Configuring Network Access Agenda Infrastruttura di Accesso alla Rete Strumenti per la gestione dell’Architettura PKI IAS Utilizzo di IAS per la: Gestione centralizzata dell’Autenticazione per l’Accesso alla Rete Gestione centralizzata delle Policy di Accesso Infrastruttura di Accesso alla Rete Componenti dell’ Infrastruttura di Accesso alla Rete Autenticazione per l’Accesso alla Rete Connessioni VPN Accesso Dial-up Connessione Wireless Componenti dell’Infrastruttura di Accesso alla Rete DHCP Server Network Access Server Domain Controller IAS Server Wireless Access Point VPN Client Dial-up Client Wireless Client Network access service Network access clients Authentication service Active Directory Network Access Authentication Autenticazione Autorizzazione Verifica l’identificazione di un utente remoto verso il servizio di rete a cui l’utente remoto sta cercando di accedere (logon interattivo) Verifica che il tentativo di connessione sia permesso; l’autorizzazione avviene dopo un tentativo di logon con successo Metodi di Autenticazione Remota e wireless: MS-CHAP MS-CHAP v2 EAP EAP-TLS PEAP RADIUS Overview dell’accesso VPN Una VPN estende le funzionalità di una rete privata per ampliarne i limiti attraverso una rete pubblica, come Internet, in modo da emulare un link point-to-point link VPN Server Domain Controller VPN Client 1 Client VPN chiama il VPN server 3 Il server VPN Autentica il client 2 Il server VPN risponde 4 Il server VPN trasferisce i dati Metodi di Autenticazione per una connessione VPN Categoria PPTP L2TP/IPSec con Certificates Descrizione Usa metodologie di Autenticazione (a livello utente) Point-to-Point Protocol (PPP) e Microsoft Point-to-Point Encryption (MPPE) per la criptazione dei dati Usa metodologie di Autenticazione (a livello utente) PPP e IPSec con certificati a livello computer per la criptazione dei dati Metodologia di Autenticazione raccomandata per l’Autenticazione VPN Esempi di Server di Accesso Remoto usando L2TP/IPSec Remote Access Server Remote User to Corp Net Remote Access Server Branch Office to Branch Office Metodi di Autenticazione per una connessione Dial-up Metodi di Autenticazione dial-up: MS-CHAP EAP-TLS MS-CHAP v2 RADIUS Mutual Authentication Remote Access Server Remote Access User Metodo più sicuro: EAP-TLS with Smart Cards Overview dell’Accesso di Rete Wireless Una rete wireless usa una tecnologia che permette a device di comunicare usando protocolli di rete standard e onde elettromagnetiche, non cavi di rete, per portare il segnale in tutta l’infrastruttura di rete DHCP Server Network Access Server Domain Controller IAS Server Standard Wireless Access Point Wireless Client Description Infrastructure I Client si collegano agli WLAN access points wireless I client della Rete wireless Peer-to-peer comunicano direttamente tra WLAN di loro senza cavi Authentication Methods for Wireless Networks Metodi di Autenticazione 801.x Descrizione EAP Fornisce scambio di messaggi e di conversazione tra il client e il server durante il processo di Autenticazione EAP-MS-CHAP v2 Fornisce mutua Autenticazione EAP-TLS PEAP Fornisce mutua Autenticazione ed è il metodo di Autenticazione e di generazione della chiave più robusto Fornisce supporto per EAP-TLS, che usa i certificati per l’autenticazione server e client, e per EAP-MS-CHAP v2, che usa i certificati per l’Autenticazione server e credenziali basate su password per l’Autenticazione Gestione di Accesso alla rete Ci ritroviamo con varie tipologie di Server di Accesso alla Rete. Problematica comune a tutti: Lo scopo è centralizzare: Autenticazione Utenti Gestioni Access Policy Autenticazione Gestione (Access Policy) Strumenti che servono per raggiungere lo scopo: PKI IAS Gestione dell’accesso utente alla Rete Come controllare l’Accesso Utente alla Rete Come configurare gli Account Utente per l’Accesso alla Rete Remote Access Policy Remote Access Policy Profile Come controllare l’Accesso Utente alla Rete 1 Proprietà dell’account Utente 2 Policy di accesso Remoto 3 Profili di di accesso Remoto 1 Domain Controller 3 2 Remote Access Server Remote Access User Policy di Accesso Remoto Una policy di Accesso Remoto è una regola composta dai seguenti elementi: Condizioni—uno o più attributi che sono confrontati con le impostazioni del tentativo di connessione Permesso di Accesso Remoto—se tutte le condizioni della policy di Accesso Remoto sono verificate, è garantito o negato il permesso di accesso remoto Profilo— un insieme di proprietà che sono applicate alla connessione quando è autorizzata Profilo di Accesso Remoto Vincoli di Dial-in Proprietà IP Multilink IP Address Assignment IP Filters Autenticazione Encryption Remote Access User Advanced Settings Centralizzazione nell’Autenticazione dell’Accesso alla Rete e nella Gestione delle Policy utilizzando IAS Autenticazione dell’Accesso alla Rete Centralizzato e Gestione delle Policy Cos’è IAS Funzionamento dell’Autenticazione Centralizzata Configurazione di un IAS Server Configurazione di un Server di Accesso Remoto perchè usi IAS per l’Autenticazione Autenticazione dell’Accesso alla Rete Centralizzato e Gestione delle Policy RADIUS è un protocollo ampiamente diffuso che abilita l’autenticazione centralizzata, l’autorizzazione e l’accounting per l’accesso alla rete. E’ diventato uno standard per gestire l’accesso alla rete per reti VPN, connessioni dial-up e reti wireless RADIUS Client 1 RADIUS client manda una richiesta di connessione al RADIUS server RADIUS Server 2 RADIUS server autentica e autorizza la connessione o la rifiuta Internet Authentication Service IAS, un componente di Windows Server 2003, è un RADIUS server industry-standard compliant. IAS gestisce autenticazione centralizzata, autorizzazione, auditing, e accounting delle connessioni VPN, dial-up, e wireless E’ possibile configurare IAS per supportare: Accesso Dial-up RADIUS Server Accesso a una Extranet per i business partners Accesso a Internet Accesso alla rete dato in gestione a un service provider Funzionamento dell’Autenticazione Centralizzata 4 2 RADIUS Client Comunica al RADIUS client di garantire o negare l’accesso Internet Inoltra la richiesta al RADIUS server Client 1 Domain Controller RADIUS Server Dial-in verso un RADIUS client locale per ottenere connettività alla rete 3 Autentica le richieste e salva le informazioni di accounting Introduzione alla Criptografia Chiavi di criptazione Criptazione Simmetrica Public Key Encryption Public Key Digital Signing Chiavi di criptazione Tipo di chiave Descrizione La stessa chiave è usata per criptare e decriptare i dati Simmetrica Protegge i dati dall’intercettazione Consiste di una chiave pubblica e una privata La chiave privata è protetta, quella pubblica è distribuita liberamente Asimmetrica Usa una crittografia asimmetrica Criptazione Simmetrica Dato Originale Testo cifrato Crptazione Simmetrica: Usa la stessa chiave Bulk encryption E’ vulnerabile se viene intercettata la chiave simmetrica Dato Originale Public Key Encryption Processo Processo 1. Si trova la chiave pubblica del destinatario 2. I dati sono criptati con una chiave simmetrica 3. La chiave simmetrica è criptata con la chiave pubblica del destinatario 4. La chiave simmetrica criptata e i dati criptati sono inviati al destinatario 5. Il destinatario decripta la chiave simmetrica con la sua chiave privata 6. I dati vengono decriptati con la chiave simmetrica Public Key Digital Signing Processo Processo 1. I dati sono codificati con un algoritmo di hash, producendo un valore di hash 2. Il valore di hash è criptato con la chiave privata del mittente 3. Il certificato del mittente, il valore di hash criptato e i dati originali sono inviati al destinatario 4. Il destinatario decripta il valore di hash con la chiave pubblica del mittente 5. I dati sono passati attraverso un algoritmo di hash, i valori di hash sono comparati Componenti di una PKI Strumenti di Gestione Certificate Template Certification Authority Certificato Digitale Certificate Revocation List CRL Distribution Points Applicazioni e servizi Public Key-Enabled Certificato Digitale Un Certificato digitale: Verifica l’identità di un utente, computer o di un programma Contiene informazioni sul soggetto e su chi lo ha rilasciato E’ firmato da una CA Estensioni dei Certificati Estensioni dei Certificati: Forniscono informazioni addizionali sul soggetto Contengono i campi versione 1 e versione 3 Certification Authority Una certification authority: Verifica l’identità di chi ha richiesto un certificato La metodologia di identificazione dipende dal tipo della CA Rilascia certificati Il modello del certificato o il certificato richiesto determinano l’informazione nel certificato Gestione delle revoca dei certificati La CRL garantisce che i certificati non validi non siano usati