ISA Server 2004 ISA Server 2004 Configurazione di Accessi via VPNConfigurazione di Accessi via VPN

PierGiorgio Malusardi – MicrosoftPierGiorgio Malusardi – Microsoft

AgendaAgenda

Virtual Private Networking: Virtual Private Networking: concetti di baseconcetti di base

Accesso di Client VPNAccesso di Client VPN Configurazione di una VPN Configurazione di una VPN

Site-to-SiteSite-to-Site

Concetti di baseConcetti di base

Cos’è una VPN?Cos’è una VPN?

ISAServer

ISAServer

Branch OfficeBranch Office

Cos’è una VPN?Cos’è una VPN?

ISAServer

ISAServer

Branch OfficeBranch Office

Cos’è una VPN?Cos’è una VPN?

ISAServer

ISAServer

Branch OfficeBranch Office

Cos’è una VPN?Cos’è una VPN?

ISAServer

ISAServer

Branch OfficeBranch Office

Protocolli VPN: OpzioniProtocolli VPN: Opzioni

FattoriFattori PPTP – vantaggi e svantaggiPPTP – vantaggi e svantaggi L2TP/IPSec – L2TP/IPSec – vantaggi e svantaggivantaggi e svantaggi

Client Client supportatisupportati

Windows 2000Windows 2000Windows XPWindows XPWindows Server 2003Windows Server 2003Windows NT Workstation 4.0Windows NT Workstation 4.0Windows 98/MEWindows 98/ME

Windows 2000Windows 2000Windows XPWindows XPWindows Server 2003Windows Server 2003

Supporto ai Supporto ai CertificatiCertificati

Richiede un’infrastruttura di Richiede un’infrastruttura di certificazione solo per certificazione solo per l’autenticazione EAP-TLSl’autenticazione EAP-TLS

Richiede Richiede un’infrastruttura di un’infrastruttura di certificazione o una certificazione o una chiave condivisachiave condivisa

SicurezzaSicurezzaFornisce criptatura dei dati (MPPE)Fornisce criptatura dei dati (MPPE)Non assicura l’integrità dei datiNon assicura l’integrità dei dati

Fornisce: Fornisce: • Criptatura dei datiCriptatura dei dati• ConfidenzialitàConfidenzialità• Mutua autenticazione, Mutua autenticazione, • Protezione da Protezione da

ripetizioneripetizione

Supporto al Supporto al NATNAT

Per avere un client PPTP dietro un Per avere un client PPTP dietro un apparato NAT, questo deve fornire apparato NAT, questo deve fornire un editor per la traduzione NATun editor per la traduzione NAT

Per avere client o Per avere client o server dietro un NAT server dietro un NAT entrambi devono entrambi devono supportare IPSec NAT-supportare IPSec NAT-TT

Protocolli di Autenticazione VPNProtocolli di Autenticazione VPNProtocolli di Protocolli di

AutenticazioneAutenticazione ConsiderazioniConsiderazioni

PAPPAP Usa passwords in chiaro ed è il meno sicuroUsa passwords in chiaro ed è il meno sicuro

SPAPSPAP Usa un meccanismo di criptatura reversibile Usa un meccanismo di criptatura reversibile sviluppato da Shivasviluppato da Shiva

CHAPCHAP

Richiede password salvate usando un criptatura Richiede password salvate usando un criptatura reversibilereversibileCompatibile con client Macintosh e UNIXCompatibile con client Macintosh e UNIXI dati non sono criptatiI dati non sono criptati

MS-CHAPMS-CHAPLe password possono essere salvate in modo NON Le password possono essere salvate in modo NON reversibilereversibileC’è criptatura dei datiC’è criptatura dei dati

MS-CHAPv2MS-CHAPv2Esegue la mutua autenticazione client/serverEsegue la mutua autenticazione client/serverI dati sono criptati usando chiavi di sessione diverse I dati sono criptati usando chiavi di sessione diverse per la ricezione e la trasmissioneper la ricezione e la trasmissione

EAP-TLSEAP-TLS È il protocollo di autenticazione remota più sicuroÈ il protocollo di autenticazione remota più sicuroSupporta l’autenticazione multifattoreSupporta l’autenticazione multifattore

VPN Usando RRASVPN Usando RRAS

RRAS supporta:RRAS supporta:

Politiche di accesso: definiscono le conessioni remote e i parametri di connessione

Connection Manager: semplifica la configurazione dei client remoti

Server RADIUS: usabili per l’autenticazione e la centralizzazione delle politiche di accesso

Reti di Quarantena: per restringere le reti a cui i client possono accedere

Packet filtering: per rendere sicure le connessioni VPN e le reti di quarantena

Politiche di accesso: definiscono le conessioni remote e i parametri di connessione

Connection Manager: semplifica la configurazione dei client remoti

Server RADIUS: usabili per l’autenticazione e la centralizzazione delle politiche di accesso

Reti di Quarantena: per restringere le reti a cui i client possono accedere

Packet filtering: per rendere sicure le connessioni VPN e le reti di quarantena

Demo:Demo:Configurazione di un Configurazione di un Accesso via VPN su Accesso via VPN su RRASRRAS

VPN Usando ISA Server 2004VPN Usando ISA Server 2004

ISA Server supporta:ISA Server supporta:

Accesso VPN: per client singoli e per connessioni site-to-site per connettere molteplici siti

Reti dedicate a client VPN:VPN Clients networkQuarantined VPN Clients networkRemote-site networks

Limitazione del trafico: tra le reti VPN e le altre reti

Estensioni alle funzionalità di RRAS

Accesso VPN: per client singoli e per connessioni site-to-site per connettere molteplici siti

Reti dedicate a client VPN:VPN Clients networkQuarantined VPN Clients networkRemote-site networks

Limitazione del trafico: tra le reti VPN e le altre reti

Estensioni alle funzionalità di RRAS

Benefici di ISA Server per VPNBenefici di ISA Server per VPNBeneficiBenefici

Connessioni Sicure Connessioni Sicure ISA Server usa le politiche di accesso del per ISA Server usa le politiche di accesso del per ispezionare e filtrare tutto il traffico dai client VPNispezionare e filtrare tutto il traffico dai client VPN

PrestazioniPrestazioni ISA Server è ottimizzato per forzare richieste di ISA Server è ottimizzato per forzare richieste di sicurezza complesse sulle connessioni VPNsicurezza complesse sulle connessioni VPN

Reti di Quarantena Reti di Quarantena perWindows 2000 perWindows 2000

Le reti di quarantena non sono disponibili con RRAS Le reti di quarantena non sono disponibili con RRAS di Windows 2000 ma possono essere abilitare con di Windows 2000 ma possono essere abilitare con ISA Server 2004 su Windows 2000ISA Server 2004 su Windows 2000

Registrazione e Registrazione e controllocontrollo

ISA Server può registrare tutte le connessioni VPN e ISA Server può registrare tutte le connessioni VPN e controllare le connessioni VPNcontrollare le connessioni VPN

Stateful Inspection Stateful Inspection per IPSec tunnel-per IPSec tunnel-modemode

Abilita la stateful inspection per forzare il controllo Abilita la stateful inspection per forzare il controllo degli accessi per user/group, siti, computer, protocolli degli accessi per user/group, siti, computer, protocolli e application sul traffico IPSec tunnel-modee application sul traffico IPSec tunnel-mode

Protezione Protezione AvanzataAvanzata

ISA Server stesso è protetto da politiche di accesso ISA Server stesso è protetto da politiche di accesso su firewallsu firewall

Accesso di Client VPNAccesso di Client VPN

Accesso di Client VPNAccesso di Client VPNAbilitazione e ConfigurazioneAbilitazione e Configurazione

Usare user mapping per applicare le politiche di firewall ai client che non usano l’autenticazione WindowsUsare user mapping per applicare le politiche di firewall ai client che non usano l’autenticazione Windows

Accesso di Client VPNAccesso di Client VPNConfigurazione di DefaultConfigurazione di Default

ComponentiComponenti Configurazione di DefaultConfigurazione di Default

System policySystem policyLe System policy consentono l’uso di PPTP, L2TP Le System policy consentono l’uso di PPTP, L2TP o entrambi se abilitatio entrambi se abilitati

VPN access networkVPN access networkISA Server attende le connessioni di Client VPN ISA Server attende le connessioni di Client VPN solo sulla rete Externalsolo sulla rete External

Protocolli VPNProtocolli VPN Solo PPTP è abilitato per l’accesso di client VPNSolo PPTP è abilitato per l’accesso di client VPN

Regole di Rete NetworkRegole di Rete Network

È definita una relazione di Route tra la rete VPN È definita una relazione di Route tra la rete VPN Clients e la rete InternalClients e la rete InternalÈ definita una relazione di NAT tra la rete VPN È definita una relazione di NAT tra la rete VPN Clients e la rete ExternalClients e la rete External

Regole di AccessoRegole di Accesso Nessuna regola di accesso è predefinitaNessuna regola di accesso è predefinita

Politica di Accesso da Politica di Accesso da RemotoRemoto

La politica di accesso da remoto di default richiede La politica di accesso da remoto di default richiede l’autenticazione MS-CHAP v2l’autenticazione MS-CHAP v2

Accesso di Client VPNAccesso di Client VPNAssegnazione degli IndirizziAssegnazione degli Indirizzi

Configurare IP statici o via DHCPConfigurare IP statici o via DHCP

Configurare Server DNS e WINSusando DHCP o manualmente

Configurare Server DNS e WINSusando DHCP o manualmente

Accesso di Client VPNAccesso di Client VPNAutenticazioneAutenticazione

Accettare la configurazione di default per

l’autenticazione

Accettare la configurazione di default per

l’autenticazione

Configurare EAP per averesicurezza maggiore

Configurare EAP per averesicurezza maggiore

Configurare i metodimeno sicuri solo per

problemi di compatibilità

Configurare i metodimeno sicuri solo per

problemi di compatibilità

Accesso di Client VPNAccesso di Client VPNAutenticazione via RADIUSAutenticazione via RADIUS

Abilitare RADIUS per autenticazione e accounting, quindi

configurare un server RADIUS

Abilitare RADIUS per autenticazione e accounting, quindi

configurare un server RADIUS

Accesso di Client VPNAccesso di Client VPNConfigurazione degli Account UtenteConfigurazione degli Account Utente

Configurare i permessi per l’accesso via dial-in

e VPN

Configurare i permessi per l’accesso via dial-in

e VPN

Accesso di Client VPNAccesso di Client VPNConfigurazione dei ClientConfigurazione dei Client

Demo: Demo: Configurazione di un Configurazione di un Accesso via VPNAccesso via VPN

Connessione VPN Site-to-SiteConnessione VPN Site-to-Site

VPN Site-to-Site VPN Site-to-Site Configurazione dei Componenti Configurazione dei Componenti

ComponenteComponente ConfigurazioneConfigurazione

Scelta di un ProtocolloScelta di un ProtocolloVPNVPN

Scegliere il protocollo più adatto in base alle Scegliere il protocollo più adatto in base alle necessità di sicurezza e ai gateway VPNnecessità di sicurezza e ai gateway VPN

Configurare una Rete Configurare una Rete di Sito Remotodi Sito Remoto

La Rete del Sito Remoto include tutti gli La Rete del Sito Remoto include tutti gli indirizzi IP del Sito Remotoindirizzi IP del Sito Remoto

Configurare VPN Configurare VPN l’accesso per i clientl’accesso per i client

L’accesso VPN per i Client deve essere L’accesso VPN per i Client deve essere abilitato per consentire la connessione del abilitato per consentire la connessione del Sito RemotoSito Remoto

Configurare le Regole Configurare le Regole di Rete e quelle di di Rete e quelle di AccessoAccesso

Usare le Regole di Accesso o di Usare le Regole di Accesso o di Pubblicazione per rendere disponibili le Pubblicazione per rendere disponibili le risorse interne agli utenti del sito remotorisorse interne agli utenti del sito remoto

Configurare il gateway Configurare il gateway VPN del Sito RemotoVPN del Sito Remoto

Configurare il Server VPN del Sito Remoto Configurare il Server VPN del Sito Remoto per connettersi a ISA e per accettare per connettersi a ISA e per accettare connessioni da ISAconnessioni da ISA

VPN Site-to-Site VPN Site-to-Site Scelta del Protocollo di TunnellingScelta del Protocollo di Tunnelling

ProtocolloProtocollo Usare perUsare per CommentiCommenti

IPSec IPSec Tunnel Tunnel Mode Mode

Connettersi a Connettersi a Gateway VPN non-Gateway VPN non-MicrosoftMicrosoft

Da usare solo per connessioni a Da usare solo per connessioni a gateway VPN non-Microsoftgateway VPN non-MicrosoftRichiede certificati o chiavi Richiede certificati o chiavi condivisecondivise

L2TP su L2TP su IPSecIPSec

Connetersi a Connetersi a Gateway VPN Gateway VPN basati su ISA o basati su ISA o RRAS di WindowsRRAS di Windows

Richiede Username/Password e Richiede Username/Password e certificati o chiave condivisa per certificati o chiave condivisa per l’autenticazionel’autenticazione

PPTPPPTP

Connettersi a Connettersi a Gateway VPN Gateway VPN basati su ISA o basati su ISA o RRAS di WindowsRRAS di Windows

Richiede Username/Password Richiede Username/Password per l’autenticazioneper l’autenticazioneMeno sicuro che L2TP su IPSecMeno sicuro che L2TP su IPSec

VPN Site-to-Site VPN Site-to-Site ConfigurazioneConfigurazione

Opzioni di Opzioni di ConfigurazioneConfigurazione SpiegazioneSpiegazione

Protocollo VPNProtocollo VPNScegliere il protocollo che si desidera usare Scegliere il protocollo che si desidera usare nella connessione tra siti remotinella connessione tra siti remoti

Server VPN remotoServer VPN remotoIndicare indirizzo IP o nome del Gateway Indicare indirizzo IP o nome del Gateway VPN nel sito remotoVPN nel sito remoto

Autenticazione RemotaAutenticazione RemotaInserire username/password da usare per Inserire username/password da usare per iniziare la connessione con il sito remotoiniziare la connessione con il sito remoto

Autenticazione Autenticazione L2TP/IPSecL2TP/IPSec

Se necessario, configurare una chiave Se necessario, configurare una chiave condivisa che sarà usata per autenticare il condivisa che sarà usata per autenticare il computer durante la creazione del tunnelcomputer durante la creazione del tunnel

Indirizzi di ReteIndirizzi di ReteConfigurare il range di indirizzi IP che Configurare il range di indirizzi IP che rappresenta tutti i computer nella rete rappresenta tutti i computer nella rete remotaremota

VPN Site-to-Site VPN Site-to-Site Regole di Rete e di AccessoRegole di Rete e di Accesso

Per abilitare il traffico attraverso una connessione VPN Site-to-Site:Per abilitare il traffico attraverso una connessione VPN Site-to-Site:

Sono abilitate due regole nelle System Policy: Allow VPN site-to-site traffic to ISA Server Allow VPN site-to-site traffic from ISA Server

Creare una regola di rete per le reti del sito remoto

Configurare una regola di accesso o di pubblicazione che consenta o restringa l’accesso alle reti

Per pieno accesso, consentire tutti i protocolli attraverso ISA

Per accessi limitati, configurare regole di accesso o di pubblicazione che definiscono il traffico ammesso

Sono abilitate due regole nelle System Policy: Allow VPN site-to-site traffic to ISA Server Allow VPN site-to-site traffic from ISA Server

Creare una regola di rete per le reti del sito remoto

Configurare una regola di accesso o di pubblicazione che consenta o restringa l’accesso alle reti

Per pieno accesso, consentire tutti i protocolli attraverso ISA

Per accessi limitati, configurare regole di accesso o di pubblicazione che definiscono il traffico ammesso

VPN Site-to-Site VPN Site-to-Site Configurazione del Gateway VPN remotoConfigurazione del Gateway VPN remoto

Per configurare il Gateway VPN Remoto:Per configurare il Gateway VPN Remoto:

Configurare il Gateway VPN remoto perché usi lo stesso protocollo di tunnelling

Configurare la connessione al sito principale

Configurare regole di routing che consentano o restringano il traffico tra i siti remoti

Configurare il Gateway VPN remoto perché usi lo stesso protocollo di tunnelling

Configurare la connessione al sito principale

Configurare regole di routing che consentano o restringano il traffico tra i siti remoti

VPN Site-to-Site VPN Site-to-Site Uso di IPSec Tunnel modeUso di IPSec Tunnel mode

Per configurare una VPN Site-to-Site con IPSec tunnel mode:Per configurare una VPN Site-to-Site con IPSec tunnel mode:

Configurare un indirizzo IP del Gateway locale VPN per l’ascolto di richieste di connessioni VPN

Configurere il Gateway VPN perché usi certificati o chiavi condivise per l’autenticazione

Configurere le impostazioni avanzate di IPSec per aumentare la sicurezza della VPN

Configurare un indirizzo IP del Gateway locale VPN per l’ascolto di richieste di connessioni VPN

Configurere il Gateway VPN perché usi certificati o chiavi condivise per l’autenticazione

Configurere le impostazioni avanzate di IPSec per aumentare la sicurezza della VPN

Demo: Demo: Configurazione di una Configurazione di una VPN Site-to-SiteVPN Site-to-Site

© 2003-2004 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Prossimi AppuntamentiProssimi Appuntamenti

2/11/04 17.00

ISA Server 2004 Accesso via VPN e Site-to-Site VPN

9/11/04 17.00

ISA Server 2004 Configurazione di una rete di Quarantena

25/11/04 17.00

ISA Server 2004 Pubblicazione di server

3/12/04 17.00

ISA Server 2004 Pubblicazione di server di posta

Di seguito trovate i prossimi appuntamenti legati alla sessione di oggi

Per ApprofondimentiPer Approfondimenti

http://www.microsoft.com/isaserverhttp://www.microsoft.com/isaserver http://www.microsoft.com/technethttp://www.microsoft.com/technet http://www.microsoft.com/italy/technethttp://www.microsoft.com/italy/technet MOC 2824A MOC 2824A http://www.isaserver.orghttp://www.isaserver.org