isa server 2004 configurazione di accessi via vpn piergiorgio malusardi – microsoft
TRANSCRIPT
ISA Server 2004 ISA Server 2004 Configurazione di Accessi via VPNConfigurazione di Accessi via VPN
PierGiorgio Malusardi – MicrosoftPierGiorgio Malusardi – Microsoft
AgendaAgenda
Virtual Private Networking: Virtual Private Networking: concetti di baseconcetti di base
Accesso di Client VPNAccesso di Client VPN Configurazione di una VPN Configurazione di una VPN
Site-to-SiteSite-to-Site
Concetti di baseConcetti di base
Cos’è una VPN?Cos’è una VPN?
ISAServer
ISAServer
Branch OfficeBranch Office
Cos’è una VPN?Cos’è una VPN?
ISAServer
ISAServer
Branch OfficeBranch Office
Cos’è una VPN?Cos’è una VPN?
ISAServer
ISAServer
Branch OfficeBranch Office
Cos’è una VPN?Cos’è una VPN?
ISAServer
ISAServer
Branch OfficeBranch Office
Protocolli VPN: OpzioniProtocolli VPN: Opzioni
FattoriFattori PPTP – vantaggi e svantaggiPPTP – vantaggi e svantaggi L2TP/IPSec – L2TP/IPSec – vantaggi e svantaggivantaggi e svantaggi
Client Client supportatisupportati
Windows 2000Windows 2000Windows XPWindows XPWindows Server 2003Windows Server 2003Windows NT Workstation 4.0Windows NT Workstation 4.0Windows 98/MEWindows 98/ME
Windows 2000Windows 2000Windows XPWindows XPWindows Server 2003Windows Server 2003
Supporto ai Supporto ai CertificatiCertificati
Richiede un’infrastruttura di Richiede un’infrastruttura di certificazione solo per certificazione solo per l’autenticazione EAP-TLSl’autenticazione EAP-TLS
Richiede Richiede un’infrastruttura di un’infrastruttura di certificazione o una certificazione o una chiave condivisachiave condivisa
SicurezzaSicurezzaFornisce criptatura dei dati (MPPE)Fornisce criptatura dei dati (MPPE)Non assicura l’integrità dei datiNon assicura l’integrità dei dati
Fornisce: Fornisce: • Criptatura dei datiCriptatura dei dati• ConfidenzialitàConfidenzialità• Mutua autenticazione, Mutua autenticazione, • Protezione da Protezione da
ripetizioneripetizione
Supporto al Supporto al NATNAT
Per avere un client PPTP dietro un Per avere un client PPTP dietro un apparato NAT, questo deve fornire apparato NAT, questo deve fornire un editor per la traduzione NATun editor per la traduzione NAT
Per avere client o Per avere client o server dietro un NAT server dietro un NAT entrambi devono entrambi devono supportare IPSec NAT-supportare IPSec NAT-TT
Protocolli di Autenticazione VPNProtocolli di Autenticazione VPNProtocolli di Protocolli di
AutenticazioneAutenticazione ConsiderazioniConsiderazioni
PAPPAP Usa passwords in chiaro ed è il meno sicuroUsa passwords in chiaro ed è il meno sicuro
SPAPSPAP Usa un meccanismo di criptatura reversibile Usa un meccanismo di criptatura reversibile sviluppato da Shivasviluppato da Shiva
CHAPCHAP
Richiede password salvate usando un criptatura Richiede password salvate usando un criptatura reversibilereversibileCompatibile con client Macintosh e UNIXCompatibile con client Macintosh e UNIXI dati non sono criptatiI dati non sono criptati
MS-CHAPMS-CHAPLe password possono essere salvate in modo NON Le password possono essere salvate in modo NON reversibilereversibileC’è criptatura dei datiC’è criptatura dei dati
MS-CHAPv2MS-CHAPv2Esegue la mutua autenticazione client/serverEsegue la mutua autenticazione client/serverI dati sono criptati usando chiavi di sessione diverse I dati sono criptati usando chiavi di sessione diverse per la ricezione e la trasmissioneper la ricezione e la trasmissione
EAP-TLSEAP-TLS È il protocollo di autenticazione remota più sicuroÈ il protocollo di autenticazione remota più sicuroSupporta l’autenticazione multifattoreSupporta l’autenticazione multifattore
VPN Usando RRASVPN Usando RRAS
RRAS supporta:RRAS supporta:
Politiche di accesso: definiscono le conessioni remote e i parametri di connessione
Connection Manager: semplifica la configurazione dei client remoti
Server RADIUS: usabili per l’autenticazione e la centralizzazione delle politiche di accesso
Reti di Quarantena: per restringere le reti a cui i client possono accedere
Packet filtering: per rendere sicure le connessioni VPN e le reti di quarantena
Politiche di accesso: definiscono le conessioni remote e i parametri di connessione
Connection Manager: semplifica la configurazione dei client remoti
Server RADIUS: usabili per l’autenticazione e la centralizzazione delle politiche di accesso
Reti di Quarantena: per restringere le reti a cui i client possono accedere
Packet filtering: per rendere sicure le connessioni VPN e le reti di quarantena
Demo:Demo:Configurazione di un Configurazione di un Accesso via VPN su Accesso via VPN su RRASRRAS
VPN Usando ISA Server 2004VPN Usando ISA Server 2004
ISA Server supporta:ISA Server supporta:
Accesso VPN: per client singoli e per connessioni site-to-site per connettere molteplici siti
Reti dedicate a client VPN:VPN Clients networkQuarantined VPN Clients networkRemote-site networks
Limitazione del trafico: tra le reti VPN e le altre reti
Estensioni alle funzionalità di RRAS
Accesso VPN: per client singoli e per connessioni site-to-site per connettere molteplici siti
Reti dedicate a client VPN:VPN Clients networkQuarantined VPN Clients networkRemote-site networks
Limitazione del trafico: tra le reti VPN e le altre reti
Estensioni alle funzionalità di RRAS
Benefici di ISA Server per VPNBenefici di ISA Server per VPNBeneficiBenefici
Connessioni Sicure Connessioni Sicure ISA Server usa le politiche di accesso del per ISA Server usa le politiche di accesso del per ispezionare e filtrare tutto il traffico dai client VPNispezionare e filtrare tutto il traffico dai client VPN
PrestazioniPrestazioni ISA Server è ottimizzato per forzare richieste di ISA Server è ottimizzato per forzare richieste di sicurezza complesse sulle connessioni VPNsicurezza complesse sulle connessioni VPN
Reti di Quarantena Reti di Quarantena perWindows 2000 perWindows 2000
Le reti di quarantena non sono disponibili con RRAS Le reti di quarantena non sono disponibili con RRAS di Windows 2000 ma possono essere abilitare con di Windows 2000 ma possono essere abilitare con ISA Server 2004 su Windows 2000ISA Server 2004 su Windows 2000
Registrazione e Registrazione e controllocontrollo
ISA Server può registrare tutte le connessioni VPN e ISA Server può registrare tutte le connessioni VPN e controllare le connessioni VPNcontrollare le connessioni VPN
Stateful Inspection Stateful Inspection per IPSec tunnel-per IPSec tunnel-modemode
Abilita la stateful inspection per forzare il controllo Abilita la stateful inspection per forzare il controllo degli accessi per user/group, siti, computer, protocolli degli accessi per user/group, siti, computer, protocolli e application sul traffico IPSec tunnel-modee application sul traffico IPSec tunnel-mode
Protezione Protezione AvanzataAvanzata
ISA Server stesso è protetto da politiche di accesso ISA Server stesso è protetto da politiche di accesso su firewallsu firewall
Accesso di Client VPNAccesso di Client VPN
Accesso di Client VPNAccesso di Client VPNAbilitazione e ConfigurazioneAbilitazione e Configurazione
Usare user mapping per applicare le politiche di firewall ai client che non usano l’autenticazione WindowsUsare user mapping per applicare le politiche di firewall ai client che non usano l’autenticazione Windows
Accesso di Client VPNAccesso di Client VPNConfigurazione di DefaultConfigurazione di Default
ComponentiComponenti Configurazione di DefaultConfigurazione di Default
System policySystem policyLe System policy consentono l’uso di PPTP, L2TP Le System policy consentono l’uso di PPTP, L2TP o entrambi se abilitatio entrambi se abilitati
VPN access networkVPN access networkISA Server attende le connessioni di Client VPN ISA Server attende le connessioni di Client VPN solo sulla rete Externalsolo sulla rete External
Protocolli VPNProtocolli VPN Solo PPTP è abilitato per l’accesso di client VPNSolo PPTP è abilitato per l’accesso di client VPN
Regole di Rete NetworkRegole di Rete Network
È definita una relazione di Route tra la rete VPN È definita una relazione di Route tra la rete VPN Clients e la rete InternalClients e la rete InternalÈ definita una relazione di NAT tra la rete VPN È definita una relazione di NAT tra la rete VPN Clients e la rete ExternalClients e la rete External
Regole di AccessoRegole di Accesso Nessuna regola di accesso è predefinitaNessuna regola di accesso è predefinita
Politica di Accesso da Politica di Accesso da RemotoRemoto
La politica di accesso da remoto di default richiede La politica di accesso da remoto di default richiede l’autenticazione MS-CHAP v2l’autenticazione MS-CHAP v2
Accesso di Client VPNAccesso di Client VPNAssegnazione degli IndirizziAssegnazione degli Indirizzi
Configurare IP statici o via DHCPConfigurare IP statici o via DHCP
Configurare Server DNS e WINSusando DHCP o manualmente
Configurare Server DNS e WINSusando DHCP o manualmente
Accesso di Client VPNAccesso di Client VPNAutenticazioneAutenticazione
Accettare la configurazione di default per
l’autenticazione
Accettare la configurazione di default per
l’autenticazione
Configurare EAP per averesicurezza maggiore
Configurare EAP per averesicurezza maggiore
Configurare i metodimeno sicuri solo per
problemi di compatibilità
Configurare i metodimeno sicuri solo per
problemi di compatibilità
Accesso di Client VPNAccesso di Client VPNAutenticazione via RADIUSAutenticazione via RADIUS
Abilitare RADIUS per autenticazione e accounting, quindi
configurare un server RADIUS
Abilitare RADIUS per autenticazione e accounting, quindi
configurare un server RADIUS
Accesso di Client VPNAccesso di Client VPNConfigurazione degli Account UtenteConfigurazione degli Account Utente
Configurare i permessi per l’accesso via dial-in
e VPN
Configurare i permessi per l’accesso via dial-in
e VPN
Accesso di Client VPNAccesso di Client VPNConfigurazione dei ClientConfigurazione dei Client
Demo: Demo: Configurazione di un Configurazione di un Accesso via VPNAccesso via VPN
Connessione VPN Site-to-SiteConnessione VPN Site-to-Site
VPN Site-to-Site VPN Site-to-Site Configurazione dei Componenti Configurazione dei Componenti
ComponenteComponente ConfigurazioneConfigurazione
Scelta di un ProtocolloScelta di un ProtocolloVPNVPN
Scegliere il protocollo più adatto in base alle Scegliere il protocollo più adatto in base alle necessità di sicurezza e ai gateway VPNnecessità di sicurezza e ai gateway VPN
Configurare una Rete Configurare una Rete di Sito Remotodi Sito Remoto
La Rete del Sito Remoto include tutti gli La Rete del Sito Remoto include tutti gli indirizzi IP del Sito Remotoindirizzi IP del Sito Remoto
Configurare VPN Configurare VPN l’accesso per i clientl’accesso per i client
L’accesso VPN per i Client deve essere L’accesso VPN per i Client deve essere abilitato per consentire la connessione del abilitato per consentire la connessione del Sito RemotoSito Remoto
Configurare le Regole Configurare le Regole di Rete e quelle di di Rete e quelle di AccessoAccesso
Usare le Regole di Accesso o di Usare le Regole di Accesso o di Pubblicazione per rendere disponibili le Pubblicazione per rendere disponibili le risorse interne agli utenti del sito remotorisorse interne agli utenti del sito remoto
Configurare il gateway Configurare il gateway VPN del Sito RemotoVPN del Sito Remoto
Configurare il Server VPN del Sito Remoto Configurare il Server VPN del Sito Remoto per connettersi a ISA e per accettare per connettersi a ISA e per accettare connessioni da ISAconnessioni da ISA
VPN Site-to-Site VPN Site-to-Site Scelta del Protocollo di TunnellingScelta del Protocollo di Tunnelling
ProtocolloProtocollo Usare perUsare per CommentiCommenti
IPSec IPSec Tunnel Tunnel Mode Mode
Connettersi a Connettersi a Gateway VPN non-Gateway VPN non-MicrosoftMicrosoft
Da usare solo per connessioni a Da usare solo per connessioni a gateway VPN non-Microsoftgateway VPN non-MicrosoftRichiede certificati o chiavi Richiede certificati o chiavi condivisecondivise
L2TP su L2TP su IPSecIPSec
Connetersi a Connetersi a Gateway VPN Gateway VPN basati su ISA o basati su ISA o RRAS di WindowsRRAS di Windows
Richiede Username/Password e Richiede Username/Password e certificati o chiave condivisa per certificati o chiave condivisa per l’autenticazionel’autenticazione
PPTPPPTP
Connettersi a Connettersi a Gateway VPN Gateway VPN basati su ISA o basati su ISA o RRAS di WindowsRRAS di Windows
Richiede Username/Password Richiede Username/Password per l’autenticazioneper l’autenticazioneMeno sicuro che L2TP su IPSecMeno sicuro che L2TP su IPSec
VPN Site-to-Site VPN Site-to-Site ConfigurazioneConfigurazione
Opzioni di Opzioni di ConfigurazioneConfigurazione SpiegazioneSpiegazione
Protocollo VPNProtocollo VPNScegliere il protocollo che si desidera usare Scegliere il protocollo che si desidera usare nella connessione tra siti remotinella connessione tra siti remoti
Server VPN remotoServer VPN remotoIndicare indirizzo IP o nome del Gateway Indicare indirizzo IP o nome del Gateway VPN nel sito remotoVPN nel sito remoto
Autenticazione RemotaAutenticazione RemotaInserire username/password da usare per Inserire username/password da usare per iniziare la connessione con il sito remotoiniziare la connessione con il sito remoto
Autenticazione Autenticazione L2TP/IPSecL2TP/IPSec
Se necessario, configurare una chiave Se necessario, configurare una chiave condivisa che sarà usata per autenticare il condivisa che sarà usata per autenticare il computer durante la creazione del tunnelcomputer durante la creazione del tunnel
Indirizzi di ReteIndirizzi di ReteConfigurare il range di indirizzi IP che Configurare il range di indirizzi IP che rappresenta tutti i computer nella rete rappresenta tutti i computer nella rete remotaremota
VPN Site-to-Site VPN Site-to-Site Regole di Rete e di AccessoRegole di Rete e di Accesso
Per abilitare il traffico attraverso una connessione VPN Site-to-Site:Per abilitare il traffico attraverso una connessione VPN Site-to-Site:
Sono abilitate due regole nelle System Policy: Allow VPN site-to-site traffic to ISA Server Allow VPN site-to-site traffic from ISA Server
Creare una regola di rete per le reti del sito remoto
Configurare una regola di accesso o di pubblicazione che consenta o restringa l’accesso alle reti
Per pieno accesso, consentire tutti i protocolli attraverso ISA
Per accessi limitati, configurare regole di accesso o di pubblicazione che definiscono il traffico ammesso
Sono abilitate due regole nelle System Policy: Allow VPN site-to-site traffic to ISA Server Allow VPN site-to-site traffic from ISA Server
Creare una regola di rete per le reti del sito remoto
Configurare una regola di accesso o di pubblicazione che consenta o restringa l’accesso alle reti
Per pieno accesso, consentire tutti i protocolli attraverso ISA
Per accessi limitati, configurare regole di accesso o di pubblicazione che definiscono il traffico ammesso
VPN Site-to-Site VPN Site-to-Site Configurazione del Gateway VPN remotoConfigurazione del Gateway VPN remoto
Per configurare il Gateway VPN Remoto:Per configurare il Gateway VPN Remoto:
Configurare il Gateway VPN remoto perché usi lo stesso protocollo di tunnelling
Configurare la connessione al sito principale
Configurare regole di routing che consentano o restringano il traffico tra i siti remoti
Configurare il Gateway VPN remoto perché usi lo stesso protocollo di tunnelling
Configurare la connessione al sito principale
Configurare regole di routing che consentano o restringano il traffico tra i siti remoti
VPN Site-to-Site VPN Site-to-Site Uso di IPSec Tunnel modeUso di IPSec Tunnel mode
Per configurare una VPN Site-to-Site con IPSec tunnel mode:Per configurare una VPN Site-to-Site con IPSec tunnel mode:
Configurare un indirizzo IP del Gateway locale VPN per l’ascolto di richieste di connessioni VPN
Configurere il Gateway VPN perché usi certificati o chiavi condivise per l’autenticazione
Configurere le impostazioni avanzate di IPSec per aumentare la sicurezza della VPN
Configurare un indirizzo IP del Gateway locale VPN per l’ascolto di richieste di connessioni VPN
Configurere il Gateway VPN perché usi certificati o chiavi condivise per l’autenticazione
Configurere le impostazioni avanzate di IPSec per aumentare la sicurezza della VPN
Demo: Demo: Configurazione di una Configurazione di una VPN Site-to-SiteVPN Site-to-Site
© 2003-2004 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Prossimi AppuntamentiProssimi Appuntamenti
2/11/04 17.00
ISA Server 2004 Accesso via VPN e Site-to-Site VPN
9/11/04 17.00
ISA Server 2004 Configurazione di una rete di Quarantena
25/11/04 17.00
ISA Server 2004 Pubblicazione di server
3/12/04 17.00
ISA Server 2004 Pubblicazione di server di posta
Di seguito trovate i prossimi appuntamenti legati alla sessione di oggi
Per ApprofondimentiPer Approfondimenti
http://www.microsoft.com/isaserverhttp://www.microsoft.com/isaserver http://www.microsoft.com/technethttp://www.microsoft.com/technet http://www.microsoft.com/italy/technethttp://www.microsoft.com/italy/technet MOC 2824A MOC 2824A http://www.isaserver.orghttp://www.isaserver.org