| [email protected] | certificati e vpn
TRANSCRIPT
Agenda
Virtual Private Networking: concetti di base
Accesso di client VPN
VPN Site-to-Site
Confronto tra protocolli VPN
Fattori PPTP L2TP/IPSec
Client supportati Windows 2000
Windows XP
Windows Server 2003
Windows NT Workstation 4.0
Windows 98/ME
Windows 2000
Windows XP
Windows Server 2003
Supporto dei Certificati
Richiede un’infrastruttura di certificazione solo per l’autenticazione EAP-TLS
Richiede un’infrastruttura di certificazione o una chiave condivisa
Sicurezza Fornisce criptatura dei dati (MPPE)
Non assicura l’integrità dei dati
Fornisce:
Criptatura dei dati
Confidenzialità
Mutua autenticazione
Protezione da ripetizione
Supporto al NAT Per avere un client PPTP dietro un apparato NAT, questo deve fornire un editor per la traduzione NAT
Per avere client o server dietro un NAT entrambi devono supportare IPSec NAT-T
Protocolli di Autenticazione VPN
Protocolli di Autenticazione
Considerazioni
PAP Usa passwords in chiaro ed è il meno sicuro
SPAP Usa un meccanismo di criptatura reversibile sviluppato da Shiva
CHAP
Richiede password salvate usando un criptatura reversibileCompatibile con client Macintosh e UNIXI dati non sono criptati
MS-CHAPLe password possono essere salvate in modo NON reversibileC’è criptatura dei dati
MS-CHAPv2Esegue la mutua autenticazione client/serverI dati sono criptati usando chiavi di sessione diverse per la ricezione e la trasmissione
EAP-TLSÈ il protocollo di autenticazione remota più sicuroSupporta l’autenticazione multifattore
VPN con RRAS
RRAS supporta:RRAS supporta:
Politiche di accesso: definiscono le conessioni remote e i parametri di connessione
Connection Manager: semplifica la configurazione dei client remoti
Server RADIUS: usabili per l’autenticazione e la centralizzazione delle politiche di accesso
Reti di Quarantena: per restringere le reti a cui i client possono accedere
Packet filtering: per rendere sicure le connessioni VPN e le reti di quarantena
Politiche di accesso: definiscono le conessioni remote e i parametri di connessione
Connection Manager: semplifica la configurazione dei client remoti
Server RADIUS: usabili per l’autenticazione e la centralizzazione delle politiche di accesso
Reti di Quarantena: per restringere le reti a cui i client possono accedere
Packet filtering: per rendere sicure le connessioni VPN e le reti di quarantena
Accesso di Client VPNAbilitazione e Configurazione
Usare user mapping per applicare le politiche di firewall ai client che non usano l’autenticazione WindowsUsare user mapping per applicare le politiche di firewall ai client che non usano l’autenticazione Windows
Accesso di client VPNConfigurazione di Default
Componenti Configurazione di Default
System policyLe System policy consentono l’uso di PPTP, L2TP o entrambi se abilitati
VPN access networkISA Server attende le connessioni di Client VPN solo sulla rete External
Protocolli VPN Solo PPTP è abilitato per l’accesso di client VPN
Regole di Rete Network
È definita una relazione di Route tra la rete VPN Clients e la rete InternalÈ definita una relazione di NAT tra la rete VPN Clients e la rete External
Regole di Accesso Nessuna regola di accesso è predefinita
Politica di Accesso da Remoto
La politica di accesso da remoto di default richiede l’autenticazione MS-CHAP v2
Accesso di Client VPNAssegnazione degli Indirizzi
Configurare IP statici o via DHCPConfigurare IP statici o via DHCP
Configurare Server DNS e WINSusando DHCP o manualmente
Configurare Server DNS e WINSusando DHCP o manualmente
Accesso di Client VPNAutenticazione
Accettare la configurazione di default per
l’autenticazione
Accettare la configurazione di default per
l’autenticazione
Configurare EAP per averesicurezza maggiore
Configurare EAP per averesicurezza maggiore
Configurare i metodimeno sicuri solo per
problemi di compatibilità
Configurare i metodimeno sicuri solo per
problemi di compatibilità
Accesso di Client VPNAutenticazione via RADIUS
Abilitare RADIUS per autenticazione e accounting, quindi
configurare un server RADIUS
Abilitare RADIUS per autenticazione e accounting, quindi
configurare un server RADIUS
Accesso di Client VPNConfigurazione degli Account Utente
Configurare i permessi per l’accesso via dial-in
e VPN
Configurare i permessi per l’accesso via dial-in
e VPN
VPN Site-to-Site Configurazione dei componenti
Componente Configurazione
Scelta di un ProtocolloVPN
Scegliere il protocollo più adatto in base alle necessità di sicurezza e ai gateway VPN
Configurare una Rete di Sito Remoto
La Rete del Sito Remoto include tutti gli indirizzi IP del Sito Remoto
Configurare VPN l’accesso per i client
L’accesso VPN per i Client deve essere abilitato per consentire la connessione del Sito Remoto
Configurare le Regole di Rete e quelle di Accesso
Usare le Regole di Accesso o di Pubblicazione per rendere disponibili le risorse interne agli utenti del sito remoto
Configurare il gateway VPN del Sito Remoto
Configurare il Server VPN del Sito Remoto per connettersi a ISA e per accettare connessioni da ISA
VPN Site-to-Site Scelta del protocollo di tunnelling
Protocollo Usare per Commenti
IPSec Tunnel Mode
Connettersi a Gateway VPN non-Microsoft
Da usare solo per connessioni a gateway VPN non-MicrosoftRichiede certificati o chiavi condivise
L2TP su IPSec
Connetersi a Gateway VPN basati su ISA o RRAS di Windows
Richiede Username/Password e certificati o chiave condivisa per l’autenticazione
PPTP
Connettersi a Gateway VPN basati su ISA o RRAS di Windows
Richiede Username/Password per l’autenticazioneMeno sicuro che L2TP su IPSec
VPN Site-to-Site Configurazione
Opzioni di Configurazione
Spiegazione
Protocollo VPNScegliere il protocollo che si desidera usare nella connessione tra siti remoti
Server VPN remotoIndicare indirizzo IP o nome del Gateway VPN nel sito remoto
Autenticazione RemotaInserire username/password da usare per iniziare la connessione con il sito remoto
Autenticazione L2TP/IPSec
Se necessario, configurare una chiave condivisa che sarà usata per autenticare il computer durante la creazione del tunnel
Indirizzi di ReteConfigurare il range di indirizzi IP che rappresenta tutti i computer nella rete remota
VPN Site-to-Site Regole di rete e di accesso
Per abilitare il traffico attraverso una connessione VPN Site-to-Site:Per abilitare il traffico attraverso una connessione VPN Site-to-Site:
Sono abilitate due regole nelle System Policy: Allow VPN site-to-site traffic to ISA Server Allow VPN site-to-site traffic from ISA Server
Creare una regola di rete per le reti del sito remoto
Configurare una regola di accesso o di pubblicazione che consenta o restringa l’accesso alle reti
Per pieno accesso, consentire tutti i protocolli attraverso ISA
Per accessi limitati, configurare regole di accesso o di pubblicazione che definiscono il traffico ammesso
Sono abilitate due regole nelle System Policy: Allow VPN site-to-site traffic to ISA Server Allow VPN site-to-site traffic from ISA Server
Creare una regola di rete per le reti del sito remoto
Configurare una regola di accesso o di pubblicazione che consenta o restringa l’accesso alle reti
Per pieno accesso, consentire tutti i protocolli attraverso ISA
Per accessi limitati, configurare regole di accesso o di pubblicazione che definiscono il traffico ammesso
VPN Site-to-Site Configurazione del gateway VPN remoto
Per configurare il Gateway VPN Remoto:Per configurare il Gateway VPN Remoto:
Configurare il Gateway VPN remoto perché usi lo stesso protocollo di tunnelling
Configurare la connessione al sito principale
Configurare regole di routing che consentano o restringano il traffico tra i siti remoti
Configurare il Gateway VPN remoto perché usi lo stesso protocollo di tunnelling
Configurare la connessione al sito principale
Configurare regole di routing che consentano o restringano il traffico tra i siti remoti
VPN Site-to-Site Uso di IPSec Tunnel mode
Per configurare una VPN Site-to-Site con IPSec tunnel mode:Per configurare una VPN Site-to-Site con IPSec tunnel mode:
Configurare un indirizzo IP del Gateway locale VPN per l’ascolto di richieste di connessioni VPN
Configurere il Gateway VPN perché usi certificati o chiavi condivise per l’autenticazione
Configurere le impostazioni avanzate di IPSec per aumentare la sicurezza della VPN
Configurare un indirizzo IP del Gateway locale VPN per l’ascolto di richieste di connessioni VPN
Configurere il Gateway VPN perché usi certificati o chiavi condivise per l’autenticazione
Configurere le impostazioni avanzate di IPSec per aumentare la sicurezza della VPN
© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only.MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.