Certificati e VPN
|
[email protected] |
Agenda
Virtual Private Networking: concetti di
base
Accesso di client VPN
VPN Site-to-Site
|
[email protected] |
Concetti di base
|
[email protected] |
Confronto tra protocolli VPN
Fattori
Client supportati
PPTP
L2TP/IPSec
Windows 2000
Windows 2000
Windows XP
Windows XP
Windows Server 2003
Windows Server 2003
Windows NT Workstation 4.0
Windows 98/ME
Supporto dei
Certificati
Sicurezza
Richiede un’infrastruttura di
certificazione solo per l’autenticazione
EAP-TLS
Richiede un’infrastruttura di
certificazione o una chiave
condivisa
Fornisce criptatura dei dati (MPPE)
Fornisce:
Non assicura l’integrità dei dati
Criptatura dei dati
Confidenzialità
Mutua autenticazione
Protezione da ripetizione
Supporto al NAT
|
Per avere un client PPTP dietro un
apparato NAT, questo deve fornire un
editor per la traduzione NAT
[email protected] |
Per avere client o server
dietro un NAT entrambi
devono supportare IPSec
NAT-T
Protocolli di Autenticazione VPN
Protocolli di
Autenticazione
|
Considerazioni
PAP
Usa passwords in chiaro ed è il meno sicuro
SPAP
Usa un meccanismo di criptatura reversibile sviluppato da
Shiva
CHAP
Richiede password salvate usando un criptatura reversibile
Compatibile con client Macintosh e UNIX
I dati non sono criptati
MS-CHAP
Le password possono essere salvate in modo NON reversibile
C’è criptatura dei dati
MS-CHAPv2
Esegue la mutua autenticazione client/server
I dati sono criptati usando chiavi di sessione diverse per la
ricezione e la trasmissione
EAP-TLS
È il protocollo di autenticazione remota più sicuro
Supporta l’autenticazione multifattore
[email protected] |
VPN con RRAS
RRAS supporta:
Politiche di accesso: definiscono le conessioni remote
e i parametri di connessione
Connection Manager: semplifica la configurazione dei
client remoti
Server RADIUS: usabili per l’autenticazione e la
centralizzazione delle politiche di accesso
Reti di Quarantena: per restringere le reti a cui i
client possono accedere
Packet filtering: per rendere sicure le connessioni
VPN e le reti di quarantena
|
[email protected] |
Accesso di Client VPN
|
[email protected] |
Accesso di Client VPN
Abilitazione e Configurazione
Usare user mapping per applicare le politiche di firewall ai client
che non usano l’autenticazione Windows
|
[email protected] |
Accesso di client VPN
Configurazione di Default
Componenti
|
Configurazione di Default
System policy
Le System policy consentono l’uso di PPTP, L2TP o
entrambi se abilitati
VPN access network
ISA Server attende le connessioni di Client VPN solo sulla
rete External
Protocolli VPN
Solo PPTP è abilitato per l’accesso di client VPN
Regole di Rete Network
È definita una relazione di Route tra la rete VPN Clients
e la rete Internal
È definita una relazione di NAT tra la rete VPN Clients e
la rete External
Regole di Accesso
Nessuna regola di accesso è predefinita
Politica di Accesso da Remoto
La politica di accesso da remoto di default richiede
l’autenticazione MS-CHAP v2
[email protected] |
Accesso di Client VPN
Assegnazione degli Indirizzi
Configurare Server DNS e WINS
usando DHCP o manualmente
Configurare IP statici o via DHCP
|
[email protected] |
Accesso di Client VPN
Autenticazione
Accettare la
configurazione di default per
l’autenticazione
Configurare EAP per avere
sicurezza maggiore
Configurare i metodi
meno sicuri solo per
problemi di compatibilità
|
[email protected] |
Accesso di Client VPN
Autenticazione via RADIUS
Abilitare RADIUS per autenticazione
e accounting, quindi
configurare un server RADIUS
|
[email protected] |
Accesso di Client VPN
Configurazione degli Account Utente
Configurare i permessi
per l’accesso via dial-in
e VPN
|
[email protected] |
Accesso di Client VPN
Configurazione dei Client
|
[email protected] |
Connessione VPN Site-to-Site
|
[email protected] |
VPN Site-to-Site
Configurazione dei componenti
Componente
|
Configurazione
Scelta di un Protocollo
VPN
Scegliere il protocollo più adatto in base alle
necessità di sicurezza e ai gateway VPN
Configurare una Rete di
Sito Remoto
La Rete del Sito Remoto include tutti gli indirizzi
IP del Sito Remoto
Configurare VPN l’accesso
per i client
L’accesso VPN per i Client deve essere abilitato
per consentire la connessione del Sito Remoto
Configurare le Regole di
Rete e quelle di Accesso
Usare le Regole di Accesso o di Pubblicazione per
rendere disponibili le risorse interne agli utenti
del sito remoto
Configurare il gateway VPN
del Sito Remoto
Configurare il Server VPN del Sito Remoto per
connettersi a ISA e per accettare connessioni da
ISA
[email protected] |
VPN Site-to-Site
Scelta del protocollo di tunnelling
Protocollo
Commenti
Connettersi a Gateway
VPN non-Microsoft
Da usare solo per connessioni a
gateway VPN non-Microsoft
Richiede certificati o chiavi condivise
L2TP su IPSec
Connetersi a Gateway
VPN basati su ISA o
RRAS di Windows
Richiede Username/Password e
certificati o chiave condivisa per
l’autenticazione
PPTP
Connettersi a Gateway
VPN basati su ISA o
RRAS di Windows
Richiede Username/Password per
l’autenticazione
Meno sicuro che L2TP su IPSec
IPSec Tunnel
Mode
|
Usare per
[email protected] |
VPN Site-to-Site
Configurazione
Opzioni di
Configurazione
|
Spiegazione
Protocollo VPN
Scegliere il protocollo che si desidera usare nella
connessione tra siti remoti
Server VPN remoto
Indicare indirizzo IP o nome del Gateway VPN nel
sito remoto
Autenticazione Remota
Inserire username/password da usare per iniziare
la connessione con il sito remoto
Autenticazione L2TP/IPSec
Se necessario, configurare una chiave condivisa
che sarà usata per autenticare il computer
durante la creazione del tunnel
Indirizzi di Rete
Configurare il range di indirizzi IP che
rappresenta tutti i computer nella rete remota
[email protected] |
VPN Site-to-Site
Regole di rete e di accesso
Per abilitare il traffico attraverso una connessione VPN Site-to-Site:
Sono abilitate due regole nelle System Policy:
 Allow VPN site-to-site traffic to ISA Server
 Allow VPN site-to-site traffic from ISA Server
Creare una regola di rete per le reti del sito remoto
Configurare una regola di accesso o di pubblicazione che
consenta o restringa l’accesso alle reti
 Per pieno accesso, consentire tutti i protocolli
attraverso ISA
 Per accessi limitati, configurare regole di accesso o
di pubblicazione che definiscono il traffico ammesso
|
[email protected] |
VPN Site-to-Site
Configurazione del gateway VPN remoto
Per configurare il Gateway VPN Remoto:
Configurare il Gateway VPN remoto perché usi lo
stesso protocollo di tunnelling
Configurare la connessione al sito principale
Configurare regole di routing che consentano o
restringano il traffico tra i siti remoti
|
[email protected] |
VPN Site-to-Site
Uso di IPSec Tunnel mode
Per configurare una VPN Site-to-Site con IPSec tunnel mode:
Configurare un indirizzo IP del Gateway locale VPN per
l’ascolto di richieste di connessioni VPN
Configurere il Gateway VPN perché usi certificati o
chiavi condivise per l’autenticazione
Configurere le impostazioni avanzate di IPSec per
aumentare la sicurezza della VPN
|
[email protected] |
© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only.
MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.