VPN con quarantena Agenda • Il problema della connessione con client sconosciuti • Reti di quarantena con ISA Server 2004 • Reti di quarantena con IAS Il Problema della connessione di client sconosciuti Identità di Rete e Fiducia Utente Fidato Macchina Fidata Cosa costituisce l’identità dell’utente? • Nome • Password • token card • certificati, • Appartenenza a gruppi di sicurezza • Tutto questo? Se mi fido dell’utente, posso fidarmi della macchina? Cosa costituisce l’identità macchina? • Token • Sistema Operativo • Connessioni • Appartenenza ad un dominio • Configurazione del sistema? Se mi fido della macchina, posso fidarmi dell’utente? Reti di Quarantena con ISA Server 2004 Network Access Quarantine • Script lato client verificano il rispetto della configurazione aziendale di sicurezza • Windows/Personal firewall abilitato? • Ultima versione della definizione dei virus è installata? • Patch richieste sono installate? • Se il controllo è superato si accede. • Se il controllo non è superato si è sconnessi dopo un timeout Obiettivo: Prevenire che client VPN che non rispettano i parametri di sicurezza aziendale si connettano alla rete Processo di Quarantena (1) 2 ISA Server assegna il client alla rete Quarantined VPN Clients, con accesso limitato alle risorse. Risorse di Quarantena 3 Script sul computer client verifica la configurazione. Client VPN 1 Il client si connette Rete Interna 5 ISA Server assegna il client alla rete VPN Clients, consentendo l’accesso alla rete interna. 4 Script manda la notifica di “successo” a ISA Server. Processo di Quarantena (2) 2 ISA Server assegna il client alla rete Quarantined VPN Clients, con accesso limitato alle risorse. Risorse di Quarantena 3 Script sul computer client verifica la configurazione. VPN Client 1 Il client si connette 5 ISA Server sconnette il client allo scadere del time-out. 4 Lo script non invia la notifica di “successo” entro il tempo definito. Controllo di Quarantena su ISA Server Per implementare il controllo di quarantena su ISA Server: 1 Creare uno script lato client che valida la configurazione 2 Usare CMAK per creare un profilo CM per i client remoti 3 Creare ed installare un componente listener 4 Abilitare il controllo di quarantena su ISA Server 5 Configurare una regola di rete e una regola di accesso per i client nella rete Quarantined VPN Clients Preparare lo Script lato Client Lo script lato client: Può essere un eseguibile uno script o un semplice file di comandi batch Contiene un insieme di test che verificano l’aderenza del client alle politiche di sicurezza aziendale Esegue Rqc.exe se tutti i test specificati sono superati Linea di comando per Rqc.exe rqc ConnName TunnelConnName TCPPort Domain UserName ScriptVersion Configurazione dei Client VPN Connection Manager Per configurare i client VPN con il Connection Manager: Configurare un profilo di connessione VPN che includa: Un’azione post-connect che esegue lo script lato client Uno script lato client che verifichi la configurazione di sicurezza del client Un componente di notifica Distribuire ed installare il profilo client su tutti I pc che richiedono accesso in VPN Preparazione del componente Listener Comando per eseguire ConfigureRQSforISA.vbs Cscript ConfigureRQSForISA.vbs /install SharedKey1\0SharedKey2 pathtoRQS.exe ConfigureRQSforISA.vbs: Installa RQS come Servizio di Quarantena Crea una regola di accesso che consente la comunicazione sulla porta TCP:7250 fra le reti VPN Clients e Quarantined VPN Clients e la rete Local Host network Modifica le voci di registry sul computer su cui è installato ISA Server così che RQS possa lavorare con ISA Server Avvia il servizio RQS Abilitare il controllo di Quarantine Definisce la sorgente delle politiche di quarantena Aggiunge utenti o gruppi per i quali non si desidera la quarantena Definisce il Time-out Reti di Quarantena con IAS Configurazione di IAS Per configurare IAS per il controllo di quarantena: Installare il componente listener sul server IAS Configurare una remote access policy che imposti i parametri MS-Quarantine-IPFilter setting MS-Quarantine-Session-Timeout setting Configurazione delle regole di accesso Per configurare le regole di accesso per la quarantena: Creare una regola di accesso con la rete Quarantined VPN Clients come sorgente e gli appropriati server come destinazione Configurare una access rule che: Abiliti la comunicazione tra componente di notifica e listener Abilitare l’accesso ai servizi di rete necessari come DC e DNS Abilitare l’accesso alle risorse necessarie a raggiungere i requisiti richiesti (web server, file server, ecc…) © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.