La sicurezza nella Informatica Aziendale

Panoramica a 360° delleproblematiche di IT security

Marco Guardigli

Direttore Tecnico TomWaremgua@tomware.it

Milano, Systech, 3-4 novembre 2005

La sicurezza nella Informatica Aziendale

DEFINIZIONI E

TEMI FONDAMENTALI

Sicurezza Informatica● Tutela costante di dati, sistemi, reti

da eventi calamitosi, guasti, corruzioni, furti, intrusioni, alterazioni indebite, accessi indesiderati da parte di persone o malware

● Tutela nel tempo della Business Continuity e della immagine aziendale, tramite piani di backup, crash recovery, failover, contingency, reporting, alerting

● Costante monitoraggio passivo, attivo e proattivo (patching)

● Attività di analisi e supporto tecnico per eventuali investigazioni

Regole Fondamentali 1/4

•Progettare in modo “robusto”•Ridondare processi, sistemi, persone•Mai tutte le uova nello stesso paniere•Effettuare analisi criticità. What if?•Attivare monitoraggi e controlli•Validare periodicamente i fornitori•L’encryption è un’arma a doppio taglio•Molti sistemi di sicurezza non sono facili da testare, non vengono testati, e devono funzionare

Regole Fondamentali 2/3

•Abbreviare i transitori•L’eccezione non deve diventare regola•Fare tesoro dell’esperienza•Non essere sprovveduti•Non ritenersi per principio al sicuro da…

•Una persona capace e determinata è molto più intelligente di qualsiasi computer

•Esistono sempre punti deboli

Regole Fondamentali 3/4

•I sistemi molto/troppo sofisticati sono molto/troppo complessi da mantenere sicuri. Keep it simple.

•Rispettare i principi del minimo accesso e del “need to know”

•Il firewall non è la scatola ma la sua configurazione

•Il brand della scatola non garantisce la qualità della configurazione.

Regole Fondamentali 4/4

•Usare password adeguatamente sicure e cambiarle frequentemente

•Mantenere gli orologi e controllare i log

•L’outsourcing non sempre è una soluzione

•Non sottovalutare le eventualità di molteplici eventi o fenomeni simultanei

•In un progetto, aggiungere la sicurezza in seguito in genere costa molto di più

La complessità•Nella IT la complessità è in costante aumento, e travarica le capacità degli operatori

•Siamo sempre più “principianti” nel nostro lavoro

•E’ molto facile far paura, parlando di IT security. Meno facile è affrontare il problema

•Visto che non è possibile considerare a priori tutte le possibili minacce, si deve effettuare una analisi dei rischi, e prevedere gesti reattivi in seguito all’evento oltre che proattivi a priori

•Che cosa fare se…

Lavorare è Comunicare

•L’epoca dei firewall e dei bastion host è oramai finita

•Anzichè castelli si devono proteggere aeroporti

•Multiple vie di ingresso e di uscita

•Dispositivi sempre più piccoli e utenti sempre più mobili

•Spesso le restrizioni producono deroghe

•Broadband a portata di tutti

La sicurezza nella Informatica Aziendale

GESTIONE DEI SERVIZI E BUSINESS CONTINUITY

Vincoli nella Economia IT

1. Bassi costi,

2. Velocità,

3. Sicurezza

1 + 2

1 + 3

2 + 3

Sceglierne solo due

or

Servizi IT tipici da tutelare● Servizi di Directory per utenti e sistemi● Host, terminal servers● File and print● Email, groupware, fax, Doc & KW mgmt● RDBMS / ERP / CRM / DWH● Web intra / extra● Intranet Networking and Routing● Accesso remoto, servizi VPN● Antivirus / Security / Net mgmt● Storage management● Backup

Risk Management

● Risk Avoidance

● Risk Reduction

● Risk Transfer

● Risk Acceptance

● SPOF Analysis

RTO e RPO

● RTO: Recovery Time Objective– Tempo max necessario per recuperare il servizio,

include i tempi di recupero sistemi, reti, dati, applicazioni e disponibilità accesso da parte degli utenti

● RPO: Recovery Point Objective– Massima distanza temporale tra l’ultimo salvataggio

dei dati e il verificarsi del disastro. Si correla alla massima quantità di dati di cui è ammissibile la perdita a fronte di un disastro

Pianificazione

Analisi requisiti attuali

Identif. Rischie Vulnerabilità

Business Impact Analysis

IdentificazioneStadi critici

Piano Contigenza e Recupero (bozza)

Definizione e conduzione test

Piano Contingenza e Recupero

Formazione e diffusione idee

Sviluppo Procedure Manutenzione

Miglioramento e Attualizzazione

Evoluzione del business

Controllo accessi

•Accesso ai servizi sempre più decentrato

•Interfacce su molteplici fronti con molteplici protocolli: (lan, wan, wireless, phone, mail, web, vpn)

•Le chimere e i rischi del Single Sign-on

•Cifratura traffico sempre più diffusa

•Analisi traffico difficile o impraticabile

•Ardue distinzioni fra lecito e illecito

•Policy su più livelli: mac, circuit, port, nat, application, speed, timeplace, credenziali, token, biometria…

Identificare attori e atti

● lecito=f(sogg, az, ogg, circ-1,…circ-n)

mrossi, login, server23, sabato-notte, da_81.41.23.2

● Di tutto il resto, scegliere cosa è meritevole di analisi ed indagini

● Non ci sono molte differenze rispetto alla sicurezza tradizionale

● Identificare gli asset da proteggere● Definire policy: cosa è lecito, in termini di soggetto,

azione, oggetto, circostanze

IDS / IPS● IDS: Intrusion Detection Systems: Sistemi di

controllo del traffico di rete che cercano di individuare anomalie

● IPS: Intrusion Prevention Systems: un IDS in grado di bloccare il traffico rilevato come pericoloso

● Falsi Positivi: traffico buono identificato come cattivo

● Falsi Negativi: traffico cattivo non identificato

Alcuni casi (ostili e non)● Cercare e/o reperire informazioni su persone o cose

interne all’azienda (Chi è che cerca? Da dove? A quali fini?)

● Tentare di aprire una porta provando diverse chiavi? (Cosa c’è dietro la porta? Chi prova? A che ora? Con quante e quali chiavi?)

● Comunicare (mail, chat, ecc…) a nome di altri (con un altro mittente)● Accedere con credenziali altrui● Spedire mail a 1.000.000 di destinatari (spam)● Spedire 1.000.000 di mail a un singolo destinatario (petizione,

rappresaglia)● Copiare un sito in tutto o in parte

Come sapere se e cosa è accaduto?

● Costruire degli indicatori e monitorarne l’andamento a livello statistico può aiutare a individuare anomalie, soprattutto quantitative. (es: spazio disco, traffico rete, impegno cpu, impegno memoria)

● Definire controlli di invarianza (es: prima e dopo una transazione economica la somma dei due saldi deve essere invariata)

● Definire controlli di consistenza. Tutelarsi dalla alterazione di dati e programmi (eseguibili, librerie, file cfg, log, report, code-signing, ecc)

● Attivare monitoraggi passivi● Usare estensivamente logging e auditing, e correlare

Se si è vittime di un danno

● Costituzione comitato di crisi. Inventario e rapporto danni. Definizione processi, ruoli e strategie a breve termine

● Recupero statico dati, sistemi e reti, e progressiva riattivazione dei servizi

● Redazione informative e comunicati alle parti coinvoltee alle autorità

● Inchiesta su cause e ricostruzione eventi, in collaborazione con la magistratura

● Prevenzione/pianificazione per il prossimo evento

La sicurezza nella Informatica Aziendale

EVENTI TIPICITECNICHE

VULNERABILITA’

Esempi di eventi di security● Perdita del CED o di sue

parti, a seguito di distruzione intenzionale o disastro

● Perdita di persone chiave

● Compromissione di infrastrutture di comunicazione

● Compromissione o perdita di dati

● Accesso o copia illecita Furto informazioni

● Danni da malwares (virus, bot-nets & c.)

● Spamming

● Phishing

● Spyware / Grayware

● Attacchi alla business continuity (Denial Of Service)

● Attacchi di Defacement / Calunnie / False Informazioni

● Danni a Clienti e/o a Fornitori

● Perdite di immagine aziendale

● Spionaggio / industriale e non

● Furti di identità

Esempi di Tecniche● Attacco dall’interno● Attacco ad un client specifico● Furti: notebook/palmari/telef.

supporti, token, documenti…● Worm/Virus generico● Worm mirato, bot-net● DNS poisoning● Arp poisoning● Attacchi mitm● Port/traffic redirectors● Keyloggers● Ascolto radioemissioni● Microspie / telefoni spia

● Password sniffing

● Millantato credito

● Social Engineering attacks

● Uso di bugs/oggetti spia

● Buffer Overflows

● Trojans, Rootkits

● “Dumpster diving”

● Attacchi wireless: “wardriving”

● DHCP attacks

● Attacchi a computer in ambiente domestico

8gr: 2Gb

Vulnerabilità● Per ogni applicazione tipicamente, esistono decine di vulnerabilità note,

oltre ad altre non altrettanto conosciute

● Queste vulnerabilità si rimediano tipicamente con patch, applicate sui sistemi installati

● La complessità del software, e l’urgenza con cui vengono prodotte le patch non tutela sulla loro qualità. Ci sono malware che sono stati diffusi tramite patch

● I produttori di sw talora non pubblicano le patch con grande rapidità in quanto non possono permettersi una grande variabilità fra i prodotti installati, per ragioni di qualità e supporto

● Si parla comunemente di vulnerabilità dei sistemi operativi, ma tutte le applicazioni sono affette da questi problemi. Le applicazioni non sono concepite per dare sempre risultati sensati quando i dati di ingresso non lo sono. Dal punto di vista strettamente applicativo la code security è una grana

Sfruttamento Vulnerabilità

Tipico Esempio: Buffer overflow 1/2

Sfruttamento Vulnerabilità

Tipico Esempio: Buffer overflow 2/2

DDOS / Bot-Net

Il Rimbalzino IRC-SMTP (1/2)

Il Rimbalzino IRC-SMTP (2/2)

Riferimenti

Codemakers e Codebreakers● Le tecniche di cifratura possono essere molto utili, per

restringere gli accessi, e tutelare la privacy

● Codemakers: sono matematici e specialisti di sicurezza che inventano codici e algoritmi per cifrare le informazioni

● Codebreakers: come i codemakers, ma cercano di aprire i codici altrui

cfr: il film: A Beautiful Mind

Password Cracking

– Si possono utilizzare software per “trovare” le password utilizzate dagli utenti

– Le password possono essere sniffate in chiaro o sotto forma di hash

– A partire da questi hash e da informazioni sugli utenti è possibile in genere “trovare” le password

– Comuni programmi consentono di provare 80-100k password al secondo contro un determinato hash, lavorando su una singola macchina monocpu. Non è necessario effettuare tentativi “contro” il server.

– Tools: jtr, lc e altri

Analisi Forense● E’ l’informatica del “medico legale”

– Studio di un sistema compromesso per capire l’accaduto e ricostruire i fatti

– Sempre: Sector copy dei supporti e attività su copie– Analisi accurata e scientifica di tracce eventualmente

lasciate dagli autori del danno– Recupero informazioni cancellate, analisi timestamp,

recupero dei dati da aree inutilizzate del disco– Analisi registrazioni traffico di rete– Assistenza nella identificazione degli autori– Analisi delle signature (packet fingerprinting)

La sicurezza nella Informatica Aziendale

ANALISI DEI CONTENUTIE MONITORAGGI

Il problema dello SPAM

● www.postini.com

VirusTrojans

BackDoorTrojans Worms

Malware

Spyware (malicious)

Spyware(non-malicious)

Grayware software potenzialmente

indesiderati

Malware / Grayware

Sw ambigui: Grayware

KeyloggersKeyloggers

Screen CaptorsScreen Captors

Event LoggersEvent Loggers

SpywareAdware

Browser Helper Objects

Browser Helper Objects

CookiesCookies

Joke Programs

Dialers

Hacking Tools

RAPs

Others

Grayware

● Software di questo genere può essere facilmente utilizzato per stabilire una testa di ponte sul sistema della vittima

Il Phishing● L’utente riceve una mail apparentemente affidabile, e viene indotto ad

aprire il browser su un sito “copia” che sembra legittimo ma non lo è.

● Le credenziali vengono carpite, e si attua un furto di identità digitale

● In realtà si tratta di una immagine, modificata per ingannare eventuali OCR.l'url indicato è il seguente: notare il perverso meccanismo di redirect multipli: su libero, poi su google del malawi, poi sul google in lettonia, poi sul google in american samoa.

● http://wpop16.libero.it/cgi-bin/vlink.cgi?Link=http%3A//www.google.mw/url%3Fq%3Dhttp%3A//www.google.lt/url%3Fq%3D http%3A//www.google.as/url%3Fq%3Dhttp%3A//%2525250%252539%25%25376y%25644zp%2509%2561.%2544%2561%25%2532e%25%25352u%25%25309/

Il Phishing (2)

Il Phishing (3)Received: from 142769008 ([60.48.50.85])

by ecom.tomware.it (Lotus Domino Release 6.5.4) with SMTP id 2005110118075131-683 ; Tue, 1 Nov 2005 18:07:51 +0100 Received: from unicreditimpresa.com (137829000 [142967640])

by tm.net.my (Qmailv1) with ESMTP id F6C36B54EB for <mguardigli@tomware.it>; Wed, 02 Nov 2005 01:15:01 -0800

Date: Wed, 02 Nov 2005 01:15:01 -0800From: UniCreditImpresaPay Offce unicreditimpresatech@unicreditimpresa.comX-Mailer: The Bat! (v2.00.0) PersonalX-Priority: 3 (Normal)Message-ID: 5684850357.20051102011501@unicreditimpresa.comTo: Mguardigli mguardigli@tomware.itSubject: UniCreditImpresa New Theft-prevention system.MIME-Version: 1.0X-Kaspersky-Antivirus: passedX-MIMETrack: Itemize by SMTP Server on ecom/twd(Release 6.5.4|March 27, 2005) at 01/11/2005 18.07.54,

Serialize by Notes Client on Marco Guardigli/TOMWARE(Release 6.5.4|March 27, 2005) at 02/11/2005 02.49.11

Content-Type: multipart/related; boundary="----------B5CE0E440B900AD“

------------B5CE0E440B900AD

Content-Transfer-Encoding: 7bitContent-Type: text/html<HTML><HEAD><title>UniCreditImpresa Bank Credit / Login.</title></HEAD><BODY><p align="left"><img src="cid:sag.gif"></p><font face="verdana" size="2">Egregio utente,<br><br>Il reparto sicurezza della nostra banca le notifica che sono state prese misure <br>per accrescere il livello di sicurezza dellÆonline banking, in relazione ai frequenti <br>tentativi di accedere illegalmente ai conti bancari.<br><br>Per ottenere lÆaccesso alla versione pi¨ sicura dellÆarea clienti preghiamo di dare <br>la sua autorizzazione.<br><br><a href="http://unicreditimpresa-it.net:8081/nb/it/index.htm">Fare click qui per andare alla pagina dellÆautorizzazione</a><br><br>La preghiamo di trattare le nuove misure di sicurezza con la massima serietÓ e di<br>esaminarle bene immediatamente.<br> <br>Distinti saluti,<br>Il reparto sicurezza<br><br>

Questo messaggio di posta elettronica Þ stato generato automaticamente il 01.11.2005, alle ore 20.42<br></font></BODY></HTML>

------------B5CE0E440B900ADContent-Type: image/gif; name="sag.gif“Content-Disposition: attachment; filename="sag.gif“Content-ID: <sag.gif>Content-Transfer-Encoding: base64R0lGODlhtQAsANUAAA0uZ2l6nB5He/v9/q+trU1NTpCPkdra2gIDBHuMqYaVsJ6qwcTM2mpqbam2[…]

Pattern di analisi Malware● Ecco perché i sistemi antivirus rallentano così tanto i nostri

computers. Il carico di analisi è in costante crescita.

Monitoraggi realtime● Connettività, raggiungibilità, disponibilità servizi● Controllo patchlevel (MS System Update Server)● Controllo binary file cksum (tripwire & c)● Indicatori qualità del servizio (es: latenza, banda)● Stato operativo server e applicazioni (es: spazio disco)● Controllo stato ed efficienza dei sistemi di riserva, e

relativi failover test periodici● Collaudi periodici Backup e Restore, e tape-policy check● Sistemi di controllo accessi e Intrusion Detection● Sistemi di malware detection (antivirus)

Numeri Utili

Banda passante utile di una connessione (non peak - 2005)● 9600bps (gsm) ~ 1Kb/sec

● 2Mbit ~ 200Kb/sec

● Ethernet Lan 10Mbit: ~ 650 Kb/sec

● Ethernet Lan 100Mbit: ~ 7 Mb/sec

● Ethernet Lan 1000Mbit: ~ 70Mb/sec

Dispositivi storage (non peak - 2005):● Testina LTO/SDLT: ~24Mb/sec

● dischi locali raid5: ~30Mb/sec

● dischi SAN raid5: ~80Mb/sec

● dischi NAS raid5/su gbit-eth: ~70Mb/sec

Es: Controllo spazi Storage● mail server

controllo dinamico traffico

● Esempio: Trend Micro Network VirusWall

● E’ un filtering bridge linux based.

● Esamina il traffico in realtime e blocca traffici identificati come nocivi o pericolosi.

● Può disabilitare il dialogo di macchine che non hanno antivirus aggiornati.

La sicurezza nella Informatica Aziendale

ARCHITETTUREPer Sistemi

RIDONDATI e BACKUP

Es: connessione Internet ridondata

Win32 client per servizi finanziari

Provider 1ISP

Win32 client

Provider 2ISP

XTRA ISP 2

FIREWALLISP 2

ANTIVIRUSHTTP/ FTP

PROXYSOCKS

DMZ

Http/Ftp Proxy

ROUTER+

NAT

Win32 clientper servizi finanziari

Provider 1ISP

Win32 client

Provider 2ISP

XTRA ISP 1 XTRA ISP 2

FIREWALLISP 1

ANTIVIRUSHTTP/ FTP

PROXYSOCKS

FIREWALLISP 2

ANTIVIRUSHTTP/ FTP

PROXYSOCKS

PROXYwithACL

DMZ

upstreamupstream

Socks Proxy Http/Ftp Proxy

Da Così A Così

Semplice SCSI Cluster

Architet. Veritas ClusterMain production giga-eth (bridged and fault tolerant)

Service giga-eth network (bridged and fault tolerant)

A B C

Oracle Server A. Veritas Volume Mgr

Veritas Cluster

Oracle Server B. Veritas Volume Mgr

Veritas Cluster

Fileshare area

Exchange area

Snapmirror async mirroredaccessed via ethernet cifs share

Snapmirror sync mirroredaccessed via ethernet iscsi

Q: quorumA-data

A-log(B-data)

(B-log)

Sw-mirrored from Veritas Volume Mgr(syncronous mirroring - double write)

accessed via fiberchannel

Free-space

(Fileshare area)

(Exchange area)

Q: quorum(A-data)(A-log)B-dataB-log

Free-space

Verita

s

Mirr

oring

Netap

p

SnapM

irror

Backup ServerVeritas NetbackupVeritas Volume MgrVeritas Cluster

Tape Library

Intra-Switch-Link

Intra-Switch-Link

Intra-Switch-Link

Netapp FILER A Netapp FILER B

Fiberchannel Fiber LInk

Fiberchannel Intra-Switch-Link

Gigaethernet Link (main)

Gigaethernet Link (service)

D

Exchange servernetbackup agent

Email ClusterCkpoint / Sparc

+ stonebeat

Reti DMZ

Def.

Nokia intranet fw cluster

XXXXXXSCHEMA DI RETE target del sistema e-mailFebbraio 2004

referenti: XXXXXXXXXXXXX

Ing. Marco Guardigli, TomWare mgua@tomware.it

Storage network (Giga)10.99.99.0/24

Ret

i de

i clie

nt:

1 s

ubn

et /

24

per

og

ni a

rma

dio

laye

r 3

sw

itchi

ng

.254

NetworkPrinter

nf-h1nf-h2 3600

2 head, 2 jbod

Router (LoadBalancer)

.18 (i2)

172.18.13.0/24 (statica sui srv)

W2kD004

2cpu,2GbHD: 2x36Gb

W2kD005

2cpu, 2GbHD:2x36

.1

.19 (i2)

.2

.1 (i3) .2

.254

.241

Nokia intranet fw cluster(vs client)

default

Client in DHCP

Client in DHCP

Client in DHCPdefault

default

Nokia intranet fw cluster

Nokia perimetral fw cluster

default

router

Telecom interbusiness

4Mbit/

sec

Subnet esposta:xxxxxxxx

Domino/lx, +revprox

.33

SN

AT

.62

MX

1

default

Rete protetta dei server: 172.18.8.0/24

10.196.82.28

I client sono circa 3000 e accedono ai servizi email tramite Web Browser. Viene utilizzato il template Inotes R6 in italiano, dopo opportune personalizzazioni.

Lo storage domino del cluster è situato su due distinti volumi della NAS, posti uno su ciascuna testa. Uno dei volumi ha attivi I checkpoint.

La soluzione Antivirus sui sistemi di email è Symantec-Norton per lotus domino (SAV) v 3.x. Essa supporta pienamente il domino clustering su release R6.

Il file share offerto dalla NAS per I client è operativo sull’indirizzo 10.251.1.2

I server indicati in giallo sono domino R6.

10.251.1.0/24.2

172.18.13.0/24

W32 Legato Backup srv

.9

.1 (i1)

.2 (i1)x

.1

.254

Core Sw/rtrextreme

Core Sw/rtrextreme netw.

backbone

link

link

Questa rete non è firewallata fra client e server

.32

Domino/lx, +revprox

SN

AT

MX

2

I due server interni non dialogano con internet.Essi scaricano in relay SMTP/NRPC sui server perimetraliI server perimetrali insistono su un dominio notes diversoI server perimetrali (domino 6.5.1 su piattaforma linux) hanno in essere settaggi antispam e antirelay specifici.Un sistema di raccolta e analisi traffico rete è costantemente in esecuzione sui server perimetrali.

Un client itinerante può accedere alla sua webmail tramite I servizi di reverse proxying erogate dai due server linux in DMZ.

Oracle RAC Cluster

Firewall Cluster

def

xxxxxxxxx

Referente Tecnico:Ing. Marco Guardigli, Direttore tecnico, Gruppo TomWaremgua@tomware.it

.68

Intranet 1

Domino Mail server esposto R 6.5.1+ fax srv esker

W2k

internet

Router (telecom)

Telecom HDSL2Mbit/sec

Antivirus norton corp.

editionW2k

.10

DNS telecom: 151.99.125.1

Rtr cisco 1300

Doppino in rame (350mt)

W2k filesrv+ DHCP +

tapebk

Rtr cisco 1300

Intranet 2

Extranet: xxxxxx.64 = subnet.95 = bcastutili da .65 a .94

.68

Adsl 2mbit modem

Adsl 2mbit modem

.65

Tcp:80Tcp:25

Def.

xxxx+

clienti

.72.70

Network .PS

printer

.172

Brooktrout 2 bri fax board

.24 .26

W2k R&D Filesrv +

SQLSrv + FTP

.98

ftp

Rtr cisco 26xx8x ISDN Bri

Access pointWireless con

WEP

Access pointWireless con

WEP

W2kSrv telemanut

SQL-srvIIS, FTP

W2k filesrv + DC + DHCP

W2k filesrv

.? .26 .18

Access pointWireless con

WEP

@xxxx.itMX (dns in gestione telecom)

Rete cliente

Eth router… clienti remoti ... Xxxserver

default

clie

nti

default

def

isdn

… 60 client...

...100 client...

xxxxx

AS400 a AS400 b

.11 .12

Domino Mail+app interno R 5.0.9

W2k, DC,WINS, tapebk

.23

Reti elettricamente collassate

FW1 deb Linuxsquid, ntop, p0f, iptraf

FW1 deb Linuxsquid, ntop, p0f, iptraf

Eth3mboard

Eth3mboard

eth2

eth1eth0 eth0eth1

eth2.91.92

….

…. notebook in

lan, ip dhcp mac-based

DMZ192.168.254.0/24

172.23.3.0/24

N A T

Firewall cluster active-passive, 4 nic x server, ids, traffic analysis, routing, remote access, vpn

.220.221

IDSIDS

Storage Cluster SAN

Doppio CED ISCSI Cluster

APP clusternodo A

-

LVS cluster nodo A

LVS cluster nodo B

APP clusternodo B

DB clusternodo A

DB clusternodo B

Storage clusternodo A

Storage cluster nodo B

Tutte le reti sono ethernet vlan realizzate su una coppia di switch con 16 porte gibit cadauno

Blade chassis A Blade chassis B

Syncronous mirroring

Iscsi vlan

Backup clusternodo B

Library clusternodo A

Library clusternodo B

Backup clusternodo A

Virtual Hot Standby Clustering● In questa architettura i sistemi server di produzione

hanno un “gemello” virtuale, ordinariamente spento● Tutto lo storage sta su rete (tipicamente NAS, via CIFS,

NFS o ISCSI)● Al failover, un server di virtualizzazione lancia

l’immagine del server che si è guastato● Un singolo server di virtualizzazione, unito ad un

adeguato storage, può dare sicurezza e continuità per molti sistemi.

● Si ottiene un significativo risparmio in licenze, e in hardware

● Le immagini vanno aggiornate ad ogni variazione di configurazione sui server di produzione. Si possono usare tool automatici (es: platespin powerconvert).

Virtual Hot Standby Clustering

Client network

Aux server giga-eth (fault tolerant)

Storage giga-eth network (fault tolerant)

Main server giga-eth (fault tolerant)

Storage giga-eth network (fault tolerant)

Offsite Virtualization Server

(Blades)

Offsite Address Resolution and directory server

Production Data

Tape Library

Offsite Backup server

Production servers

Main Network storage

OffsiteProduction Data

Offsite Network storage

MirroringSync/Async/Semi-Sync

Tape Library

Backup server

Virtual srv ImagesVirtual srv ImagesAsync Mirroring

Address Resolution and directory server

Provisioning& P2V

conversion ServerProvisioning

& P2V conversion Server

Advanced RoutingCluster

AdvancedRoutingCluster

Client network

FWMultiprotocol Client 2 LAN vpn Multiprotocol LAN 2 LAN vpn Emergency Web AccessEmergency Terminal ServicesEmergency pdf printing Services

internet

DMZ

Xtra1

Xtra2

GeneralPurpose

Access Servers

GeneralPurpose

Access Servers

GeneralPurpose

Access Servers

XTRA

DMZ

internet

XTRA

La sicurezza nella Informatica Aziendale

RIFERIMENTI

Riferimenti URL● www.cert.org● www.sans.org (esempi di policy)● www.garanteprivacy.it● What is risk: www.jwhs.co.uk/what_is_risk.htm● Business Continuity: www.continuitycentral.com● Disaster Recovery: www.disasterrecovery.com/● it.wikipedia.org/wiki/Sicurezza_informatica● en.wikipedia.org/wiki/Honeypot● www.securityfocus.com● Code security: http://home.online.no/~reopsahl/gthorne.htm

Riferimenti (Testi)

● Networking: Practical Computer Networks Analysis and design, McCabe, Morgan-KaufmanInternetworking with tcpip, Douglas ComerTCP-IP Illustrated, Richard Stevens , vol 1,2,3Ethernet howto, TLDP, www.tldp.orgNetwork Analysis and troubleshooting, J. Scott Haugdahl, Addison-wesleyNetwork troubleshooting tools, Sloan, Oreilly

● SecurityThe Process of Network Security, Wadlow, Addison-WesleyDigital Evidence and computer crime, Casey, Academic PressComputer Forensics, Kruse-Heiser, Addison-WesleyStealing the network: How to own (the box/the continent) (2 voll), SyngressThe CERT Guide to Syst. and Netw. Security Practices, Allen, Addison-WesleyL’arte dell’inganno, Mitnick, Simon, Feltrinelli

● Performance managementThe Art of computer systems performance analysis, Jain, WileyThe Practical Performance Analyst, Neil J. Gunther, Authors Choice PressProgramming Pearls, 2’ ed, Bentley, Addison-WesleySystem Performance Tuning, Musumeci – Loukides, Oreilly

La sicurezza nella Informatica Aziendale

Panoramica a 360° delle problematiche di IT security

FINE

Marco Guardigli

Direttore Tecnico TomWaremgua @ tomware.it

Milano, Systech, 3-4 novembre 2005

L'autore:● Marco Guardigli è ingegnere elettronico, e si occupa di informatica da oltre 20 anni.

● Progettista esperto di tecnologie, ha lavorato in numerosi contesti della IT, dal software design alla progettazione di impianti e reti. E' imprenditore, contitolare e direttore tecnico di TomWare. Si occupa di progettazione e di system integration su grandi reti italiane ed internazionali, in realtà industriali, informatiche, della grande distribuzione, banche ed enti pubblici. Ha progettato e realizzato software in molti differenti ambienti operativi e con parecchi differenti linguaggi di sviluppo. Attualmente apprezza molto lavorare con linguaggi di scripting e di rapid prototyping, primariamente perl.

● Svolge attività di coordinamento progetti sistemistici ed applicativi, in vari ambienti e con vari strumenti. Si occupa anche di sicurezza informatica, e svolge attività di consulenza in informatica forense. Nel corso degli anni, ha tenuto parecchie decine di corsi, in italia ed all'estero, su Lotus Domino, Windows, Linux, OS/2, UNIX, Perl, TCP-IP, networking LAN e WAN, network management, e-business e security.

● E' titolare di un brevetto relativo alla strong authentication e alla identity management.Ha pubblicato due libri, sull'ambiente Lotus Notes/Domino, per l'editore Hoepli.Occasionalmente collabora con varie riviste.

Email: mgua@tomware.it