Configuring
Network Access
Agenda


Infrastruttura di Accesso alla Rete
Strumenti per la gestione dell’Architettura



PKI
IAS
Utilizzo di IAS per la:


Gestione centralizzata dell’Autenticazione per
l’Accesso alla Rete
Gestione centralizzata delle Policy di Accesso
Infrastruttura di Accesso alla Rete





Componenti dell’ Infrastruttura di
Accesso alla Rete
Autenticazione per l’Accesso alla Rete
Connessioni VPN
Accesso Dial-up
Connessione Wireless
Componenti dell’Infrastruttura
di Accesso alla Rete
DHCP Server
Network Access
Server
Domain
Controller
IAS
Server
Wireless Access
Point
VPN Client
Dial-up Client
Wireless Client
Network access service
Network access clients
Authentication service
Active Directory
Network Access Authentication
Autenticazione
Autorizzazione
Verifica l’identificazione di un utente remoto verso il servizio
di rete a cui l’utente remoto sta cercando di accedere (logon
interattivo)
Verifica che il tentativo di connessione sia permesso;
l’autorizzazione avviene dopo un tentativo di logon con
successo
Metodi di Autenticazione Remota e
wireless:
MS-CHAP
MS-CHAP v2
EAP
EAP-TLS
PEAP
RADIUS
Overview dell’accesso VPN
Una VPN estende le funzionalità di una rete privata per
ampliarne i limiti attraverso una rete pubblica, come Internet, in
modo da emulare un link point-to-point link
VPN Server
Domain
Controller
VPN Client
1
Client VPN chiama il
VPN server
3
Il server VPN
Autentica il client
2
Il server VPN
risponde
4
Il server VPN
trasferisce i dati
Metodi di Autenticazione per
una connessione VPN
Categoria
PPTP
L2TP/IPSec con
Certificates
Descrizione
Usa metodologie di Autenticazione (a livello utente)
Point-to-Point Protocol (PPP) e Microsoft Point-to-Point
Encryption (MPPE) per la criptazione dei dati
Usa metodologie di Autenticazione (a livello utente)
PPP e IPSec con certificati a livello computer per la
criptazione dei dati
Metodologia di Autenticazione raccomandata per
l’Autenticazione VPN
Esempi di Server di Accesso Remoto usando L2TP/IPSec
Remote
Access Server
Remote User to Corp Net
Remote
Access Server
Branch Office to Branch Office
Metodi di Autenticazione per
una connessione Dial-up
Metodi di Autenticazione dial-up:
MS-CHAP
EAP-TLS
MS-CHAP v2
RADIUS
Mutual Authentication
Remote
Access Server
Remote
Access User
Metodo più sicuro: EAP-TLS with Smart Cards
Overview dell’Accesso di Rete
Wireless
Una rete wireless usa una tecnologia che permette a device di
comunicare usando protocolli di rete standard e onde
elettromagnetiche, non cavi di rete, per portare il segnale in tutta
l’infrastruttura di rete
DHCP Server
Network Access
Server
Domain
Controller
IAS
Server
Standard
Wireless Access
Point
Wireless Client
Description
Infrastructure I Client si collegano agli
WLAN
access points wireless
I client della Rete wireless
Peer-to-peer
comunicano direttamente tra
WLAN
di loro senza cavi
Authentication Methods for
Wireless Networks
Metodi di Autenticazione
801.x
Descrizione
EAP
Fornisce scambio di messaggi e di conversazione
tra il client e il server durante il processo di
Autenticazione
EAP-MS-CHAP v2
Fornisce mutua Autenticazione
EAP-TLS
PEAP
Fornisce mutua Autenticazione ed è il metodo di
Autenticazione e di generazione della chiave più
robusto
Fornisce supporto per EAP-TLS, che usa i
certificati per l’autenticazione server e client, e per
EAP-MS-CHAP v2, che usa i certificati per
l’Autenticazione server e credenziali basate su
password per l’Autenticazione
Gestione di Accesso alla rete


Ci ritroviamo con varie tipologie di
Server di Accesso alla Rete.
Problematica comune a tutti:



Lo scopo è centralizzare:



Autenticazione Utenti
Gestioni Access Policy
Autenticazione
Gestione (Access Policy)
Strumenti che servono per raggiungere
lo scopo:


PKI
IAS
Gestione dell’accesso utente
alla Rete




Come controllare l’Accesso Utente alla
Rete
Come configurare gli Account Utente per
l’Accesso alla Rete
Remote Access Policy
Remote Access Policy Profile
Come controllare l’Accesso
Utente alla Rete
1
Proprietà dell’account Utente
2
Policy di accesso Remoto
3 Profili di di accesso Remoto
1
Domain
Controller
3
2
Remote
Access Server
Remote
Access User
Policy di Accesso Remoto
Una policy di Accesso Remoto è una regola
composta dai seguenti elementi:
Condizioni—uno o più attributi che sono confrontati con le
impostazioni del tentativo di connessione
Permesso di Accesso Remoto—se tutte le condizioni della
policy di Accesso Remoto sono verificate, è garantito o
negato il permesso di accesso remoto
Profilo— un insieme di proprietà che sono applicate alla
connessione quando è autorizzata
Profilo di Accesso Remoto
Vincoli di Dial-in
Proprietà IP
Multilink
IP Address Assignment
IP Filters
Autenticazione
Encryption
Remote
Access User
Advanced Settings
Centralizzazione nell’Autenticazione
dell’Accesso alla Rete e nella Gestione
delle Policy utilizzando IAS





Autenticazione dell’Accesso alla Rete Centralizzato e
Gestione delle Policy
Cos’è IAS
Funzionamento dell’Autenticazione Centralizzata
Configurazione di un IAS Server
Configurazione di un Server di Accesso Remoto
perchè usi IAS per l’Autenticazione
Autenticazione dell’Accesso alla Rete
Centralizzato e Gestione delle Policy
RADIUS è un protocollo ampiamente diffuso che abilita
l’autenticazione centralizzata, l’autorizzazione e l’accounting per
l’accesso alla rete. E’ diventato uno standard per gestire l’accesso alla
rete per reti VPN, connessioni dial-up e reti wireless
RADIUS Client
1
RADIUS client manda una
richiesta di connessione al
RADIUS server
RADIUS Server
2
RADIUS server autentica e
autorizza la connessione o la
rifiuta
Internet Authentication Service
IAS, un componente di Windows Server 2003, è un RADIUS server
industry-standard compliant. IAS gestisce autenticazione
centralizzata, autorizzazione, auditing, e accounting delle connessioni
VPN, dial-up, e wireless
E’ possibile configurare IAS per supportare:
Accesso Dial-up
RADIUS
Server
Accesso a una Extranet per i business partners
Accesso a Internet
Accesso alla rete dato in gestione a un service provider
Funzionamento dell’Autenticazione
Centralizzata
4
2
RADIUS Client
Comunica al RADIUS client di
garantire o negare l’accesso
Internet
Inoltra la richiesta
al RADIUS server
Client
1
Domain
Controller
RADIUS
Server
Dial-in verso un RADIUS client
locale per ottenere connettività
alla rete
3
Autentica le richieste e
salva le informazioni di
accounting
Introduzione alla Criptografia




Chiavi di criptazione
Criptazione Simmetrica
Public Key Encryption
Public Key Digital Signing
Chiavi di criptazione
Tipo di chiave
Descrizione
La stessa chiave è usata per criptare e
decriptare i dati
Simmetrica
Protegge i dati dall’intercettazione
Consiste di una chiave pubblica e una privata
La chiave privata è protetta, quella pubblica è
distribuita liberamente
Asimmetrica
Usa una crittografia asimmetrica
Criptazione Simmetrica
Dato Originale
Testo cifrato
Crptazione Simmetrica:
Usa la stessa chiave
Bulk encryption
E’ vulnerabile se viene intercettata la chiave
simmetrica
Dato Originale
Public Key Encryption
Processo
Processo
1. Si trova la chiave pubblica del destinatario
2. I dati sono criptati con una chiave simmetrica
3. La chiave simmetrica è criptata con la chiave
pubblica del destinatario
4. La chiave simmetrica criptata e i dati criptati
sono inviati al destinatario
5. Il destinatario decripta la chiave simmetrica
con la sua chiave privata
6. I dati vengono decriptati con la chiave
simmetrica
Public Key Digital Signing
Processo
Processo
1. I dati sono codificati con un algoritmo di
hash, producendo un valore di hash
2. Il valore di hash è criptato con la chiave
privata del mittente
3. Il certificato del mittente, il valore di hash
criptato e i dati originali sono inviati al
destinatario
4. Il destinatario decripta il valore di hash con
la chiave pubblica del mittente
5. I dati sono passati attraverso un algoritmo
di hash, i valori di hash sono comparati
Componenti di una PKI
Strumenti di
Gestione
Certificate
Template
Certification
Authority
Certificato
Digitale
Certificate
Revocation List
CRL
Distribution Points
Applicazioni e servizi Public
Key-Enabled
Certificato Digitale
Un Certificato digitale:
Verifica l’identità di un utente, computer o di un
programma
Contiene informazioni sul soggetto e su chi lo ha
rilasciato
E’ firmato da una CA
Estensioni dei Certificati
Estensioni dei Certificati:
Forniscono informazioni
addizionali sul soggetto
Contengono i campi
versione 1 e versione 3
Certification Authority
Una certification authority:
Verifica l’identità di chi ha richiesto un certificato
 La metodologia di identificazione dipende dal tipo della
CA
Rilascia certificati
 Il modello del certificato o il certificato richiesto
determinano l’informazione nel certificato
Gestione delle revoca dei certificati
 La CRL garantisce che i certificati non validi non siano
usati