Strategie di protezione applicate Fabrizio Grossi Agenda Introduzione Strategie per l'accesso remoto in un ambiente reale Risoluzione dei problemi relativi alle configurazioni di protezione Agenda Introduzione Strategie di accesso remoto in un ambiente reale Risoluzione dei problemi relativi alle configurazioni di protezione VPN e firewall Combinazione di un firewall con un server VPN Server RAS dietro al firewall Server RAS e firewall sullo stesso computer Server RAS Client VPN Client VPN Server RAS Server VPN dietro a un firewall Problema: consentire sul firewall il passaggio del traffico in ingresso nel server VPN Problema: ispezione stato Traffico Porte e protocolli Sessione PPTP Porta TCP 1723 Sessione PPTP Protocollo IP 47 (GRE) IPSec IKE Porta UDP 500 IPSec ESP Protocollo IP 50 (IPSec ESP) Utilizzo di ISA Server come server VPN e firewall Funzionalità di ISA Server Descrizione Fornisce un firewall al livello dell'applicazione e un server proxy Soluzione integrata Utilizza RRAS per fornire servizi VPN Fornisce opzioni di autenticazione avanzate Consente di scegliere il protocollo PPTP o L2TP/IPSec Filtro dei pacchetti Consente di proteggere il server VPN Procedure guidate Consentono di effettuare la configurazione in modo semplice per evitare errori Problemi relativi all'utilizzo di IPSec e NAT L'intestazione dei pacchetti viene modificata, rendendo tali pacchetti non più validi IKE utilizza i frammenti IP Le periferiche NAT acquisiscono la modalità tunnel NAT NAT Int. IP orig. Int. TCP Dati Inserimento Int. IP orig. Int. AH Int. TCP Dati Contengono un hash crittografato dell'intestazione del pacchetto originale Modello di soluzione La bozza IETF relativa a NAT Traversal (NAT-T) prevede che le periferiche su entrambe le estremità debbano: Rilevare la presenza di NAT Utilizzare una porta non IPSec per evitare che le periferiche NAT interferiscano con il traffico di rete Incapsulare IPSec in UDP Inoltre, la soluzione Microsoft impedisce la creazione di frammenti IP Funzionamento di NAT-T NAT NAT Int. IP orig. Int. TCP Dati Inserimento Int. IP orig. Int. ESP Int. TCP Dati Inserimento Int. IP orig. UDP src 4500, dst 4500 Int. ESP Resto… Inviato da A Int. IP orig. UDP src XXX, dst 4500 Int. ESP Resto… Ricevuto da B Problemi di interoperabilità Il client VPN e il server VPN devono supportare NAT-T Eventuali problemi con periferiche di terze parti Aumento progressivo del livello di interoperabilità Le periferiche NAT non devono essere sottoposte a modifiche Supporto firewall Consentire il traffico dalla porta UDP 4500 Consentire il traffico dalla porta UDP 500 Stato di NAT-T per Windows Implementato nello standard proposto da IETF Test di interoperabilità eseguito con gateway per L2TP/IPSec di terze parti Destinato a L2TP/IPSec in Windows XP e versioni precedenti Destinato a tutti gli utilizzi di IPSec in Windows Server 2003 Versione sistema operativo Supporto L2TP/IPSec Supporto modalità di trasporto IPSec generale Windows Server 2003 Sì Sì4 Windows XP Sì1 Non consigliato5 Windows 2000 Sì2 No Windows NT 4 Sì3 No Windows 98/Me Sì3 No Nota 1: Windows Update o aggiornamento rapido Nota 2: con aggiornamento rapido Nota 3: con download Web Nota 4: Active FTP non funziona Nota 5: alcune riduzioni PTMU non funzionano Imposizione della protezione dei client di accesso remoto Problema: È possibile che i client remoti non soddisfino i requisiti di protezione aziendale Le presenza di computer non protetti nella rete aziendale compromette la sicurezza dell'intera rete Soluzioni: Non consentire l'accesso remoto Considerare attendibili gli utenti per mantenere protetti i client remoti Creare una rete separata per i client VPN Imporre le impostazioni di protezione al momento della connessione Disconnettere i client non protetti: Network Access Quarantine Control Definizione di Network Access Quarantine Control Il client di accesso remoto esegue l'autenticazione 1. Timeout della quarantena 2. Errore del client RAS durante la verifica dei criteri Il client RAS viene disconnesso Il client RAS viene messo in quarantena Il client RAS soddisfa i criteri della quarantena Il client RAS ottiene l'accesso completo alla rete Requisiti della quarantena Risorse in quarantena Controller di dominio Active Directory Client RAS con CM Internet Criterio di accesso remoto Intranet Server RRAS Windows Server 2003 Server IAS Windows Server 2003 Inoltre, sono necessari RQC.exe e RQS.exe disponibili nel Resource Kit di Windows Server 2003 Processo di quarantena Quarantena Client RAS Internet Server RRAS Server IAS Connessione Autenticazione Autorizzazione della quarantena e di altri filtri Accesso quarantena Risultato verifica dei criteri Accesso completo Rimozione quarantena Limiti di Network Access Quarantine Control La quarantena dipende dalle impostazioni che è possibile controllare utilizzando script La quarantena dipende dallo scripting sul lato client Gli utenti devono disporre di un metodo per conformarsi ai requisiti È possibile per un utente malintenzionato eludere la quarantena Metodi per l'applicazione di aggiornamenti Punto di installazione esterno per il software antivirus La quarantena è limitata alle connessioni remote e VPN Suggerimenti per Network Access Quarantine Control Avvio con il Resource Kit di Windows Server 2003 Utilizzo di Connection Manager Creazione di profili alternativi per ambienti differenti Pianificazione delle risorse di quarantena Riduzione del ritardo per l'esecuzione delle applicazioni Dimostrazione 4 Configurazione della quarantena di rete Installazione, configurazione e test della quarantena di rete Agenda Introduzione Strategie di accesso remoto in un ambiente reale Risoluzione dei problemi relativi alle configurazioni di protezione Risoluzione dei conflitti relativi ai modelli di protezione Utilizzo degli strumenti Gruppo di criteri risultante (RSoP) Strumenti di gestione di Active Directory RSoP dalla console GPMC GPResult Risoluzione dei problemi relativi agli errori delle applicazioni L'applicazione delle patch o dei modelli di protezione può impedire il funzionamento delle applicazioni Strumenti per la risoluzione dei problemi relativi agli errori delle applicazioni Network Monitor File Monitor Registry Monitor Dependency Walker Cipher Risoluzione dei problemi relativi ai servizi e ai processi Può essere necessario procedere alla risoluzione dei problemi relativi ai servizi: 1. 2. Quando si verifica un errore durante l'avvio dei servizi e dei processi Per confermare che tutti i servizi e i processi provengono da fonti sicure Strumenti utili per la risoluzione dei problemi relativi ai processi: Tlist.exe o Process Explorer Dependency Walker Esame delle proprietà delle DLL Risoluzione dei problemi relativi alle connessioni di rete Verificare che siano aperte sui computer soltanto le porte necessarie Strumenti per determinare l'utilizzo delle porte: Netstat –o (in Windows XP o Windows Server 2003) Task Manager Verificare l'utilizzo delle porte per le applicazioni e i servizi Riepilogo della sessione Strategie di gestione delle patch in un ambiente reale Strategie di accesso remoto in un ambiente reale Risoluzione dei problemi relativi alle configurazioni di protezione Fasi successive 1. Per informazioni sempre aggiornate sulla protezione Abbonarsi ai bollettini sulla sicurezza all'indirizzo: http://www.microsoft.com/security/security_bulletins/alerts2.asp (in lingua inglese) Ottenere istruzioni aggiornate sulla protezione Microsoft all'indirizzo: http://www.microsoft.com/italy/security/guidance/default.mspx 2. Per l'accesso a materiale di formazione aggiuntivo sulla protezione Cercare seminari di formazione in linea e con istruttore all'indirizzo: http://www.microsoft.com/seminar/events/security.mspx (in lingua inglese) Cercare un CTEC di zona per corsi di formazione pratica all'indirizzo: http://www.microsoft.com/italy/traincert/Default.mspx Ulteriori informazioni Sito Microsoft dedicato alla protezione (per tutti gli utenti) Sito TechNet dedicato alla protezione (per professionisti IT) http://www.microsoft.com/italy/security/ http://www.microsoft.com/italy/technet/ sicurezza.asp Sito MSDN dedicato alla protezione (per sviluppatori) http://msdn.microsoft.com/security (in lingua inglese)