Strategie di protezione
applicate
Fabrizio Grossi
Agenda



Introduzione
Strategie per l'accesso remoto in un
ambiente reale
Risoluzione dei problemi relativi alle
configurazioni di protezione
Agenda



Introduzione
Strategie di accesso remoto in un
ambiente reale
Risoluzione dei problemi relativi alle
configurazioni di protezione
VPN e firewall

Combinazione di un firewall con un
server VPN
Server RAS
dietro al firewall
Server RAS e firewall
sullo stesso computer
Server
RAS
Client VPN
Client VPN
Server RAS
Server VPN dietro a un firewall


Problema: consentire sul firewall il
passaggio del traffico in ingresso nel
server VPN
Problema: ispezione stato
Traffico
Porte e protocolli
Sessione PPTP
Porta TCP 1723
Sessione PPTP
Protocollo IP 47 (GRE)
IPSec IKE
Porta UDP 500
IPSec ESP
Protocollo IP 50 (IPSec ESP)
Utilizzo di ISA Server come
server VPN e firewall
Funzionalità di
ISA Server
Descrizione
Fornisce un firewall al livello dell'applicazione e un
server proxy
Soluzione integrata
Utilizza RRAS per fornire servizi VPN
Fornisce opzioni di autenticazione avanzate
Consente di scegliere il protocollo PPTP o
L2TP/IPSec
Filtro dei pacchetti
Consente di proteggere il server VPN
Procedure guidate
Consentono di effettuare la configurazione in modo
semplice per evitare errori
Problemi relativi all'utilizzo di IPSec e NAT



L'intestazione dei pacchetti viene modificata,
rendendo tali pacchetti non più validi
IKE utilizza i frammenti IP
Le periferiche NAT acquisiscono la modalità tunnel
NAT
NAT
Int. IP orig.
Int. TCP
Dati
Inserimento
Int. IP orig.
Int. AH
Int. TCP
Dati
Contengono un hash crittografato
dell'intestazione del pacchetto originale
Modello di soluzione

La bozza IETF relativa a NAT Traversal
(NAT-T) prevede che le periferiche su
entrambe le estremità debbano:




Rilevare la presenza di NAT
Utilizzare una porta non IPSec per evitare
che le periferiche NAT interferiscano con il
traffico di rete
Incapsulare IPSec in UDP
Inoltre, la soluzione Microsoft impedisce
la creazione di frammenti IP
Funzionamento di NAT-T
NAT
NAT
Int. IP orig.
Int. TCP
Dati
Inserimento
Int. IP orig.
Int. ESP
Int. TCP
Dati
Inserimento
Int. IP orig.
UDP src 4500, dst 4500
Int. ESP
Resto…
Inviato da A
Int. IP orig.
UDP src XXX, dst 4500
Int. ESP
Resto…
Ricevuto da B
Problemi di interoperabilità

Il client VPN e il server VPN devono
supportare NAT-T




Eventuali problemi con periferiche di
terze parti
Aumento progressivo del livello di
interoperabilità
Le periferiche NAT non devono essere
sottoposte a modifiche
Supporto firewall


Consentire il traffico dalla porta UDP 4500
Consentire il traffico dalla porta UDP 500
Stato di NAT-T per Windows




Implementato nello standard proposto da IETF
Test di interoperabilità eseguito con gateway per L2TP/IPSec di
terze parti
Destinato a L2TP/IPSec in Windows XP e versioni precedenti
Destinato a tutti gli utilizzi di IPSec in Windows Server 2003
Versione sistema
operativo
Supporto
L2TP/IPSec
Supporto modalità di
trasporto IPSec generale
Windows Server 2003
Sì
Sì4
Windows XP
Sì1
Non consigliato5
Windows 2000
Sì2
No
Windows NT 4
Sì3
No
Windows 98/Me
Sì3
No
Nota 1: Windows Update o aggiornamento rapido
Nota 2: con aggiornamento rapido
Nota 3: con download Web
Nota 4: Active FTP non funziona
Nota 5: alcune riduzioni PTMU non funzionano
Imposizione della protezione dei
client di accesso remoto

Problema:



È possibile che i client remoti non soddisfino i
requisiti di protezione aziendale
Le presenza di computer non protetti nella rete
aziendale compromette la sicurezza dell'intera rete
Soluzioni:





Non consentire l'accesso remoto
Considerare attendibili gli utenti per mantenere
protetti i client remoti
Creare una rete separata per i client VPN
Imporre le impostazioni di protezione al momento
della connessione
Disconnettere i client non protetti:
Network Access Quarantine Control
Definizione di Network Access
Quarantine Control
Il client di
accesso remoto
esegue
l'autenticazione
1. Timeout della
quarantena
2. Errore del client
RAS durante la
verifica dei criteri
Il client RAS
viene
disconnesso
Il client RAS
viene messo in
quarantena
Il client RAS soddisfa i
criteri della quarantena
Il client RAS ottiene
l'accesso completo
alla rete
Requisiti della quarantena
Risorse in
quarantena
Controller di dominio
Active Directory
Client RAS
con CM
Internet
Criterio di
accesso
remoto
Intranet
Server RRAS
Windows Server 2003
Server IAS
Windows
Server 2003
Inoltre, sono necessari RQC.exe e
RQS.exe disponibili nel Resource Kit
di Windows Server 2003
Processo di quarantena
Quarantena
Client RAS
Internet
Server RRAS
Server IAS
Connessione
Autenticazione
Autorizzazione
della
quarantena
e di altri filtri
Accesso quarantena
Risultato verifica dei criteri
Accesso completo
Rimozione quarantena
Limiti di Network Access
Quarantine Control


La quarantena dipende dalle impostazioni
che è possibile controllare utilizzando script
La quarantena dipende dallo scripting sul
lato client


Gli utenti devono disporre di un metodo per
conformarsi ai requisiti



È possibile per un utente malintenzionato
eludere la quarantena
Metodi per l'applicazione di aggiornamenti
Punto di installazione esterno per il software
antivirus
La quarantena è limitata alle connessioni
remote e VPN
Suggerimenti per Network
Access Quarantine Control





Avvio con il Resource Kit di Windows
Server 2003
Utilizzo di Connection Manager
Creazione di profili alternativi per
ambienti differenti
Pianificazione delle risorse di quarantena
Riduzione del ritardo per l'esecuzione
delle applicazioni
Dimostrazione 4
Configurazione della
quarantena di rete
Installazione, configurazione e
test della quarantena di rete
Agenda



Introduzione
Strategie di accesso remoto in un
ambiente reale
Risoluzione dei problemi relativi alle
configurazioni di protezione
Risoluzione dei conflitti relativi
ai modelli di protezione

Utilizzo degli strumenti Gruppo di criteri
risultante (RSoP)



Strumenti di gestione di Active Directory
RSoP dalla console GPMC
GPResult
Risoluzione dei problemi relativi
agli errori delle applicazioni


L'applicazione delle patch o dei modelli di
protezione può impedire il funzionamento
delle applicazioni
Strumenti per la risoluzione dei problemi
relativi agli errori delle applicazioni





Network Monitor
File Monitor
Registry Monitor
Dependency Walker
Cipher
Risoluzione dei problemi relativi
ai servizi e ai processi

Può essere necessario procedere alla
risoluzione dei problemi relativi ai servizi:
1.
2.

Quando si verifica un errore durante l'avvio dei
servizi e dei processi
Per confermare che tutti i servizi e i processi
provengono da fonti sicure
Strumenti utili per la risoluzione dei
problemi relativi ai processi:



Tlist.exe o Process Explorer
Dependency Walker
Esame delle proprietà delle DLL
Risoluzione dei problemi relativi
alle connessioni di rete


Verificare che siano aperte sui
computer soltanto le porte necessarie
Strumenti per determinare l'utilizzo
delle porte:



Netstat –o (in Windows XP o Windows
Server 2003)
Task Manager
Verificare l'utilizzo delle porte per le
applicazioni e i servizi
Riepilogo della sessione



Strategie di gestione delle patch in un
ambiente reale
Strategie di accesso remoto in un
ambiente reale
Risoluzione dei problemi relativi alle
configurazioni di protezione
Fasi successive
1.
Per informazioni sempre aggiornate sulla
protezione

Abbonarsi ai bollettini sulla sicurezza all'indirizzo:
http://www.microsoft.com/security/security_bulletins/alerts2.asp
(in lingua inglese)

Ottenere istruzioni aggiornate sulla protezione
Microsoft all'indirizzo:
http://www.microsoft.com/italy/security/guidance/default.mspx
2.
Per l'accesso a materiale di formazione
aggiuntivo sulla protezione

Cercare seminari di formazione in linea e con istruttore
all'indirizzo:
http://www.microsoft.com/seminar/events/security.mspx
(in lingua inglese)

Cercare un CTEC di zona per corsi di formazione
pratica all'indirizzo:
http://www.microsoft.com/italy/traincert/Default.mspx
Ulteriori informazioni

Sito Microsoft dedicato alla protezione
(per tutti gli utenti)


Sito TechNet dedicato alla protezione
(per professionisti IT)


http://www.microsoft.com/italy/security/
http://www.microsoft.com/italy/technet/
sicurezza.asp
Sito MSDN dedicato alla protezione
(per sviluppatori)

http://msdn.microsoft.com/security
(in lingua inglese)
Scarica

- Microsoft