BYOD & NAC Soluzioni Open Source in Ambito Enterprise Luca Comodi Laboratori Guglielmo Marconi
Sommario Ripensiamo la sicurezza perimetrale BYOD Soluzioni di sicurezza per ambien7 enterprise Case study: Arcispedale S. Maria Nuova (RE) Conclusioni
La sicurezza perimetrale Firewall, DMZ IDS/IPS audi7ng perimetrale IP limitaa
(In)sicurezza del perimetro interno In molte rea se ho accesso ad una presa di rete sono dentro Presenza di client obsole7, predisposa ad essere compromessi Presenza di server non sempre aggiorna7 e manutenu7 a dovere Accesso alla rete senza auten7cazione Esigenze di BYOD
Consumeriza7on
BYOD: Bring Your Own Device ConsenAre l'accesso di disposi7vi personali alla rete aziendale Aumentare la soddisfazione e la produjvità dei collaboratori Mantenere standard di sicurezza
BYOD Guest Guest iden7fica7on Management SMS ID Guest authen7ca7on CapAve portal Guest Isola7on Vlan isolaaon Access list
BYOD Enterprise Do Not BYOD/KYOD@H Network Access Control Varie forme di auten7cazione In base al mac Username e password Public Key Infrastructure Policy enforcement (patch, stato firewall, firme anavirus)
Mo7vazioni a supporto delle re7 Crescita esponenziale del numero dei device mobili GesAone complessa del setup di disposi7vi mobili Spostamento dei carichi di lavoro verso il cloud borderless
Borderless networks: problema7che delle aziende Policy Enforcement su una miriade di OS diversi Furto/Smarrimento del device Minore consapevolezza e mo7vazione dell'utente alla sicurezza del device
Borderless networks: problema7che degli uten7 Policy Enforcement rallentamento delle operazioni obbligo a mantenere il disposi7vo aggiornato Eventuali malfunzionamen7 dell'architemura di controllo implicano il non accesso alla rete
Vantaggi del BYOD per l utente PermeMe l uso di: mobile devices servizi di cloud compu7ng social technologies exploratory analy7cs specialty apps OJmizzazione dei tempi: finisco il lavoro mentre prendo il treno per casa.
BYOD per l azienda Aumento dei cos7 di gesaone Introduzione rapida di nuove tecnologie È un processo ineludibile
Linee guida per la difesa del perimetro interno Network Management Adozione delle feature di sicurezza messe a disposizione dagli appara7 di rete di fascia alta port security dhcp snooping root guard arp watch Network Access Control concedere accesso alla rete solo DOPO aver dimostrato di possederne l'autorizzazione
Case study: Arcispedale S. Maria Nuova (RE) Circa 3k uten7 in dominio MicrosoZ Distribuzione OS eterogenea (da XP a 8) Alcune cen7naia di oggej extra- dominio Fornitori esterni (client Linux, Apple, etc..) DisposiAvi ele]romedicali Stampan7 di rete UPS, sensori temperatura/umidità Archite]ura L3 subnet/vlan per rack Parco appara7 di rete eterogeneo Principalmente Cisco (ca. 150) ma anche HP
Requisi7 Sfru]are le feature di sicurezza offerte dagli appara7 L2 periferici UAlizzare strumen7 Open Source mula- vendor scalabilità alta affidabilità personalizzazione
ObieJvi per la realizzazione del NAC Tutelare i da7 Me]ere in sicurezza le aree pubbliche Biblioteca Sale d'aspemo Studi medici non presidiaa Semplificare la ges7one del parco extra- dominio provisioning automaaco delle vlan ai client, in funzione della iden7tà abbandonare la configurazione per porta centralizzare la configurazione
ObieJvi per la realizzazione del NAC Aumentare la sicurezza dall'interno Avere strumena di repor7s7ca quando e dove si è collegato l'utente x? dove vi sono maggiori violazioni? qual è la distribuzione di SO/User Agent? Offrire servizi controllaa ad utena fornire un accesso guest su rete wireline tramite cap7ve portal
Sicurezza L2 Port Security abilitare una porta ad uno specifico MAC limitare il numero di MAC per porta Controlli protocollo STP DHCP Snooping Storm Control
Mul7vendor Agentless Out- of- band Standard (802.1x, SNMP, RADIUS,...) Routed network Integra diverse soluzioni: SoH Snort Nessus/OpenVAS High- Availability
Accesso alla rete
Integrazione con NMS
Integrazione con Dashboard
Conclusioni BYOD e consumeriza7on: realtà da ges7re PacketFence: soluzione solida con ojme feature NAC: Prima del deploy, proge]azione accurata Non ignorare la complessità lato client Valore aggiunto nell'integrazione con NMS e Dashboard
Questions? Luca Comodi luca.comodi@labs.it Laboratori Guglielmo Marconi