Accesso remoto sicuro alla rete aziendale La tecnologia PortWise Luigi Mori Network Security Manager lm@symbolic.it Secure Application Access. Anywhere. 1
VPN SSL Tecnologia di accesso remoto sicuro alla rete aziendale I client possono essere Laptop, Desktop fissi, Internet Kiosk, PDA,... L accesso avviene tramite un browser Possono essere protette sia applicazioni Web (Web Intranet, OWA, SharePoint, ilotus,...) sia applicazioni non-web (Terminal Server, Windows File Sharing, POP3, IMAP, SMTP, Outlook-Exchange, MS-RPC,...) Nasce per sopperire alle limitazioni del protocollo IPSec 2
VPN SSL vs. IPSec VPN SSL + Non richiede un client pre-installato + Non ci sono conflitti con il client + L interfaccia utente è il browser + La configurazione viene gestita dall amministratore + Policy di accesso granulare a livello applicazione + Non c è il problema degli IP sovrapposti + Non ci sono problemi con il NAT - Non passano tutte le applicazioni IPSec - Richiede un client pre-installato - Spesso ci sono conflitti tra client e OS - L interfaccia utente è complessa - La configurazione è sia sul client che sul gateway - Non è possibile specificare policy precise - Se il client ha un IP della subnet remota non funziona - Se è presente un device NAT spesso ci sono problemi + Passano tutte le applicazioni 3
PortWise Nasce nel 1997 come services company con la prima applicazione di VPN SSL sul mercato mondiale Diventa una software company nel 2000 Società svedese Sede: Stoccolma 275 clienti con più di 600,000 utenti effettivi 100 sviluppatori dedicati Quote di mercato in forte espansione in America e Asia Leader assoluto in Europa Tecnologia e linee di prodotto in fortissima espansione 4
PortWise Demo 5
Assessment Controllo dell host client (laptop, PDA, smart-phone) per assicurare che chi si collega rispetti le policy di security dell azienda per l accesso remoto 6
Assessment Rischio basso ActiveX Rischio medio Configurazione di riferimento Alto rischio Configurazione client 7
Assessment Client Scan Componente ActiveX On-Demand Collector utilizzati per ottenere informazioni sul device utilizzato dall utente File Collector Network Collector Process Collector Files Directory Registry keys IP Address TCP/UDP network port MAC Address Subnet Mask Default Gateway DNS/DHCP Running Processes Windows Collector Windows Domain Windows Version and Patch 8
Assessment Potente può accedere ai processi del sistema, ai file, ai programmi o al registro di configurazione del device Accesso parziale device che non soddisfano completamente I requisiti delle policy di sicurezza possono accedere parzialmente alle risorse della rete aziendale Computer di riferimento per gli amministratori di rete rappresenta uno strumento che semplifica il confronto con il device che si collega User guides se non viene superato il test iniziale, l utente è guidato su cosa fare attraverso istruzioni e wizard Personalizzabile tutto il processo di assessment è personalizzabile 9
Autenticazione Assicurare che l utente sia chi dichiara di essere 10
Autenticazione Il Servizio di Autenticazione può utilizzare più di 15 metodi per identificare l utente Metodi di Autenticazione Scrambled Web Password SMS (One-Time Password) Software Token 11 PortWise MobileID RADIUS: SecurID, SafeWord etc User Certificate LDAP & Active Directory Basic & NTLM BankID Form-based Windows integrated login Custom
Autenticazione Single Sign-On E-Mail File Server Intranet Gli utenti probabilmente lavorano con più di un applicazione La maggior parte di essi fatica a ricordare tutte le password necessarie al loro utilizzo e sono irritate per dover ridigitare il loro username e la relativa password Per gli amministratori di rete/sistema tutto questo rappresenta un grosso problema per la gestione e la sicurezza: database password non aggiornato, password scritte sui Post-it e attaccate al video, etc. Single Sign-On: permette a un utente di inserire username e password una sola volta per tutte le applicazioni (nel momento di accesso alla rete) L autenticazione si basa sulla definizione delle credenziali utente gestite centralmente da un database (Active Directory, LDAP etc.) Facile collegamento tra le applicazioni delle informazioni degli utenti 12
Autorizzazione Determinare a quali applicazioni l utente può accedere 13
Autorizzazione L autorizzazione all utilizzo delle applicazioni è determinato a ogni sessione dal PortWise Policy Server PortWise Policy Service Le Policy possono contenere parametri diversi: Authentication Method User Group Membership IP address Client Device Type Date and Time User Store Device Assessment Access Point Custom 14
Chiusura della sessione Rimozione di tutte le tracce dell accesso alla rete aziendale nel momento della chiusura della sessione di lavoro 15
Chiusura della sessione Il browser web lascia informazioni sulla sessione dopo che questa termina (browser history e browser cache) Cache Cleaner Viene eseguita una pulizia sicura del client per rimuovere il contenuto della cache del device: eliminazione delle entry della cache del browser (username, password ip address etc.) Eliminazione delle entry della history del browser (applicazioni utilizzate, dati elaborati etc.) Download Monitor Tutti I file scaricati sul device sono controllati da PortWise Access Point Possibilità di eliminare I file che sono stati memorizzati utlizzando il comando Salva con nome Possibilità di utlizzare opzioni predefinite: es. eliminare file exe, bin, dll e mantenere file pdf, txt, doc, xls, ppt I file cancellati non sono più recuperabili 16
PortWise Piattaforma UNICA per l Accesso Sicuro alle Applicazioni Aeroporto Tipologia Utente Utenti interni Road Warriors Clienti & Partners Utenti Mobile Utenti Casuali Applicazioni Mainframe 17 Client-Server Terminal Services File Services Web Services
Licenza Demo Per avere una licenza demo è necessario mandare una e-mail con le seguenti informazioni a portwise@symbolic.it Nome del responsabile Nome della società Nome DNS del portale Indirizzi IP del portale Nella lista degli indirizzi IP è importante specificare sia l IP privato della macchina sia l eventuale IP pubblico 18
Grazie portwise@symbolic.it Luigi Mori Network Security Manager lm@symbolic.it Secure Application Access. Anywhere. 19