ITAS ANALISI DELL INFRASTRUTTURA IT Criticità di sicurezza Trento Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603 Fax +39.02.63118946 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 1 di 11
STORIA DEL DOCUMENTO Versione Data Modifiche Effettuate 1.0 29 Novembre 2006 Emissione INFORMAZIONI Data di Emissione 29 Novembre 2006 Versione 1.0 Tipologia Documento Documento Tecnico Numero Pagine 11 Numero Allegati 0 Redatto da Approvato da Aldo Scaccabarozzi Gianluca Vadruccio 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 2 di 11
INDICE 1 Obiettivo... 4 2 Ambiente di riferimento... 4 2.1 Struttura delle agenzie... 5 3 Anali del ambiente ITAS e dei sistemi di sicurezza... 7 3.1 Servizi legati a Internet... 7 3.1.1 Navigazione: proxy e web filtering... 7 3.1.2 Posta... 7 3.1.3 Accessi esterni... 8 3.1.4 Sistemi di Intrusion Detection/Prevention... 8 3.2 Sistemi di sicurezza interni... 8 3.2.1 Sistema Antivirus... 8 3.2.2 Sistema patching... 9 3.2.3 Politiche di disaster recovery... 9 4 Piano d intervento... 9 4.1 Enforcement delle politiche di firewalling... 9 4.2 Sistema di patching... 10 4.3 Struttura agenzie... 10 4.4 Accesso remoto... 11 INDICE FIGURE Figura 1 - Architettura di rete ITAS... 4 Figura 2 - Struttura agenzia con punto vendita... 6 Figura 3 - Struttura agenzia senza punto vendita... 6 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 3 di 11
1 Obiettivo Il presente documento descrive l attività di analisi dell infrastruttura di ITAS assicurazioni, volta a individuare possibili carenze e criticità, per poter pianificare al meglio eventuali interventi volti a mantenere un elevato livello di sicurezza. 2 Ambiente di riferimento L infrastruttura di rete di ITAS è suddivisa in sei zone, mostrate in Figura 1 con diversi colori: AREA INTERNET AREA INTRANET TELECOM AREA INTRANET RITA AREA LAN DMZ AREA SERVER FARM AREA LAN (Interna) Router MPLS TELECOM HSRP Router RITA Router TELECOM Router ITASNET RITA Checkpoint FW Figura 1 - Architettura di rete ITAS 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 4 di 11
Tutte le zone sono tra loro ruotare e difese per mezzo di una coppia di firewall checkpoint configurati in alta affidabilità. L area Internet è costituita da due differenti accessi forniti rispettivamente da RITA e Telecom, quest ultimo usato principalmente per la navigazione. L area Intranet Telecom costituisce il collegamento della sede centrale di ITAS alle agenzie, realizzato per mezzo di due router configurati in alta affidabilità (HRSP 1 ). Questa tipologia di collegamento, basata su protocollo MPLS, garantisce 8 Mb/s di throughput verso le agenzie principali, in alcuni casi anch esse dotate di due router configurati in alta affidabilità. L area Intranet Rita costituisce il collegamento della sede centrale di ITAS alle agenzie non interconesse per mezzo delle linee Telecom. Questo link basato sulla tecnologia ISDN ha un throughput dell ordine dei 128 Kb/s. L area DMZ LAN contiene i sistemi pubblicati da ITAS su internet: il server WEB, i servizi di posta basati su Outlook Web Access, oltre ad alcuni server per uso interno quali ad esempio il proxy dedicato alle agenzie. L area Server Farm contiene i sistemi business critical di ITAS, tra i quali vi sono i server Oracle, i sistemi SAP e i file server. Quest area ha lo scopo di isolare i sistemi critici dai client degli utenti collocati invece nella LAN Interna, regolandone l accesso. Esistono inoltre due LAN non mostrate in Figura 1: LAN di management degli switch LAN di management dei firewall La prima rappresenta l unica rete di accesso per l amministrazione degli switch, la seconda è dedicata all amministrazione dei firewall dove è inoltre collegato lo smart center per la gestione delle politiche e la conservazione dei log. Il traffico tra le diverse aeree è regolato dalle politiche configurate sulla coppia di firewall checkpoint. 2.1 Struttura delle agenzie ITAS assicurazioni è interconessa alle agenzie distribuite sul territorio nazionale tramite l area INTRANET descritta nel precedente paragrafo. ITAS non gestisce la struttura IT delle singole agenzie, ogni agenzia è responsabile dei propri sistemi e di conseguenza di mettere in atto le opportune politiche per la tutela dei propri sistemi. Esistono due tipologie di agenzie: 1 HSRP (acronimo di Hot Standby Router Protocol) è un protocollo proprietario di Cisco che serve a garantire la fault-tolerance tra più router Cisco. 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 5 di 11
Agenzie con punto vendita Agenzie senza punto vendita Le prime sono collegate per mezzo del link MPLS di Telecom con due router in alta affidabilità, mentre le seconde hanno solo un router o eventualmente il collegamento ISDN di RITA. In filiale è installato dal personale ITAS un applicativo interno: per le agenzie con punto vendita su un server (Figura 2), per le agenzie senza punto vendita su un client dedicato (Figura 3). Figura 2 - Struttura agenzia con punto vendita Figura 3 - Struttura agenzia senza punto vendita 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 6 di 11
3 Anali del ambiente ITAS e dei sistemi di sicurezza Di seguito sono elencati i principali servizi informatici forniti dalla struttura IT alla sede principale e alle agenzie. Per ognuno di questi servizi sono descritte le politiche di sicurezza adottate e le relative soluzioni tecnologiche attualmente operative. 3.1 Servizi legati a Internet 3.1.1 Navigazione: proxy e web filtering ITAS assicurazioni fornisce ai propri dipendenti la possibilità di navigare in Internet attraverso la configurazione di un proxy Microsoft ISA server. Questo server è collocato nell area LAN Interna e consente al personale della sede ITAS la navigazione, previa autenticazione dell utenza. L utente di sede non deve di norma inserire le proprie credenziali in quanto Internet explorer è in grado di passare in automatico le credenziali dell utenza del PC al sistema proxy, che risulta a sua volta integrato col dominio Microsoft. Attraverso questo meccanismo è possibile gestire le utenze del dominio associando ad ognuno di loro le opportune politiche di navigazione internet. ITAS assicurazioni fornisce alle agenzie la navigazione in internet, in modo analogo a quanto fatto per il personale interno, utilizzando un proxy Microsoft ISA server. Questo sistema, distinto dal proxy utilizzato dal personale interno, è collocato nell area DMZ. Entrambi i sistemi proxy sono integrati con un sistema di Web Filtering basato sulla tecnologia di Pure Sight. Questa tecnologia consente di impedire la navigazione verso siti dai contenuti pericolosi o comunque non inerenti all ambito lavorativo, quali ad esempio possono essere siti pornografici, siti per le scommesse e il gioco d azzardo, etc 3.1.2 Posta ITAS assicurazioni utilizza come sistema per la posta la soluzione Exchange di Microsoft, rendendo disponibile agli utenti l accesso alla propria casella da internet per mezzo di Outlook Web Access. Questo servizio è fornito sia al personale interno, sia al personale delle agenzie. I server di posta hanno installato un agente antivirus specifico per Exchange, fornito da Computer Associates, i cui aggiornamenti sono gestiti centralmente dal sistema Antivirus adottato per tutti i sistemi ITAS e descritto al paragrafo 3.2.1. Non esiste un sistema ANTISPAM in quanto tale servizio è offerto dalla società RITA, la quale fornisce i sistemi per il relay della posta di ITAS. 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 7 di 11
3.1.3 Accessi esterni ITAS ha la necessità di consentire l accesso a specifici fornitori, ovviamente esterno all azienda, verso alcuni sistemi interni. Nel dettaglio i fornitori utilizzano tre tipologie di accesso remoto: Client Checkpoint SecurRemote VPN MPLS Accesso RAS (modem) La prima tipologia di accesso, utilizzata dal personale UNISYS, si basa sul software Checkpoint per le VPN IPSEC. Il sistema di autenticazione è basato su user e password. La tecnologia IPSEC risulta sicura e garantisce la confidenzialità e l integrità dei dati. Questa tipologia di accesso consente di definire i sistemi e i servizi fruibili dall esterno. L autenticità dell utente è data dalla conoscenza dell utenza e della password configurate da ITAS. La seconda tipologia di accesso è costituita da una connessione VPN IPSEC tra la rete di RAS e quella dei fornitori. Questa tipologia di accesso fornisce livelli di sicurezza elevati e consente di stabilire i sistemi e i servizi fruibili al fornitore. L autenticazione è affidata alla conoscenza di uno shared secret condiviso tra le parti e dalla identificazione di uno specifico indirizzo IP. La tecnologia di accesso RAS è costituita da un modem che viene attivato esclusivamente su richiesta dei fornitori di assistenza SAP. Dopo aver composto il numero corrispondente il fornitore è autenticato per mezzo di un utenza e una password. 3.1.4 Sistemi di Intrusion Detection/Prevention ITAS non adotta al momento soluzioni per la rilevazione e/o prevenzione delle intrusioni. 3.2 Sistemi di sicurezza interni 3.2.1 Sistema Antivirus ITAS Assicurazioni adotta per tutti i sistemi Microsoft la soluzione antivirus di Computer Associates. Questo prodotto prevede un agente installato sui singoli client, gestiti da un server centrale, il quale ha la funzione di distribuire gli aggiornamenti e le politiche di scansione e/o protezione, oltre a raccogliere le informazioni delle scansioni effettuate e dei virus individuati. ITAS non ha un controllo effettivo della soluzione antivirus adottata dalle agenzie. L unica garanzia è costituita dall impegno e sensibilità che le agenzie hanno nell evitare problemi derivanti dalla diffusione di virus informatici. 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 8 di 11
3.2.2 Sistema patching Attualmente l installazione delle patch sui sistemi client avviene in automatico tramite la componente Microsoft Update Agent, configurato per scaricare e installare le patch in automatico. Per i sistemi server invece solo il download delle patch avviene in automatico, mentre l installazione risulta essere manuale. Non esiste un sistema centralizzato per la gestione delle patch dei sistemi operativi Microsoft, quali ad esempio un server WSUS. Come per i sistemi antivirus ITAS non è in grado di verificare che le agenzie adottino opportuni sistemi per l applicazione delle patch. 3.2.3 Politiche di disaster recovery La politica di disaster recovery di ITAS attualmente non prevede alcun sito di disaster recovery. Al momento l unica garanzia contro la perdita dei dati e dei sistemi aziendali critici è costituita da un backup settimanale su nastro dei sistemi critici. Le cassette sono conservate in una cassaforte in un palazzo differente dalla sede di Via Manatova. 4 Piano d intervento L analisi dell infrastruttura IT di ITAS non ha evidenziato gravi carenze di sicurezza in termini di soluzioni tecnologiche adottate per garantire l operatività e la protezione dei sistemi IT. Risultano invece alcune lacune sull effettiva efficacia e operatività delle soluzioni in essere. Di seguito riportiamo, in ordine di priorità, le attività volte a migliorare l attuale livello di sicurezza dei sistemi ITAS. 4.1 Enforcement delle politiche di firewalling L analisi delle politiche di firewalling attualmente in essere ha evidenziato alcune regole eccessivamente permissive, riportate di seguito: Tutto il traffico dalla LAN Interna verso la DMZ è consentito. Tutto il traffico dalla LAN Interna verso la Server Farm è consentito. Tutto il traffico dalla LAN Interna verso le agenzie (Area MPLS TELECOM) è consentito. Tutto il traffico dalla Server Farm verso la LAN Interna e verso la DMZ è consentito. La Server Farm è abilitata a navigare senza passare dal proxy. Tutto il traffico dalle agenzie (Area MPLS Telecom) verso la DMZ è consentito. Tutto il traffico dalle agenzie (Area MPLS Telecom) verso la Server Farm è consentito. 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 9 di 11
La ragione di regole così permissive risiede nella difficoltà di individuare i servizi pubblicati dai vari sistemi in virtù delle necessità del personale ITAS. Si suggerisce in tal senso l implementazione di opportune politiche di logging e un osservazione della tipologia di traffico in un arco temporale di 2 settimane, alla fine delle quali estrapolare i principali protocolli utilizzati. Questa attività dovrebbe essere condotta con la collaborazione del personale responsabile degli applicativi. Prima del passaggio in produzione delle regole relative al traffico di agenzia, potrebbe essere propedeutica una fase di test con un agenzia dove fosse presente del personale disponibile ad effettuare dei test esaustivi. In tal senso dovrebbe essere pianificata una test-list esaustiva delle attività tipiche di agenzia, allo scopo di assicurare il minimo impatto sulla produttività. 4.2 Sistema di patching La gestione degli aggiornamenti dei sistemi operativi Microsoft dovrebbe essere gestita centralmente, almeno per i server in DMZ e nella server Farm, tramite la soluzione WSUS di Microsoft. Questo consentirebbe di tenere sotto controllo lo stato degli aggiornamenti dei sistemi, oltre a valutare e testare le patch prima di effettuarne il deployment. 4.3 Struttura agenzie La criticità maggiore dell infrastruttura di ITAS è rappresentata dal rischio proveniente dalle agenzie, struttura sulla quale non si ha l effettivo controllo delle politiche di sicurezza adottate. Per questa ragione si mettono in evidenza i seguenti possibili miglioramenti. PROXY Agenzie Installazione di un sistema Antivirus apposito per ISA server, questo consentirebbe un enforcement centrale sul controllo del traffico WEB, altrimenti demandato all antivirus dei client. In alterativa è possibile sostituire la tecnologia ISA server con una tecnologia che offre oltre al vantaggio precedente un miglioramento in termini di: WEB Caching. Traffic shaping. WEB e content filtering integrato. Sistema appliance mantenuto con applicazione di update specifici. Migliore scalabilità 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 10 di 11
Traffico Intranet La struttura ITAS delle agenzie è collegata per mezzo di protocollo MPLS alla sede centrale. In questo modo ITAS assume come sicure le linee di collegamento di TELECOM, ma concretamente ITAS non è in grado di garantire l integrità, la riservatezza e l autenticità della comunicazione. In tal senso si suggerisce di valutare la possibilità di creare opportuni tunnel VPN tra le agenzie e la sede centrale, per mezzo di apparati hardware dedicati. In alternativa la tipologia delle comunicazioni applicative interessate dovrebbe prevedere, ove possibile, l adozione di protocolli crittografici: HTTPS, SFTP, SSL-POP etc Sistemi di Intrusion Prevention ITAS non adotta al momento nessun sistema per il rilevamento delle intrusioni. Considerata l impossibilità di controllare i sistemi presenti in agenzia, si potrebbe migliorare il livello di sicurezza delle comunicazioni attraverso un sistema di Intrusion Prevention, in grado di analizzare il traffico e bloccare eventuali attività illecite in tempo reale. 4.4 Accesso remoto Prioritaria è la sostituzione dell accesso RAS con una tecnologia VPN IPSEC o SSL. Si consiglia inoltre di considerare l adozione di sistemi di strong authentication basati su one time password o certificati. 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 11 di 11