tecnologie gnu linux per la sicurezza della rete...
TRANSCRIPT
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
1
LINUXDAY 2012
Tecnologie Gnu Linux per lasicurezza della rete aziendale
Massimiliano Dal Cero, Stefano Fratepietro
ERLUG
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
2
LINUXDAY 2012
Chi siamo
Massimiliano Dal Cero
CTO presso Tesla Consulting
Sicurezza applicativa e sistemistica
Main developer progetto DEFT Linux
Stefano Fratepietro
IT Security specialist
Consulente di Computer Forensics per forze dell'ordine e privati
DEFT Linux project leader
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
3
LINUXDAY 2012
Obiettivi
La sicurezza non è un prodotto ma un processo
Pregi e difetti delle soluzioni open source e closed source
Zentyal – All in one solution– Firewall– Proxy server– DNS server– Ldap – Servizi di directory
Nagios– Struttura– Controllo– Esempi pratici di uso
Open VPN
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
4
LINUXDAY 2012
La sicurezza è un processo
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
5
LINUXDAY 2012
La sicurezza è un processo
La sicurezza informatica è un processo, non un prodotto!
Una infrastruttura IT è sicura quando le sue componenti collaborano tra di loro condividendo delle policy ben definite
Mantenere aggiornati i sistemi che compongono l'infrastruttura IT
Comprare una soluzione “di marca” non è garanzia di sicurezza
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
6
LINUXDAY 2012
La sicurezza è un processo
Vulnerabilità Cisco ASA
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
7
LINUXDAY 2012
Voci di costo
Composizione dell'offerta – non open source
Costo della soluzione
Costo del canone di manutenzione
Costo della licenza annuale
Composizione offerta – open source
Canone di manutenzione annuale
Eventuale costo della personalizzazione
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
8
LINUXDAY 2012
Alcuni casi di successo
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
9
LINUXDAY 2012
Small business Linux server - www.zentyal.org
Sviluppato da eBox Tecnologies, S.L.
Basato su Ubuntu 12.04 LTS– Firewall– Http/s Proxy– Dns server– Dhcp server– Certification Authority (CA)– VPN Ipsec lan2lan e client– Intrusion Detection System (IDS)– Radius server– Ldap server– Mail server– Jabber server
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
10
LINUXDAY 2012
Configurazione tipo
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
11
LINUXDAY 2012
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
12
LINUXDAY 2012
Controllo dei servizi
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
13
LINUXDAY 2012
Firewall
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
14
LINUXDAY 2012
Proxy
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
15
LINUXDAY 2012
DNS Server
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
16
LINUXDAY 2012
Dominio e condivisione file
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
17
LINUXDAY 2012
Dominio e condivisione file
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
18
LINUXDAY 2012
Zentyal - Pro
Interfaccia grafica user friendly– Non c'è bisogno di scrivere una riga di configurazione con vi
Possibilità di crearsi un dominio stile active directory Microsoft– User management (LDAP)– File sharing (Netbios/Samba)
Firewall in 5 minuti
Http proxy in 10 minuti
Dns server pronto all'uso
Dhcp server pronto all'uso
Antivirus su molti dei servizi offerti
No costi di licenza
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
19
LINUXDAY 2012
Zentyal - Contro
Non è possibile applicare delle policy di dominio come nei domini Active Directory Microsoft
Firewall in 5 minuti si, ma gestendo un solo segmento di rete per installazione
Le liste dei profili del proxy sono solo manuali
Nella soluzione base, l'antivirus non si aggiorna giornalmente
Non è possibile erogare il servizio in alta affidabilità
Le soluzioni all in one potrebbero causare problemi di carico della macchina o di completo fault dell'azienda nel caso in cui il sistema avesse un malfunzionamento
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
20
LINUXDAY 2012
Sistema proattivo di monitorizzazione di servizi, host e risorse (spazio disco, carico della CPU, esistenza di processi, ...)
Controlli paralleli
Monitoraggio ed esecuzione di comandi remoti
Estendibile tramite plugin
Nagios 3 Nagios XI
Interfaccia Free Nagios XI , evoluzione di Nagios , ma resa proprietaria e sviluppata
da nagios.com
Nagios CoreCuore Free che racchiude tutte le funzionalità del
prodotto, sviluppata da nagios.com e dalla community nagios.org
AltroPer lo più
implementazioni commerciali
(NetEye Wurth)
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
21
LINUXDAY 2012
STRUTTURA
NagiosServer
NRPE
NRPE
NRPE
Nagios Remote Plugin Executor
Nagios può monitorare i servizi da remoto monitorando le porte, o facendo eseguire controlli sull'host remoto tramite NRPE per monitorare risorse o servizi
Sempre tramite NRPE può eseguire comandi inbase a “event handler” specifici(esempio: restart Apache remoto)
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
22
LINUXDAY 2012
Check e status
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
23
LINUXDAY 2012
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
24
LINUXDAY 2012
E' anche possibile monitorare costantemente lo stato della sicurezza degli host o dei servizi facendoci pervenire comunicazione immediata e/o prendere contromisure specifiche
CASE STUDY
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
25
LINUXDAY 2012
CASE STUDY
●Fallische check hash
●Copio file e allego in messaggio
●Ripristino file trusted
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
26
LINUXDAY 2012
VPN: Virual Private Network
Il termine VPN è un termine generico che definisce l'idea e non un marchio o uno standard. In particolare, non esiste alcun ente che regoli la denominazione di un prodotto come VPN: quindi ogni produttore può utilizzare la denominazione a suo piacimento.
È una rete che viene creata utilizzando una struttura per la telecomunicazione pubblica (come Internet) per fornire un accesso sicuro all'Intranet aziendale per uffici o utenti remoti. Rappresenta una soluzione meno onerosa rispetto alla linea dedicata.La sicurezza delle trasmissioni viene assicurata da un sistema di criptazione dei dati come il tunneling.
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
27
LINUXDAY 2012
●È usato per creare un tunnel crittografato punto-punto fra host ●Permette agli host di autenticarsi l'uno con l'altro per mezzo di chiavi private condivise, certificati digitali o credenziali utente/password.
●Usa in modo massiccio le librerie di cifratura OpenSSL
●Usa il protocollo SSLv3/TLSv1.
●È disponibile su GNU/Linux, xBSD, Mac OSX, Solaris e Windows 2000/XP/Vista/7.
●Offre un ricco insieme di caratteristiche per il controllo e la sicurezza.
●Non è compatibile con IPsec o altri sistemi VPN
●concentra tutto il traffico dati e di controllo su una singola porta IP.
●Può usare UDP o TCP
●Può funzionare attraverso la maggior parte dei server proxy (HTTP incluso) e non ha problemi ad integrarsi col NAT.
●Il server può "inviare" alcune opzioni di configurazione di rete ai client. Fra queste, l'indirizzo IP, gli instradamenti, e alcune opzioni di connessione.
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
28
LINUXDAY 2012
CASE STUDYUn'azienda ha uno o più collaboratori che devono collegarsi al CRM aziendale che non si vuole esporre sulla rete Internet per ovvi motivi di sicurezza.
SOLUZIONEInstallare una VPN su un server aziendale che permetta la comunicazione su canale sicuro tra gli host remoti e la rete interna aziendale
Ogni collaboratore dovrà quindi installare il client VPN e configurarlo con i parametri della VPN aziendale e fornire le corrette credenziali
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
29
LINUXDAY 2012
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
30
LINUXDAY 2012
Conclusioni
Spesso quello che ci permette di fare una soluzione con costi di licenza, lo possiamo fare con un prodotto free software ed open source SENZA costi di licenza d'uso
Una soluzione free software ed open source è una ottima scelta per ottimizzare i costi nella fornitura di servizi di sicurezza informatica per le pmi
Le soluzioni proprietarie sono sicuramente degli ottimi prodotti ma hanno un senso solo su determinate esigenze
Massimiliano Dal Cero, Stefano Fratepietro - Tecnologie Gnu Linux per la sicurezza della rete aziendaleBologna, 2012-10-27 ERLUG: Emilia Romagna Linux Users Group - erlug.linux.it
31
LINUXDAY 2012
Domande?Grazie!
Le slides e le riprese audio/videodell'intervento saranno disponibili su:
http://erlug.linux.it/linuxday/2012/