ISA Server 2004
Configurazione di Accessi via VPN
PierGiorgio Malusardi – Microsoft
Agenda



Virtual Private Networking:
concetti di base
Accesso di Client VPN
Configurazione di una VPN
Site-to-Site
Concetti di base
Cos’è una VPN?
ISA
Server
Branch Office
Cos’è una VPN?
ISA
Server
Branch Office
Cos’è una VPN?
ISA
Server
Branch Office
Cos’è una VPN?
ISA
Server
Branch Office
Protocolli VPN: Opzioni
Fattori
PPTP – vantaggi e svantaggi
Client
supportati
Windows 2000
Windows XP
Windows Server 2003
Windows NT Workstation 4.0
Windows 98/ME
Supporto ai
Certificati
Richiede un’infrastruttura di
certificazione solo per
l’autenticazione EAP-TLS
Sicurezza
Fornisce criptatura dei dati (MPPE)
Non assicura l’integrità dei dati
Supporto al
NAT
Per avere un client PPTP dietro un
apparato NAT, questo deve fornire
un editor per la traduzione NAT
L2TP/IPSec –
vantaggi e svantaggi
Windows 2000
Windows XP
Windows Server 2003
Richiede
un’infrastruttura di
certificazione o una
chiave condivisa
Fornisce:
• Criptatura dei dati
• Confidenzialità
• Mutua autenticazione,
• Protezione da
ripetizione
Per avere client o
server dietro un NAT
entrambi devono
supportare IPSec NATT
Protocolli di Autenticazione VPN
Protocolli di
Autenticazione
PAP
SPAP
CHAP
MS-CHAP
MS-CHAPv2
EAP-TLS
Considerazioni
Usa passwords in chiaro ed è il meno sicuro
Usa un meccanismo di criptatura reversibile
sviluppato da Shiva
Richiede password salvate usando un criptatura
reversibile
Compatibile con client Macintosh e UNIX
I dati non sono criptati
Le password possono essere salvate in modo NON
reversibile
C’è criptatura dei dati
Esegue la mutua autenticazione client/server
I dati sono criptati usando chiavi di sessione diverse
per la ricezione e la trasmissione
È il protocollo di autenticazione remota più sicuro
Supporta l’autenticazione multifattore
VPN Usando RRAS
RRAS supporta:
Politiche di accesso: definiscono le conessioni remote e i
parametri di connessione
Connection Manager: semplifica la configurazione dei client
remoti
Server RADIUS: usabili per l’autenticazione e la
centralizzazione delle politiche di accesso
Reti di Quarantena: per restringere le reti a cui i client
possono accedere
Packet filtering: per rendere sicure le connessioni VPN e le
reti di quarantena
Demo:
Configurazione di un
Accesso via VPN su
RRAS
VPN Usando ISA Server 2004
ISA Server supporta:
Accesso VPN: per client singoli e per connessioni site-to-site per
connettere molteplici siti
Reti dedicate a client VPN:
 VPN Clients network
 Quarantined VPN Clients network
 Remote-site networks
Limitazione del trafico: tra le reti VPN e le altre reti
Estensioni alle funzionalità di RRAS
Benefici di ISA Server per VPN
Benefici
Reti di Quarantena
perWindows 2000
ISA Server usa le politiche di accesso del per
ispezionare e filtrare tutto il traffico dai client VPN
ISA Server è ottimizzato per forzare richieste di
sicurezza complesse sulle connessioni VPN
Le reti di quarantena non sono disponibili con RRAS
di Windows 2000 ma possono essere abilitare con
ISA Server 2004 su Windows 2000
Registrazione e
controllo
ISA Server può registrare tutte le connessioni VPN e
controllare le connessioni VPN
Stateful Inspection
per IPSec tunnelmode
Abilita la stateful inspection per forzare il controllo
degli accessi per user/group, siti, computer, protocolli
e application sul traffico IPSec tunnel-mode
Protezione
Avanzata
ISA Server stesso è protetto da politiche di accesso
su firewall
Connessioni Sicure
Prestazioni
Accesso di Client VPN
Accesso di Client VPN
Abilitazione e Configurazione
Usare user mapping per applicare le politiche di firewall ai client che non
usano l’autenticazione Windows
Accesso di Client VPN
Configurazione di Default
Componenti
Configurazione di Default
VPN access network
Le System policy consentono l’uso di PPTP, L2TP
o entrambi se abilitati
ISA Server attende le connessioni di Client VPN
solo sulla rete External
Protocolli VPN
Solo PPTP è abilitato per l’accesso di client VPN
Regole di Rete Network
È definita una relazione di Route tra la rete VPN
Clients e la rete Internal
È definita una relazione di NAT tra la rete VPN
Clients e la rete External
Regole di Accesso
Nessuna regola di accesso è predefinita
Politica di Accesso da
Remoto
La politica di accesso da remoto di default
richiede l’autenticazione MS-CHAP v2
System policy
Accesso di Client VPN
Assegnazione degli Indirizzi
Configurare Server DNS e WINS
usando DHCP o manualmente
Configurare IP statici o via DHCP
Accesso di Client VPN
Autenticazione
Accettare la
configurazione di default per
l’autenticazione
Configurare EAP per avere
sicurezza maggiore
Configurare i metodi
meno sicuri solo per
problemi di compatibilità
Accesso di Client VPN
Autenticazione via RADIUS
Abilitare RADIUS per autenticazione
e accounting, quindi
configurare un server RADIUS
Accesso di Client VPN
Configurazione degli Account Utente
Configurare i permessi
per l’accesso via dial-in
e VPN
Accesso di Client VPN
Configurazione dei Client
Demo:
Configurazione di un
Accesso via VPN
Connessione VPN Site-to-Site
VPN Site-to-Site
Configurazione dei Componenti
Componente
Configurazione
Scelta di un Protocollo
VPN
Scegliere il protocollo più adatto in base alle
necessità di sicurezza e ai gateway VPN
Configurare una Rete
di Sito Remoto
La Rete del Sito Remoto include tutti gli
indirizzi IP del Sito Remoto
Configurare VPN
l’accesso per i client
L’accesso VPN per i Client deve essere
abilitato per consentire la connessione del
Sito Remoto
Configurare le Regole
di Rete e quelle di
Accesso
Usare le Regole di Accesso o di
Pubblicazione per rendere disponibili le
risorse interne agli utenti del sito remoto
Configurare il gateway
VPN del Sito Remoto
Configurare il Server VPN del Sito Remoto
per connettersi a ISA e per accettare
connessioni da ISA
VPN Site-to-Site
Scelta del Protocollo di Tunnelling
Protocollo
Usare per
Commenti
IPSec
Tunnel Mode
Connettersi a
Gateway VPN nonMicrosoft
Da usare solo per connessioni a
gateway VPN non-Microsoft
Richiede certificati o chiavi
condivise
L2TP su
IPSec
PPTP
Connetersi a
Gateway VPN
basati su ISA o
RRAS di Windows
Connettersi a
Gateway VPN
basati su ISA o
RRAS di Windows
Richiede Username/Password e
certificati o chiave condivisa per
l’autenticazione
Richiede Username/Password
per l’autenticazione
Meno sicuro che L2TP su IPSec
VPN Site-to-Site
Configurazione
Opzioni di
Configurazione
Spiegazione
Protocollo VPN
Scegliere il protocollo che si desidera usare
nella connessione tra siti remoti
Server VPN remoto
Indicare indirizzo IP o nome del Gateway
VPN nel sito remoto
Autenticazione Remota
Inserire username/password da usare per
iniziare la connessione con il sito remoto
Autenticazione
L2TP/IPSec
Se necessario, configurare una chiave
condivisa che sarà usata per autenticare il
computer durante la creazione del tunnel
Indirizzi di Rete
Configurare il range di indirizzi IP che
rappresenta tutti i computer nella rete
remota
VPN Site-to-Site
Regole di Rete e di Accesso
Per abilitare il traffico attraverso una connessione VPN Site-to-Site:
Sono abilitate due regole nelle System Policy:
 Allow VPN site-to-site traffic to ISA Server
 Allow VPN site-to-site traffic from ISA Server
Creare una regola di rete per le reti del sito remoto
Configurare una regola di accesso o di pubblicazione che
consenta o restringa l’accesso alle reti
 Per pieno accesso, consentire tutti i protocolli
attraverso ISA
 Per accessi limitati, configurare regole di accesso o di
pubblicazione che definiscono il traffico ammesso
VPN Site-to-Site
Configurazione del Gateway VPN remoto
Per configurare il Gateway VPN Remoto:
Configurare il Gateway VPN remoto perché usi lo stesso
protocollo di tunnelling
Configurare la connessione al sito principale
Configurare regole di routing che consentano o restringano il
traffico tra i siti remoti
VPN Site-to-Site
Uso di IPSec Tunnel mode
Per configurare una VPN Site-to-Site con IPSec tunnel mode:
Configurare un indirizzo IP del Gateway locale VPN per
l’ascolto di richieste di connessioni VPN
Configurere il Gateway VPN perché usi certificati o chiavi
condivise per l’autenticazione
Configurere le impostazioni avanzate di IPSec per
aumentare la sicurezza della VPN
Demo:
Configurazione di una
VPN Site-to-Site
© 2003-2004 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Prossimi Appuntamenti
Di seguito trovate i prossimi appuntamenti legati alla
sessione di oggi
2/11/04
ISA Server 2004
17.00
Accesso via VPN e Site-to-Site VPN
9/11/04
ISA Server 2004
17.00
Configurazione di una rete di Quarantena
25/11/04
ISA Server 2004
17.00
3/12/04
ISA Server 2004
17.00
Pubblicazione di server
Pubblicazione di server di posta
Per Approfondimenti





http://www.microsoft.com/isaserver
http://www.microsoft.com/technet
http://www.microsoft.com/italy/technet
MOC 2824A
http://www.isaserver.org
Scarica

Accesso VPN