questi server dove saranno poi autenticati e, se autorizzati, avranno accesso all intero desktop o a un subset di applicazioni pubblicate che verranno utilizzate per scopi di gestione. Il primo componente di tale soluzione è il meccanismo di accesso remoto. Ci sono qui alcune opzioni da considerare: la decisione su quale soluzione di accesso remoto è strettamente collegata a problematiche di sicurezza, policy aziendali, budget e numero di connessioni concorrenti. L utilizzo di connessioni RDP dall esterno attraverso il firewall aziendale è probabilmente l opzione più semplice da implementare, ma è anche la meno sicura comparata con le opzioni successive. I pacchetti RDP viaggiano su Internet come pacchetti regolari e, nel caso non vengano implementate le caratteristiche crittografiche del Terminal Server, la sicurezza delle connessioni non è adeguata. Inoltre, se non viene utilizzato un metodo per il controllo degli accessi remoti (come ad esempio un Firewall con funzioni di autenticazione), l unica barriera in grado di prevenire l accesso di un utente pericoloso è costituita dal prompt di autenticazione del Terminal Server.

3 3 Rendere sicure le sessioni di accesso remoto Per inserire un ulteriore livello di sicurezza in queste connessioni dobbiamo implementare una soluzione di accesso remoto prima della connessione al Terminal server. Le opzioni a nostra disposizione prevedono: connessioni VPN basate su IPSec, L2TP o PPTP attraverso Microsoft Windows Server 2003/2008 RRAS, utilizzando Microsoft ISA Server o soluzioni di terze parti di VPN SSL o ancora utilizzando Microsoft Windows Server 2008 SSTP; connessioni a un Microsoft Windows Server 2008 TS Gateway. I benefici di utilizzare un accesso remoto su VPN risiedono nell impiego di connessioni crittografate, che aggiungono un ulteriore incapsulazione di sicurezza a ogni pacchetto. Le VPN consentono una protezione contro accessi non autorizzati perché prima di avere accesso al gateway di gestione remota, gli utenti sono obbligati ad autenticarsi con le loro credenziali o con un token, e solo a quel punto hanno accesso al gateway. L utilizzo delle VPN permette di impiegare la crittografia basata su SSL, che viene gestita da molti firewall senza la necessità di aprire porte specifiche. Le VPN SSL permettono ai lavoratori remoti di collegarsi facilmente perché non richiedono ulteriori software dal lato del client, e sono spesso iniziate da un browser web, caratteristica che ne rende ideale l impiego anche in computer pubblici come quelli presenti nelle hall degli hotel o nei centri di conferenze. È utile notare che in molti scenari, le VPN SSL sono preferite per l accesso remoto alle applicazioni basate su browser (ovvero che hanno un interfaccia web), mentre le VPN IPSec sono utilizzate principalmente per le comunicazioni site-to-site. L utilizzo delle nuove funzionalità SSTP di Microsoft Windows Server 2008 può contribuire a ridurre ulteriormente i costi associati alle soluzioni di terze parti.

4 4 Proteggere la rete interna Una problematica ulteriore da affrontare nell esame degli scenari di gestione remota consiste nella preoccupazione di controllare quale tipo di traffico può transitare attraverso queste connessioni VPN e quali computer remoti possono collegarsi alla rete aziendale. Spesso, questi computer non gestiti possono essere disallineati rispetto agli ultimi livelli di patch di sicurezza, non avere un prodotto antivirus aggiornato e non avere il firewall personale attivato, fattori che creano problemi di sicurezza specialmente quando consideriamo che questi computer potrebbero utilizzare un tunnel VPN che li collegherà alla rete aziendale. Inoltre, successivamente a questo collegamento, questi computer potrebbero istanziare un tipo ci connessione a risorse interne che è fuori dagli ambiti del tipo di connessioni richieste. Per mitigare questi rischi è necessario implementare un meccanismo che ponga in quarantena questi computer fino a che possano garantire di essere completamente aggiornati e allineati alle ultime patch di sicurezza. Questo tipo di quarantena può essere implementato con sistemi di Network Admission Control (NAC) o implementando il Network Access Protection (NAP) presente in Microsoft Windows Server Per controllare esattamente quale tipo di traffico transita attraverso la connessione VPN, è opportuno implementare implementare ulteriori appliance o installare un ulteriore firewall tra il server VPN e la rete interna, in modo che possa esaminare il traffico non crittato verso l interno.

5 Usare Microsoft TS Gateway Le nuove funzionalità di Microsoft Windows Server 2008 TS Gateway offrono un ulteriore protezione al traffico RDP incapsulandolo in pacchetti SSL, proprio come una VPN SSL ma senza la necessità di implementare server dedicati alla gestione della VPN. 5 L utilizzo di TS Gateway di Microsoft Windows Server 2008 consente di concedere l accesso agli utenti remoti alla rete interna basandosi su policy che possono essere applicate al TS Gateway direttamente, e combinandole con le funzionalità NAP del sistema, permetteranno la connessione solo ai computer che soddisferanno i requisiti di sicurezza definiti dagli amministratori. Questo scenario impiega componenti quali il TS Gateway server, un firewall, uno o più Domain Controller, un server NAP e un Network Policy Server (NPS è l implementazione Microsoft di un server RADIUS). Il TS gateway autentica il client collezionando le credenziali dell utente e controllandole con la policy di accesso remoto. Si autentica poi al Domain Controller ed effettua una verifica di sicurezza come richiesto dal server NAP e dalle sue policy. Solo quando tutti i controlli hanno avuto successo, fa passare il traffico RDP verso il gateway server di gestione remota.

6 6 Monitorare le attività degli utenti Nello scenario descritto precedentemente, tutti gli accessi remoti sono stati securiyyati e solo il personale autorizzato può accedere ai server aziendali. Rimane però il problema di sapere esattamente quello che il partner remoto fa una volta entrato nella rete, questione che crea un notevole buco nella sicurezza e compliance aziendale: una volta che il vendor si è collegato al server di gestione remota, in teoria può svolgere altre azioni, come ad esempio aprire connessioni RDP verso altri server. È necessario quindi un meccanismo che dia ai manager IT la piena confidenza del conoscere esattamente chi si è collegato, che operazione ha svolto e quali applicazioni o task di sistema sono stati utilizzati o aperti. Molte applicazioni server sono caratterizzate da diversi gradi di log e audit, che però mostrano tracce che devono essere interpretate, non reali azioni svolte da un essere umano. L audit e il log possono essere utili per il debug di un errore, ma le problematiche normative e di sicurezza creano la necessità di sapere esattamente cosa fanno gli utenti quando sono connessi ai Terminal Server. Utilizzando le funzioni di registrazione e audit di ObserveIT, gli IT manager ricevono una chiara e coincisa risposta a queste domande. Realizzato specificamente per implementazioni di livello enterprise, ObserveIT offre un controllo completo e una visione delle azioni svolte da consulenti e collaboratori esterni, così come anche da personale IT locale e power user. ObserveIT registra tutte le attività svolte da un utente su server monitorati, sia con la registrazione visuale sia con metadati dettagliati. La registrazione visuale permette la replica di ogni sessione utente e la comprensione di ciò che è stato effettuato sul sistema monitorato, chi l ha fatto e quali applicazioni e file sono stati acceduti.

7 7 Nello scenario implementativo qui illustrato, ObserveIT è implementato su ogni Terminal Server per la gestione remota. È possibile configurare policy per attivare la registrazione di tutte le attività rilevanti svolte dai vendor. La configurazione di ObserveIT permette di registrare unicamente le applicazioni pubblicate sul Terminal Server di gestione remota.

8 8 Monitoraggio in tempo reale e integrazione con strumenti di management Catturando metadati in aggiunta alle videate, ObserveIT offre un abbondanza di informazioni su quello che è stato visto sullo schermo, sull utente che ha svolto l azione, sul nome e l indirizzo IP del sistema di provenienza, sulla data, le applicazioni eseguite, il titolo della finestra e altro ancora. Tutte queste informazioni sono memorizzate unitamente alle schermate, consentendo ricerche flessibili senza la necessità di replicare tutta la sessione, schermata dopo schermata. Un altra caratteristica di ObserveIT è la possibilità di creare file di log testuali per scopi di monitoraggio. Questi file sono conservati sul server e possono essere elaborati da strumenti di terze parti.

9 9 Identificazione degli utenti Gli Identification Services di ObserveIT si integrano con il database di Active Directory. Questo servizio forza gli utenti a identificarsi prima di avere accesso al desktop del server o alle applicazioni pubblicate. Dopo aver completato il processo di logon di Windows, viene mostrata all utente la finestra di login secondario di ObserveIT nella quale dovranno per forza inserire lo username personale con relativa password. Questo permetterà di distinguere utenti specifici anche quando effettuano una login come utente generico, come ad esempio Administrator. Conclusioni Le problematiche di sicurezza e compliance forzano molti IT manager a ricercare soluzioni per monitorare l accesso esterno di vendor e amministratori esterni che accedono la loro rete da remoto. Utilizzando l approccio del gateway centralizzato di gestione remota riusciamo a raggiungere un grado di implementazione più sicuro e integrando queste soluzioni con ObserveIT, la registrazione delle attività degli utenti diventa facile da collezionare e monitorare. Le funzionalità avanzate di indicizzazione di ObserveIT, unite alla replica video delle attività, permette all IT manager di tracciare da vicino le attività di accesso remoto. Tra i benefici di questa soluzione troviamo: responsabilità su tutte le attività svolte da un azienda di servizi; processi che collegano ogni accesso al sistema all utente individuale; riduzione dei costi necessari per generare reportistica di compliance: meno effort con tempi di risposta più elevati; prova inequivocabile dell attività utente, garantendo autenticazione e non ripudio.

10 10 ObserveIT ObserveIT è un azienda leader nella registrazione delle sessioni da terminale remoto, Citrix e console locale, con soluzioni per ambienti Windows, server, desktop e macchine virtuali. Il software di ObserveIT è in grado di registrare visivamente e replicare tutte le sessioni utente, offrendo dettagli sulle attività svolte sulla rete. Fondata nel 2006, ObserveIT ha una base di clienti in tutto il mondo nei vari settori industriali, come in quello finanziario, assicurativo, medico, manifatturiero, delle telecomunicazioni, della pubblica amministrazione e dei servizi IT. Advanction Advanction è un azienda operante nel settore del Security Risk Management, sia attraverso consulenze, sia mediante la fornitura di servizi e soluzioni. Fondata nel 2006, Advanction opera in Italia e Svizzera e ha clienti in ambito finanziario, manifatturiero e dei servizi. Advanction è partner di ObserveIT per l Italia e la Svizzera. [email protected] Web: