ANALISI DELL INFRASTRUTTURA IT



Documenti analoghi
Ministero dell Ambiente e della Tutela del Territorio e del Mare

Progetto Firewall in alta affidabilità

Ministero dell Ambiente e della Tutela del Territorio e del Mare

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Violazione dei dati aziendali

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

INDICAZIONI GENERALI

SISTEMA INFORMATIVO AGRICOLO REGIONALE AGGIORNAMENTO PROGETTO OPERATIVO PER LA REALIZZAZIONE DELLA RETE DI COMUNICAZIONE

Simulazione seconda prova Sistemi e reti Marzo 2016

Servizi di Sicurezza Informatica. Antivirus Centralizzato per Intranet CEI-Diocesi

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

PROFILO FORMATIVO Profilo professionale e percorso formativo

Sicurezza: esperienze sostenibili e di successo. Accesso unificato e sicuro via web alle risorse ed alle informazioni aziendali: l esperienza FERPLAST

MANUALE DELLA QUALITÀ Pag. 1 di 6

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

Offerta per fornitura soluzione di strong authentication

Distribuzione internet in alberghi, internet cafè o aziende che vogliono creare una rete "ospite"

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

MANUALE DI UTILIZZO: INTRANET PROVINCIA DI POTENZA

Offerta Enterprise. Dedichiamo le nostre tecnologie alle vostre potenzialità. Rete Privata Virtuale a larga banda con tecnologia MPLS.

Descrizione generale del sistema SGRI

Infrastruttura e servizi collegati

Windows XP Istruzioni rete wired per portatili v1.0

Politica per la Sicurezza

Servizi ASP. ASP su Centro Servizi TeamSystem Contratto e SLA

SICUREZZA INFORMATICA PER L UNIONE DI COMUNI LOMBARDA ASTA DEL SERIO

I livelli di Sicurezza

Policy Argo Software in materia di protezione e disponibilità dei dati relativi ai servizi web

Allegato 3 Sistema per l interscambio dei dati (SID)

Manuale di Aggiornamento BOLLETTINO. Rel H2. DATALOG Soluzioni Integrate a 32 Bit

FIREWALL: LA PROTEZIONE PER GLI ACCESSI ESTERNI

Sistemi di Antivirus CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano

Privacy Policy di

SISTEMI RIS/PACS: AGGIORNAMENTI SUL TEMA

LINEE GUIDA PER LA PREDISPOSIZIONE DEL DOCUMENTO DI PROGETTO DEL SISTEMA DI GIOCO

DINAMIC: gestione assistenza tecnica

COMUNE DI VEDUGGIO CON COLZANO Provincia di Milano Codice Ente 11123

Creare una Rete Locale Lezione n. 1

SEGNALIBRO NON È DEFINITO.

Protezione della propria rete

SIMULAZIONE PROVA SCRITTA ESAME DI STATO. PER LA DISCIPLINA di SISTEMI

IL SERVIZIO CLOUD BOX DELLA HALLEY CONSULTING s.p.a

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

Davide Casale, Politecnico di Torino

INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI

Software Servizi Web UOGA

Il nuovo browser italiano dedicato alla navigazione e comunicazione sicura in internet per bambini

Tecnologie Informatiche. security. Rete Aziendale Sicura

Faber System è certificata WAM School

DIPARTIMENTO INFORMATIVO e TECNOLOGICO

I dati in cassaforte 1

Evoluzione della sicurezza IT

Servizi Remoti. Servizi Remoti. TeamPortal Servizi Remoti

AMMINISTRARE I PROCESSI

La VPN con il FRITZ!Box Parte II. La VPN con il FRITZ!Box Parte II

PROVINCIA DI LECCE SERVIZI INFORMATICI

Protocollo Informatico (D.p.r. 445/2000)

INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI

SOLUZIONI PER LA TELEASSISTENZA Server Privato


Argo Netbook Offline. Raccolta Leggimi degli aggiornamenti Data Pubblicazione Pagina 1 di 7

Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione

esales Forza Ordini per Abbigliamento

SISTEMA SUEDIL per la gestione delle pratiche di Sportello Unico per l EDILIZIA, in formato elettronico

CitySoftware PROTOCOLLO. Info-Mark srl

IL CENTRALINO VoIP. Schema progetto: Work-flow. Hydra Control

Sistema di Gestione per la Qualità

REGIONE BASILICATA DIPARTIMENTO PRESIDENZA DELLA GIUNTA UFFICIO SOCIETÀ DELL INFORMAZIONE

Comando Generale Arma dei Carabinieri

COMUNE DI CIGLIANO REGOLAMENTO DELLA RETE CIVICA E SITO INTERNET COMUNALE

REALIZZAZIONE LAN

Teleassistenza mediante PCHelpware

VPN: connessioni sicure di LAN geograficamente distanti. IZ3MEZ Francesco Canova

Manuale Gestore. STWS Web Energy Control - Servizio di telelettura sul WEB

INFORMATION TECNOLOGY. a cura di Alessandro Padovani padoale@libero.it

REV. 2015/00 Pag. 1 di 5

Manuale di Aggiornamento BOLLETTINO. Rel H4. DATALOG Soluzioni Integrate a 32 Bit

Allegato. Servizio Hosting Virtual DataCenter di Regione Lombardia. per l ENTE UCL Asta del Serio

Continuità operativa e disaster recovery nella pubblica amministrazione

Internet Banking per le imprese. Guida all utilizzo sicuro

VoipExperts.it SkyStone - Introduzione

Telecontrollo. Come poter controllare in remoto l efficienza del vostro impianto

Gestione in qualità degli strumenti di misura

Firewall applicativo per la protezione di portali intranet/extranet

PSNET UC RUPAR PIEMONTE MANUALE OPERATIVO

LA GESTIONE DELLE VISITE CLIENTI VIA WEB

CONDIZIONI SPECIFICHE DI SERVIZIO PACCHETTO HUBILITAS SYNC-COMMERCE OFFERTO DA BLUPIXEL IT SRL

Sparkasse. Analisi tecnica. Upgrade della struttura di url-filtering Websense. Bolzano. Tel Fax

Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema

ALLEGATO N. 4. Premessa

NOTE TECNICHE allegate al MANUALE OPERATIVO ALLA CLIENTELA PER GLI ADEMPIMENTI VERSO DI ESSA PRESCRITTI IN MATERIA DI FIRMA ELETTRONICA AVANZATA

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa

T42 Tunnel For Two Secure SSL InterApplication Relay Clizio Merli - 4u Srl S.r.l.

PROTOS GESTIONE DELLA CORRISPONDENZA AZIENDALE IN AMBIENTE INTRANET. Open System s.r.l.

Fatti Raggiungere dal tuo Computer!!

IT Cloud Service. Semplice - accessibile - sicuro - economico

CODICE PRIVACY PROCEDURA DI GESTIONE DEL BACKUP ED IL RESTORE DEI DATI

Transcript:

ITAS ANALISI DELL INFRASTRUTTURA IT Criticità di sicurezza Trento Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603 Fax +39.02.63118946 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 1 di 11

STORIA DEL DOCUMENTO Versione Data Modifiche Effettuate 1.0 29 Novembre 2006 Emissione INFORMAZIONI Data di Emissione 29 Novembre 2006 Versione 1.0 Tipologia Documento Documento Tecnico Numero Pagine 11 Numero Allegati 0 Redatto da Approvato da Aldo Scaccabarozzi Gianluca Vadruccio 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 2 di 11

INDICE 1 Obiettivo... 4 2 Ambiente di riferimento... 4 2.1 Struttura delle agenzie... 5 3 Anali del ambiente ITAS e dei sistemi di sicurezza... 7 3.1 Servizi legati a Internet... 7 3.1.1 Navigazione: proxy e web filtering... 7 3.1.2 Posta... 7 3.1.3 Accessi esterni... 8 3.1.4 Sistemi di Intrusion Detection/Prevention... 8 3.2 Sistemi di sicurezza interni... 8 3.2.1 Sistema Antivirus... 8 3.2.2 Sistema patching... 9 3.2.3 Politiche di disaster recovery... 9 4 Piano d intervento... 9 4.1 Enforcement delle politiche di firewalling... 9 4.2 Sistema di patching... 10 4.3 Struttura agenzie... 10 4.4 Accesso remoto... 11 INDICE FIGURE Figura 1 - Architettura di rete ITAS... 4 Figura 2 - Struttura agenzia con punto vendita... 6 Figura 3 - Struttura agenzia senza punto vendita... 6 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 3 di 11

1 Obiettivo Il presente documento descrive l attività di analisi dell infrastruttura di ITAS assicurazioni, volta a individuare possibili carenze e criticità, per poter pianificare al meglio eventuali interventi volti a mantenere un elevato livello di sicurezza. 2 Ambiente di riferimento L infrastruttura di rete di ITAS è suddivisa in sei zone, mostrate in Figura 1 con diversi colori: AREA INTERNET AREA INTRANET TELECOM AREA INTRANET RITA AREA LAN DMZ AREA SERVER FARM AREA LAN (Interna) Router MPLS TELECOM HSRP Router RITA Router TELECOM Router ITASNET RITA Checkpoint FW Figura 1 - Architettura di rete ITAS 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 4 di 11

Tutte le zone sono tra loro ruotare e difese per mezzo di una coppia di firewall checkpoint configurati in alta affidabilità. L area Internet è costituita da due differenti accessi forniti rispettivamente da RITA e Telecom, quest ultimo usato principalmente per la navigazione. L area Intranet Telecom costituisce il collegamento della sede centrale di ITAS alle agenzie, realizzato per mezzo di due router configurati in alta affidabilità (HRSP 1 ). Questa tipologia di collegamento, basata su protocollo MPLS, garantisce 8 Mb/s di throughput verso le agenzie principali, in alcuni casi anch esse dotate di due router configurati in alta affidabilità. L area Intranet Rita costituisce il collegamento della sede centrale di ITAS alle agenzie non interconesse per mezzo delle linee Telecom. Questo link basato sulla tecnologia ISDN ha un throughput dell ordine dei 128 Kb/s. L area DMZ LAN contiene i sistemi pubblicati da ITAS su internet: il server WEB, i servizi di posta basati su Outlook Web Access, oltre ad alcuni server per uso interno quali ad esempio il proxy dedicato alle agenzie. L area Server Farm contiene i sistemi business critical di ITAS, tra i quali vi sono i server Oracle, i sistemi SAP e i file server. Quest area ha lo scopo di isolare i sistemi critici dai client degli utenti collocati invece nella LAN Interna, regolandone l accesso. Esistono inoltre due LAN non mostrate in Figura 1: LAN di management degli switch LAN di management dei firewall La prima rappresenta l unica rete di accesso per l amministrazione degli switch, la seconda è dedicata all amministrazione dei firewall dove è inoltre collegato lo smart center per la gestione delle politiche e la conservazione dei log. Il traffico tra le diverse aeree è regolato dalle politiche configurate sulla coppia di firewall checkpoint. 2.1 Struttura delle agenzie ITAS assicurazioni è interconessa alle agenzie distribuite sul territorio nazionale tramite l area INTRANET descritta nel precedente paragrafo. ITAS non gestisce la struttura IT delle singole agenzie, ogni agenzia è responsabile dei propri sistemi e di conseguenza di mettere in atto le opportune politiche per la tutela dei propri sistemi. Esistono due tipologie di agenzie: 1 HSRP (acronimo di Hot Standby Router Protocol) è un protocollo proprietario di Cisco che serve a garantire la fault-tolerance tra più router Cisco. 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 5 di 11

Agenzie con punto vendita Agenzie senza punto vendita Le prime sono collegate per mezzo del link MPLS di Telecom con due router in alta affidabilità, mentre le seconde hanno solo un router o eventualmente il collegamento ISDN di RITA. In filiale è installato dal personale ITAS un applicativo interno: per le agenzie con punto vendita su un server (Figura 2), per le agenzie senza punto vendita su un client dedicato (Figura 3). Figura 2 - Struttura agenzia con punto vendita Figura 3 - Struttura agenzia senza punto vendita 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 6 di 11

3 Anali del ambiente ITAS e dei sistemi di sicurezza Di seguito sono elencati i principali servizi informatici forniti dalla struttura IT alla sede principale e alle agenzie. Per ognuno di questi servizi sono descritte le politiche di sicurezza adottate e le relative soluzioni tecnologiche attualmente operative. 3.1 Servizi legati a Internet 3.1.1 Navigazione: proxy e web filtering ITAS assicurazioni fornisce ai propri dipendenti la possibilità di navigare in Internet attraverso la configurazione di un proxy Microsoft ISA server. Questo server è collocato nell area LAN Interna e consente al personale della sede ITAS la navigazione, previa autenticazione dell utenza. L utente di sede non deve di norma inserire le proprie credenziali in quanto Internet explorer è in grado di passare in automatico le credenziali dell utenza del PC al sistema proxy, che risulta a sua volta integrato col dominio Microsoft. Attraverso questo meccanismo è possibile gestire le utenze del dominio associando ad ognuno di loro le opportune politiche di navigazione internet. ITAS assicurazioni fornisce alle agenzie la navigazione in internet, in modo analogo a quanto fatto per il personale interno, utilizzando un proxy Microsoft ISA server. Questo sistema, distinto dal proxy utilizzato dal personale interno, è collocato nell area DMZ. Entrambi i sistemi proxy sono integrati con un sistema di Web Filtering basato sulla tecnologia di Pure Sight. Questa tecnologia consente di impedire la navigazione verso siti dai contenuti pericolosi o comunque non inerenti all ambito lavorativo, quali ad esempio possono essere siti pornografici, siti per le scommesse e il gioco d azzardo, etc 3.1.2 Posta ITAS assicurazioni utilizza come sistema per la posta la soluzione Exchange di Microsoft, rendendo disponibile agli utenti l accesso alla propria casella da internet per mezzo di Outlook Web Access. Questo servizio è fornito sia al personale interno, sia al personale delle agenzie. I server di posta hanno installato un agente antivirus specifico per Exchange, fornito da Computer Associates, i cui aggiornamenti sono gestiti centralmente dal sistema Antivirus adottato per tutti i sistemi ITAS e descritto al paragrafo 3.2.1. Non esiste un sistema ANTISPAM in quanto tale servizio è offerto dalla società RITA, la quale fornisce i sistemi per il relay della posta di ITAS. 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 7 di 11

3.1.3 Accessi esterni ITAS ha la necessità di consentire l accesso a specifici fornitori, ovviamente esterno all azienda, verso alcuni sistemi interni. Nel dettaglio i fornitori utilizzano tre tipologie di accesso remoto: Client Checkpoint SecurRemote VPN MPLS Accesso RAS (modem) La prima tipologia di accesso, utilizzata dal personale UNISYS, si basa sul software Checkpoint per le VPN IPSEC. Il sistema di autenticazione è basato su user e password. La tecnologia IPSEC risulta sicura e garantisce la confidenzialità e l integrità dei dati. Questa tipologia di accesso consente di definire i sistemi e i servizi fruibili dall esterno. L autenticità dell utente è data dalla conoscenza dell utenza e della password configurate da ITAS. La seconda tipologia di accesso è costituita da una connessione VPN IPSEC tra la rete di RAS e quella dei fornitori. Questa tipologia di accesso fornisce livelli di sicurezza elevati e consente di stabilire i sistemi e i servizi fruibili al fornitore. L autenticazione è affidata alla conoscenza di uno shared secret condiviso tra le parti e dalla identificazione di uno specifico indirizzo IP. La tecnologia di accesso RAS è costituita da un modem che viene attivato esclusivamente su richiesta dei fornitori di assistenza SAP. Dopo aver composto il numero corrispondente il fornitore è autenticato per mezzo di un utenza e una password. 3.1.4 Sistemi di Intrusion Detection/Prevention ITAS non adotta al momento soluzioni per la rilevazione e/o prevenzione delle intrusioni. 3.2 Sistemi di sicurezza interni 3.2.1 Sistema Antivirus ITAS Assicurazioni adotta per tutti i sistemi Microsoft la soluzione antivirus di Computer Associates. Questo prodotto prevede un agente installato sui singoli client, gestiti da un server centrale, il quale ha la funzione di distribuire gli aggiornamenti e le politiche di scansione e/o protezione, oltre a raccogliere le informazioni delle scansioni effettuate e dei virus individuati. ITAS non ha un controllo effettivo della soluzione antivirus adottata dalle agenzie. L unica garanzia è costituita dall impegno e sensibilità che le agenzie hanno nell evitare problemi derivanti dalla diffusione di virus informatici. 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 8 di 11

3.2.2 Sistema patching Attualmente l installazione delle patch sui sistemi client avviene in automatico tramite la componente Microsoft Update Agent, configurato per scaricare e installare le patch in automatico. Per i sistemi server invece solo il download delle patch avviene in automatico, mentre l installazione risulta essere manuale. Non esiste un sistema centralizzato per la gestione delle patch dei sistemi operativi Microsoft, quali ad esempio un server WSUS. Come per i sistemi antivirus ITAS non è in grado di verificare che le agenzie adottino opportuni sistemi per l applicazione delle patch. 3.2.3 Politiche di disaster recovery La politica di disaster recovery di ITAS attualmente non prevede alcun sito di disaster recovery. Al momento l unica garanzia contro la perdita dei dati e dei sistemi aziendali critici è costituita da un backup settimanale su nastro dei sistemi critici. Le cassette sono conservate in una cassaforte in un palazzo differente dalla sede di Via Manatova. 4 Piano d intervento L analisi dell infrastruttura IT di ITAS non ha evidenziato gravi carenze di sicurezza in termini di soluzioni tecnologiche adottate per garantire l operatività e la protezione dei sistemi IT. Risultano invece alcune lacune sull effettiva efficacia e operatività delle soluzioni in essere. Di seguito riportiamo, in ordine di priorità, le attività volte a migliorare l attuale livello di sicurezza dei sistemi ITAS. 4.1 Enforcement delle politiche di firewalling L analisi delle politiche di firewalling attualmente in essere ha evidenziato alcune regole eccessivamente permissive, riportate di seguito: Tutto il traffico dalla LAN Interna verso la DMZ è consentito. Tutto il traffico dalla LAN Interna verso la Server Farm è consentito. Tutto il traffico dalla LAN Interna verso le agenzie (Area MPLS TELECOM) è consentito. Tutto il traffico dalla Server Farm verso la LAN Interna e verso la DMZ è consentito. La Server Farm è abilitata a navigare senza passare dal proxy. Tutto il traffico dalle agenzie (Area MPLS Telecom) verso la DMZ è consentito. Tutto il traffico dalle agenzie (Area MPLS Telecom) verso la Server Farm è consentito. 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 9 di 11

La ragione di regole così permissive risiede nella difficoltà di individuare i servizi pubblicati dai vari sistemi in virtù delle necessità del personale ITAS. Si suggerisce in tal senso l implementazione di opportune politiche di logging e un osservazione della tipologia di traffico in un arco temporale di 2 settimane, alla fine delle quali estrapolare i principali protocolli utilizzati. Questa attività dovrebbe essere condotta con la collaborazione del personale responsabile degli applicativi. Prima del passaggio in produzione delle regole relative al traffico di agenzia, potrebbe essere propedeutica una fase di test con un agenzia dove fosse presente del personale disponibile ad effettuare dei test esaustivi. In tal senso dovrebbe essere pianificata una test-list esaustiva delle attività tipiche di agenzia, allo scopo di assicurare il minimo impatto sulla produttività. 4.2 Sistema di patching La gestione degli aggiornamenti dei sistemi operativi Microsoft dovrebbe essere gestita centralmente, almeno per i server in DMZ e nella server Farm, tramite la soluzione WSUS di Microsoft. Questo consentirebbe di tenere sotto controllo lo stato degli aggiornamenti dei sistemi, oltre a valutare e testare le patch prima di effettuarne il deployment. 4.3 Struttura agenzie La criticità maggiore dell infrastruttura di ITAS è rappresentata dal rischio proveniente dalle agenzie, struttura sulla quale non si ha l effettivo controllo delle politiche di sicurezza adottate. Per questa ragione si mettono in evidenza i seguenti possibili miglioramenti. PROXY Agenzie Installazione di un sistema Antivirus apposito per ISA server, questo consentirebbe un enforcement centrale sul controllo del traffico WEB, altrimenti demandato all antivirus dei client. In alterativa è possibile sostituire la tecnologia ISA server con una tecnologia che offre oltre al vantaggio precedente un miglioramento in termini di: WEB Caching. Traffic shaping. WEB e content filtering integrato. Sistema appliance mantenuto con applicazione di update specifici. Migliore scalabilità 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 10 di 11

Traffico Intranet La struttura ITAS delle agenzie è collegata per mezzo di protocollo MPLS alla sede centrale. In questo modo ITAS assume come sicure le linee di collegamento di TELECOM, ma concretamente ITAS non è in grado di garantire l integrità, la riservatezza e l autenticità della comunicazione. In tal senso si suggerisce di valutare la possibilità di creare opportuni tunnel VPN tra le agenzie e la sede centrale, per mezzo di apparati hardware dedicati. In alternativa la tipologia delle comunicazioni applicative interessate dovrebbe prevedere, ove possibile, l adozione di protocolli crittografici: HTTPS, SFTP, SSL-POP etc Sistemi di Intrusion Prevention ITAS non adotta al momento nessun sistema per il rilevamento delle intrusioni. Considerata l impossibilità di controllare i sistemi presenti in agenzia, si potrebbe migliorare il livello di sicurezza delle comunicazioni attraverso un sistema di Intrusion Prevention, in grado di analizzare il traffico e bloccare eventuali attività illecite in tempo reale. 4.4 Accesso remoto Prioritaria è la sostituzione dell accesso RAS con una tecnologia VPN IPSEC o SSL. Si consiglia inoltre di considerare l adozione di sistemi di strong authentication basati su one time password o certificati. 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 11 di 11

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back