Monitoraggio di outsourcer e consulenti remoti



Documenti analoghi
azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

Si applica a: Windows Server 2008

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Guida di Pro PC Secure

Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema

Audit per l individuazione dell errore umano

Controllo web per endpoint Panoramica. Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control

lem logic enterprise manager

VADEMECUM TECNICO. Per PC con sistema operativo Windows XP Windows Vista - Windows 7

Eventuali applicazioni future

Domande e risposte su Avira ProActiv Community

Software Servizi Web UOGA

Replica con TeraStation 3000/4000/5000/7000. Buffalo Technology

2.1 Configurare il Firewall di Windows

TeamPortal. Servizi integrati con ambienti Gestionali

BMSO1001. Virtual Configurator. Istruzioni d uso 02/10-01 PC

List Suite 2.0. Sviluppo Software Il Telefono Sas 10/06/2010

IT Cloud Service. Semplice - accessibile - sicuro - economico

PROF. Filippo CAPUANI. Accesso Remoto

crazybrain snc Presentazione_VisualFTP.pdf Pag. 1 VisualFTP Presentazione del prodotto Web partner:

La Soluzione per CdA e Top Management. La soluzione è Secure Board by Boole Server

Ridurre i rischi. Ridurre i costi. Migliorare i risultati.

Aggiornamenti Sistema Addendum per l utente

Installazione di GFI Network Server Monitor

SIMULAZIONE PROVA SCRITTA ESAME DI STATO. PER LA DISCIPLINA di SISTEMI

Gestione degli Access Log degli Amministratori di Sistema La soluzione per ottemperare agli obblighi del Garante Privacy

La VPN con il FRITZ!Box - parte II. La VPN con il FRITZ!Box Parte II

Agent, porte, connettività e reti L agent di Kaseya utilizza la porta 5721 per comunicare con il server, ma che tipo di porta è?...

Modulo 1: Configurazione e risoluzione dei problemi di sistema di nome di dominio

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

Manuale Amministratore Legalmail Enterprise. Manuale ad uso degli Amministratori del Servizio Legalmail Enterprise

Sistemi informativi secondo prospettive combinate

File Server Resource Manager (FSRM)

La soluzione software per CdA e Top Management

Panoramica sulla tecnologia

La CASSAFORTE DIGITALE per

La VPN con il FRITZ!Box Parte II. La VPN con il FRITZ!Box Parte II

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

LA GESTIONE DELLE VISITE CLIENTI VIA WEB

Fatti Raggiungere dal tuo Computer!!

Console di Monitoraggio Centralizzata

I MODULI Q.A.T. PANORAMICA. La soluzione modulare di gestione del Sistema Qualità Aziendale

hi-com software realizzato da Hi-Think

Installazione di una rete privata virtuale (VPN) con Windows 2000

Mac Application Manager 1.3 (SOLO PER TIGER)

Servizi Remoti. Servizi Remoti. TeamPortal Servizi Remoti

Meno rischi. Meno costi. Risultati migliori.

Guida alla registrazione on-line di un DataLogger

SPSS Statistics per Windows - Istruzioni di installazione per (Licenza per utenti singoli)

PORTALE CLIENTI Manuale utente

LA FORZA DELLA SEMPLICITÀ. Business Suite

SurfCop. Informazioni sul prodotto

itime Chiaramente inclusa la stampa del cartellino presenze come previsto dalle normative

ARCHIVIA PLUS VERSIONE SQL SERVER

MODULO 02. Iniziamo a usare il computer

PROXYMA Contrà San Silvestro, Vicenza Tel Fax

Presentazione FutureMobile. Sicurezza e Tracciabilità

uadro Soluzioni software per L archiviazione elettronica dei documenti Gestione Aziendale Fa quadrato attorno alla tua azienda

Manuale per la configurazione di AziendaSoft in rete

Software Intel per la gestione di sistemi. Manuale dell'utente di Intel Modular Server Management Pack

IL CASO DELL AZIENDA. Perché SAP.

Sicurezza a livello IP: IPsec e le reti private virtuali

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

UTILIZZO DELLA RETE WIRELESS DIPARTIMENTALE

SMS Banking. MAItaly s.r.l. Distribution: 2004, MAItaly s.r.l. All Rights Reserved. Date: 22/04/2004 Author: Davide De Marchi

VPN CIRCUITI VIRTUALI

IBM SPSS Statistics per Windows - Istruzioni di installazione (Licenza per sito)

INDIRIZZI IP AUTORIZZATI

Corso di Amministrazione di Reti A.A. 2002/2003

Console di Amministrazione Centralizzata Guida Rapida

Ti consente di ricevere velocemente tutte le informazioni inviate dal personale, in maniera assolutamente puntuale, controllata ed organizzata.

Servizio di Posta elettronica Certificata (PEC)

2 Configurazione lato Router

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente

Cosa è Tower. Sistema di autenticazione per il controllo degli accessi a reti wireless. struttura scalabile. permette la nomadicità degli utenti

Proteggiamo il PC con il Firewall di Windows Vista

Il modello di ottimizzazione SAM

IDS: Intrusion detection systems

COOKIES COSA SONO I COOKIES? COME UTILIZZIAMO I COOKIES?

Software per Helpdesk

Domande frequenti su Phoenix FailSafe

FileMaker Pro 13. Utilizzo di una Connessione Desktop Remota con FileMaker Pro13

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

W2000 WXP WVista W7 Ubuntu 9.10 VPN client - mini howto (ovvero come installare VPN client su quasi tutto)

Come proteggere la vostra rete corporate in modo progressivo ed integrato

InitZero s.r.l. Via P. Calamandrei, Arezzo

INFORMATIVA SUI COOKIE

Tecnologie Informatiche. security. Rete Aziendale Sicura

Servizio di Posta elettronica Certificata (PEC)

Soluzioni per archiviazione sicura di log di accesso server Windows. PrivacyLOG

Gruppi, Condivisioni e Permessi. Orazio Battaglia

GateManager. 1 Indice. tecnico@gate-manager.it

Distribuzione internet in alberghi, internet cafè o aziende che vogliono creare una rete "ospite"

Transcript:

1 Monitoraggio di outsourcer e consulenti remoti Un Whitepaper di Advanction e ObserveIT Daniel Petri

2 Sommario Esecutivo Nel presente whitepaper verrà mostrato come registrare le sessioni remote su gateway VPN utilizzando i Terminal Services congiuntamente a ObserveIT. In questa implementazione tutte le sessioni di accesso remoto sicuro via VPN con SSL vengono inoltrate attraverso gateway di accesso remoto: le sessioni di accesso remoto vengono utilizzate per accedere server Windows o Unix interni all azienda e altri device di rete. Tutte le sessioni che transitano dal Secure Remote Access SSL VPN Gateway sono sottoposte ad audit e registrate. Le sessioni registrate permettono ad Auditor e responsabili della sicurezza di avere un audit trail completo di tutti gli accessi remoti via VPN, identificare la fonte di ogni connessione remota e visualizzare una replica passo dopo passo delle attività e delle applicazioni sul server. Questo whitepaper affronterà i seguenti argomenti: 1. configurare un server Windows Terminal Gateway 2. comunicare in modo sicuro col gateway utilizzando un SSL VPN Gateway 3. effettuare audit, inviare alert o replicare le sessioni sul gateway che sono state registrate La necessità di centralizzare gli accessi remoti Nel complesso ambiente IT di oggi, sempre più persone hanno la necessità di accedere a server, applicazioni, database e strumenti di gestione aziendali. Tentando di minimizzare l intervento umano in questi servizi critici, gli IT manager devono considerare come poter permettere gli accessi e la gestione remota di questi servizi, a chi permettere l accesso, come renderlo sicuro e come tenerne traccia, come registrare le azioni svolte sui server. La necessità continua di controllare i budget diminuendo i costi operativi e della manutenzione ha portato molte aziende a utilizzare consulenti esterni e servizi di outsourcing riducendo la dimensione del dipartimento IT interno. Le connessioni remote Per mitigare I rischi, un approccio per permettere le connessioni remote consiste nel creare un accesso remoto sicuro, con cui tutte le connessioni remote passino attraverso uno o più terminal server o citrix gateway server. Tutti i vendor e gli amministratori remoti inizieranno una sessione di desktop remoto RDP/ICA su questi server dove saranno poi autenticati e, se autorizzati, avranno accesso all intero desktop o a un subset di applicazioni pubblicate che verranno utilizzate per scopi di gestione. Il primo componente di tale soluzione è il meccanismo di accesso remoto. Ci sono qui alcune opzioni da considerare: la decisione su quale soluzione di accesso remoto è strettamente collegata a problematiche di sicurezza, policy aziendali, budget e numero di connessioni concorrenti. L utilizzo di connessioni RDP dall esterno attraverso il firewall aziendale è probabilmente l opzione più semplice da implementare, ma è anche la meno sicura comparata con le opzioni successive. I pacchetti RDP viaggiano su Internet come pacchetti regolari e, nel caso non vengano implementate le caratteristiche crittografiche del Terminal Server, la sicurezza delle connessioni non è adeguata. Inoltre, se non viene utilizzato un metodo per il controllo degli accessi remoti (come ad esempio un Firewall con funzioni di autenticazione), l unica barriera in grado di prevenire l accesso di un utente pericoloso è costituita dal prompt di autenticazione del Terminal Server.

3 Rendere sicure le sessioni di accesso remoto Per inserire un ulteriore livello di sicurezza in queste connessioni dobbiamo implementare una soluzione di accesso remoto prima della connessione al Terminal server. Le opzioni a nostra disposizione prevedono: connessioni VPN basate su IPSec, L2TP o PPTP attraverso Microsoft Windows Server 2003/2008 RRAS, utilizzando Microsoft ISA Server o soluzioni di terze parti di VPN SSL o ancora utilizzando Microsoft Windows Server 2008 SSTP; connessioni a un Microsoft Windows Server 2008 TS Gateway. I benefici di utilizzare un accesso remoto su VPN risiedono nell impiego di connessioni crittografate, che aggiungono un ulteriore incapsulazione di sicurezza a ogni pacchetto. Le VPN consentono una protezione contro accessi non autorizzati perché prima di avere accesso al gateway di gestione remota, gli utenti sono obbligati ad autenticarsi con le loro credenziali o con un token, e solo a quel punto hanno accesso al gateway. L utilizzo delle VPN permette di impiegare la crittografia basata su SSL, che viene gestita da molti firewall senza la necessità di aprire porte specifiche. Le VPN SSL permettono ai lavoratori remoti di collegarsi facilmente perché non richiedono ulteriori software dal lato del client, e sono spesso iniziate da un browser web, caratteristica che ne rende ideale l impiego anche in computer pubblici come quelli presenti nelle hall degli hotel o nei centri di conferenze. È utile notare che in molti scenari, le VPN SSL sono preferite per l accesso remoto alle applicazioni basate su browser (ovvero che hanno un interfaccia web), mentre le VPN IPSec sono utilizzate principalmente per le comunicazioni site-to-site. L utilizzo delle nuove funzionalità SSTP di Microsoft Windows Server 2008 può contribuire a ridurre ulteriormente i costi associati alle soluzioni di terze parti.

4 Proteggere la rete interna Una problematica ulteriore da affrontare nell esame degli scenari di gestione remota consiste nella preoccupazione di controllare quale tipo di traffico può transitare attraverso queste connessioni VPN e quali computer remoti possono collegarsi alla rete aziendale. Spesso, questi computer non gestiti possono essere disallineati rispetto agli ultimi livelli di patch di sicurezza, non avere un prodotto antivirus aggiornato e non avere il firewall personale attivato, fattori che creano problemi di sicurezza specialmente quando consideriamo che questi computer potrebbero utilizzare un tunnel VPN che li collegherà alla rete aziendale. Inoltre, successivamente a questo collegamento, questi computer potrebbero istanziare un tipo ci connessione a risorse interne che è fuori dagli ambiti del tipo di connessioni richieste. Per mitigare questi rischi è necessario implementare un meccanismo che ponga in quarantena questi computer fino a che possano garantire di essere completamente aggiornati e allineati alle ultime patch di sicurezza. Questo tipo di quarantena può essere implementato con sistemi di Network Admission Control (NAC) o implementando il Network Access Protection (NAP) presente in Microsoft Windows Server 2008. Per controllare esattamente quale tipo di traffico transita attraverso la connessione VPN, è opportuno implementare implementare ulteriori appliance o installare un ulteriore firewall tra il server VPN e la rete interna, in modo che possa esaminare il traffico non crittato verso l interno.

Usare Microsoft TS Gateway Le nuove funzionalità di Microsoft Windows Server 2008 TS Gateway offrono un ulteriore protezione al traffico RDP incapsulandolo in pacchetti SSL, proprio come una VPN SSL ma senza la necessità di implementare server dedicati alla gestione della VPN. 5 L utilizzo di TS Gateway di Microsoft Windows Server 2008 consente di concedere l accesso agli utenti remoti alla rete interna basandosi su policy che possono essere applicate al TS Gateway direttamente, e combinandole con le funzionalità NAP del sistema, permetteranno la connessione solo ai computer che soddisferanno i requisiti di sicurezza definiti dagli amministratori. Questo scenario impiega componenti quali il TS Gateway server, un firewall, uno o più Domain Controller, un server NAP e un Network Policy Server (NPS è l implementazione Microsoft di un server RADIUS). Il TS gateway autentica il client collezionando le credenziali dell utente e controllandole con la policy di accesso remoto. Si autentica poi al Domain Controller ed effettua una verifica di sicurezza come richiesto dal server NAP e dalle sue policy. Solo quando tutti i controlli hanno avuto successo, fa passare il traffico RDP verso il gateway server di gestione remota.

6 Monitorare le attività degli utenti Nello scenario descritto precedentemente, tutti gli accessi remoti sono stati securiyyati e solo il personale autorizzato può accedere ai server aziendali. Rimane però il problema di sapere esattamente quello che il partner remoto fa una volta entrato nella rete, questione che crea un notevole buco nella sicurezza e compliance aziendale: una volta che il vendor si è collegato al server di gestione remota, in teoria può svolgere altre azioni, come ad esempio aprire connessioni RDP verso altri server. È necessario quindi un meccanismo che dia ai manager IT la piena confidenza del conoscere esattamente chi si è collegato, che operazione ha svolto e quali applicazioni o task di sistema sono stati utilizzati o aperti. Molte applicazioni server sono caratterizzate da diversi gradi di log e audit, che però mostrano tracce che devono essere interpretate, non reali azioni svolte da un essere umano. L audit e il log possono essere utili per il debug di un errore, ma le problematiche normative e di sicurezza creano la necessità di sapere esattamente cosa fanno gli utenti quando sono connessi ai Terminal Server. Utilizzando le funzioni di registrazione e audit di ObserveIT, gli IT manager ricevono una chiara e coincisa risposta a queste domande. Realizzato specificamente per implementazioni di livello enterprise, ObserveIT offre un controllo completo e una visione delle azioni svolte da consulenti e collaboratori esterni, così come anche da personale IT locale e power user. ObserveIT registra tutte le attività svolte da un utente su server monitorati, sia con la registrazione visuale sia con metadati dettagliati. La registrazione visuale permette la replica di ogni sessione utente e la comprensione di ciò che è stato effettuato sul sistema monitorato, chi l ha fatto e quali applicazioni e file sono stati acceduti.

7 Nello scenario implementativo qui illustrato, ObserveIT è implementato su ogni Terminal Server per la gestione remota. È possibile configurare policy per attivare la registrazione di tutte le attività rilevanti svolte dai vendor. La configurazione di ObserveIT permette di registrare unicamente le applicazioni pubblicate sul Terminal Server di gestione remota.

8 Monitoraggio in tempo reale e integrazione con strumenti di management Catturando metadati in aggiunta alle videate, ObserveIT offre un abbondanza di informazioni su quello che è stato visto sullo schermo, sull utente che ha svolto l azione, sul nome e l indirizzo IP del sistema di provenienza, sulla data, le applicazioni eseguite, il titolo della finestra e altro ancora. Tutte queste informazioni sono memorizzate unitamente alle schermate, consentendo ricerche flessibili senza la necessità di replicare tutta la sessione, schermata dopo schermata. Un altra caratteristica di ObserveIT è la possibilità di creare file di log testuali per scopi di monitoraggio. Questi file sono conservati sul server e possono essere elaborati da strumenti di terze parti.

9 Identificazione degli utenti Gli Identification Services di ObserveIT si integrano con il database di Active Directory. Questo servizio forza gli utenti a identificarsi prima di avere accesso al desktop del server o alle applicazioni pubblicate. Dopo aver completato il processo di logon di Windows, viene mostrata all utente la finestra di login secondario di ObserveIT nella quale dovranno per forza inserire lo username personale con relativa password. Questo permetterà di distinguere utenti specifici anche quando effettuano una login come utente generico, come ad esempio Administrator. Conclusioni Le problematiche di sicurezza e compliance forzano molti IT manager a ricercare soluzioni per monitorare l accesso esterno di vendor e amministratori esterni che accedono la loro rete da remoto. Utilizzando l approccio del gateway centralizzato di gestione remota riusciamo a raggiungere un grado di implementazione più sicuro e integrando queste soluzioni con ObserveIT, la registrazione delle attività degli utenti diventa facile da collezionare e monitorare. Le funzionalità avanzate di indicizzazione di ObserveIT, unite alla replica video delle attività, permette all IT manager di tracciare da vicino le attività di accesso remoto. Tra i benefici di questa soluzione troviamo: responsabilità su tutte le attività svolte da un azienda di servizi; processi che collegano ogni accesso al sistema all utente individuale; riduzione dei costi necessari per generare reportistica di compliance: meno effort con tempi di risposta più elevati; prova inequivocabile dell attività utente, garantendo autenticazione e non ripudio.

10 ObserveIT ObserveIT è un azienda leader nella registrazione delle sessioni da terminale remoto, Citrix e console locale, con soluzioni per ambienti Windows, server, desktop e macchine virtuali. Il software di ObserveIT è in grado di registrare visivamente e replicare tutte le sessioni utente, offrendo dettagli sulle attività svolte sulla rete. Fondata nel 2006, ObserveIT ha una base di clienti in tutto il mondo nei vari settori industriali, come in quello finanziario, assicurativo, medico, manifatturiero, delle telecomunicazioni, della pubblica amministrazione e dei servizi IT. Advanction Advanction è un azienda operante nel settore del Security Risk Management, sia attraverso consulenze, sia mediante la fornitura di servizi e soluzioni. Fondata nel 2006, Advanction opera in Italia e Svizzera e ha clienti in ambito finanziario, manifatturiero e dei servizi. Advanction è partner di ObserveIT per l Italia e la Svizzera. E-mail: info@advanction.com Web: www.advanction.com

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back