VPN con quarantena
Agenda
• Il problema della connessione con client
sconosciuti
• Reti di quarantena con ISA Server 2004
• Reti di quarantena con IAS
Il Problema della connessione
di client sconosciuti
Identità di Rete e Fiducia
Utente Fidato
Macchina Fidata
Cosa costituisce l’identità dell’utente?
• Nome
• Password
• token card
• certificati,
• Appartenenza a gruppi di sicurezza
• Tutto questo?
Se mi fido dell’utente, posso fidarmi della
macchina?
Cosa costituisce l’identità macchina?
• Token
• Sistema Operativo
• Connessioni
• Appartenenza ad un dominio
• Configurazione del sistema?
Se mi fido della macchina, posso fidarmi
dell’utente?
Reti di Quarantena con
ISA Server 2004
Network Access Quarantine
• Script lato client verificano il rispetto della configurazione
aziendale di sicurezza
•
Windows/Personal firewall abilitato?
•
Ultima versione della definizione dei virus è installata?
•
Patch richieste sono installate?
• Se il controllo è superato si accede.
• Se il controllo non è superato si è sconnessi dopo un
timeout
Obiettivo: Prevenire che client VPN che non rispettano i
parametri di sicurezza aziendale si connettano alla
rete
Processo di Quarantena (1)
2 ISA Server assegna il client
alla rete Quarantined VPN
Clients, con accesso
limitato alle risorse.
Risorse di
Quarantena
3 Script sul computer client
verifica la configurazione.


Client VPN
1 Il client si connette
Rete Interna
5 ISA Server assegna il
client alla rete VPN
Clients, consentendo
l’accesso alla rete
interna.
4 Script manda la notifica di
“successo” a ISA Server.
Processo di Quarantena (2)
2 ISA Server assegna il client
alla rete Quarantined VPN
Clients, con accesso limitato
alle risorse.
Risorse di
Quarantena
3 Script sul computer client
verifica la configurazione.

VPN Client
1 Il client si connette
5 ISA Server sconnette
il client allo scadere
del time-out.
4 Lo script non invia la
notifica di “successo”
entro il tempo definito.
Controllo di Quarantena su ISA Server
Per implementare il controllo di quarantena su ISA Server:
1
Creare uno script lato client che valida la configurazione
2
Usare CMAK per creare un profilo CM per i client remoti
3
Creare ed installare un componente listener
4
Abilitare il controllo di quarantena su ISA Server
5
Configurare una regola di rete e una regola di accesso per i
client nella rete Quarantined VPN Clients
Preparare lo Script lato Client
Lo script lato client:
Può essere un eseguibile uno script o un semplice file
di comandi batch
Contiene un insieme di test che verificano l’aderenza del
client alle politiche di sicurezza aziendale
Esegue Rqc.exe se tutti i test specificati sono superati
Linea di comando per Rqc.exe
rqc ConnName TunnelConnName TCPPort Domain
UserName ScriptVersion
Configurazione dei Client VPN
Connection Manager
Per configurare i client VPN con il Connection Manager:
Configurare un profilo di connessione VPN che
includa:
 Un’azione post-connect che esegue lo script
lato client
 Uno script lato client che verifichi la
configurazione di sicurezza del client
 Un componente di notifica
Distribuire ed installare il profilo client su tutti I pc
che richiedono accesso in VPN
Preparazione del componente Listener
Comando per eseguire ConfigureRQSforISA.vbs
Cscript ConfigureRQSForISA.vbs /install
SharedKey1\0SharedKey2 pathtoRQS.exe
ConfigureRQSforISA.vbs:
Installa RQS come Servizio di Quarantena
Crea una regola di accesso che consente la comunicazione
sulla porta TCP:7250 fra le reti VPN Clients e Quarantined
VPN Clients e la rete Local Host network
Modifica le voci di registry sul computer su cui è installato
ISA Server così che RQS possa lavorare con ISA Server
Avvia il servizio RQS
Abilitare il controllo di Quarantine
Definisce la sorgente
delle politiche di
quarantena
Aggiunge utenti
o gruppi per i quali
non si desidera
la quarantena
Definisce il
Time-out
Reti di Quarantena con IAS
Configurazione di IAS
Per configurare IAS per il controllo di quarantena:
Installare il componente listener sul server IAS
Configurare una remote access policy che imposti i
parametri
 MS-Quarantine-IPFilter setting
 MS-Quarantine-Session-Timeout setting
Configurazione delle regole di accesso
Per configurare le regole di accesso per la quarantena:
Creare una regola di accesso con la rete
Quarantined VPN Clients come sorgente e gli
appropriati server come destinazione
Configurare una access rule che:
 Abiliti la comunicazione tra componente di
notifica e listener
 Abilitare l’accesso ai servizi di rete necessari
come DC e DNS
 Abilitare l’accesso alle risorse necessarie a
raggiungere i requisiti richiesti (web server, file
server, ecc…)
© 2003-2004 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Scarica

VPN con quarantena