Upload
antonino-romeo
View
230
Download
3
Embed Size (px)
Citation preview
StrategieStrategie didi protezioneprotezione applicateapplicate
Fabrizio GrossiFabrizio Grossi
AgendaAgenda
IntroduzioneIntroduzione Strategie per l'accesso remoto in un Strategie per l'accesso remoto in un
ambiente realeambiente reale Risoluzione dei problemi relativi alle Risoluzione dei problemi relativi alle
configurazioni di protezioneconfigurazioni di protezione
AgendaAgenda
IntroduzioneIntroduzione Strategie di accesso remoto in un Strategie di accesso remoto in un
ambiente realeambiente reale Risoluzione dei problemi relativi alle Risoluzione dei problemi relativi alle
configurazioni di protezioneconfigurazioni di protezione
VPNVPN ee firewallfirewall
CombinazioneCombinazione didi unun firewallfirewall concon unun serverserver VPNVPN
Server RAS dietro al firewall
Client VPN
Server RAS
Server RAS e firewall sullo stesso computer
Client VPN Server RAS
ServerServer VPNVPN dietrodietro aa unun firewallfirewall
Problema:Problema: consentireconsentire sulsul firewallfirewall ilil passaggiopassaggio deldel trafficotraffico inin ingressoingresso nelnel serverserver VPNVPN
Problema: ispezione statoProblema: ispezione stato
Traffico Porte e protocolli
Sessione PPTP Porta TCP 1723
Sessione PPTP Protocollo IP 47 (GRE)
IPSec IKE Porta UDP 500
IPSec ESP Protocollo IP 50 (IPSec ESP)
UtilizzoUtilizzo didi ISAISA ServerServer comecome serverserver VPNVPN ee firewallfirewall
Funzionalità di ISA Server Descrizione
Soluzione integrata
Fornisce un firewall al livello dell'applicazione e un server proxy
Utilizza RRAS per fornire servizi VPN
Fornisce opzioni di autenticazione avanzate
Consente di scegliere il protocollo PPTP o L2TP/IPSec
Filtro dei pacchetti Consente di proteggere il server VPN
Procedure guidate Consentono di effettuare la configurazione in modo semplice per evitare errori
ProblemiProblemi relativirelativi all'utilizzoall'utilizzo didi IPSecIPSec ee NATNAT L'intestazioneL'intestazione deidei pacchettipacchetti vieneviene modificata,modificata,
rendendorendendo talitali pacchettipacchetti nonnon piùpiù validivalidi IKE utilizza i frammenti IPIKE utilizza i frammenti IP Le periferiche NAT acquisiscono la modalità tunnelLe periferiche NAT acquisiscono la modalità tunnel
Int. NAT1
Int. NAT1
Int. NAT2
NATNAT NATNAT
Int. IP orig. Int. TCP Dati
Int. IP orig. Int. TCP DatiInt. AH
Inserimento
Int. NAT1
Int. NAT2
ContengonoContengono unun hashhash crittografatocrittografato dell'intestazionedell'intestazione deldel pacchettopacchetto originaleoriginale
ModelloModello didi soluzionesoluzione
LaLa bozzabozza IETFIETF relativarelativa aa NATNAT TraversalTraversal (NAT-T)(NAT-T) prevedeprevede cheche lele perifericheperiferiche susu entrambeentrambe lele estremitàestremità debbano:debbano: Rilevare la presenza di NATRilevare la presenza di NAT Utilizzare una porta non IPSec per evitare Utilizzare una porta non IPSec per evitare
che le periferiche NAT interferiscano con il che le periferiche NAT interferiscano con il traffico di retetraffico di rete
Incapsulare IPSec in UDPIncapsulare IPSec in UDP
Inoltre, la soluzione Microsoft impedisce Inoltre, la soluzione Microsoft impedisce la creazione di frammenti IPla creazione di frammenti IP
FunzionamentoFunzionamento didi NAT-TNAT-T
NATNAT NATNAT
Int. IP orig. Int. TCP Dati
Int. IP orig. Int. TCP DatiInt. ESP
Inserimento
Int. IP orig. Resto…Int. ESPUDP src 4500, dst 4500
Inserimento
InviatoInviato dada AA
RicevutoRicevuto dada BBInt. IP orig. Resto…Int. ESPUDP src XXX, dst 4500Int. N
AT1
Int. NAT2
ProblemiProblemi didi interoperabilitàinteroperabilità
IlIl clientclient VPNVPN ee ilil serverserver VPNVPN devonodevono supportaresupportare NAT-TNAT-T Eventuali problemi con periferiche di Eventuali problemi con periferiche di
terze partiterze parti Aumento progressivo del livello di Aumento progressivo del livello di
interoperabilitàinteroperabilità
Le periferiche NAT non devono essere Le periferiche NAT non devono essere sottoposte a modifichesottoposte a modifiche
Supporto firewallSupporto firewall Consentire il traffico dalla porta UDP 4500Consentire il traffico dalla porta UDP 4500 Consentire il traffico dalla porta UDP 500Consentire il traffico dalla porta UDP 500
StatoStato didi NAT-TNAT-T perper WindowsWindows ImplementatoImplementato nellonello standardstandard propostoproposto dada IETFIETF Test di interoperabilità eseguito con gateway per L2TP/IPSec di Test di interoperabilità eseguito con gateway per L2TP/IPSec di
terze partiterze parti Destinato a L2TP/IPSec in Windows XP e versioni precedentiDestinato a L2TP/IPSec in Windows XP e versioni precedenti Destinato a tutti gli utilizzi di IPSec in Windows Server 2003Destinato a tutti gli utilizzi di IPSec in Windows Server 2003
Versione sistema operativo
Supporto L2TP/IPSec
Supporto modalità di trasporto IPSec generale
Windows Server 2003 Sì Sì4
Windows XP Sì1 Non consigliato5
Windows 2000 Sì2 No
Windows NT 4 Sì3 No
Windows 98/Me Sì3 No
Nota 1: Windows Update o aggiornamento rapidoNota 2: con aggiornamento rapidoNota 3: con download Web
Nota 4: Active FTP non funzionaNota 5: alcune riduzioni PTMU non funzionano
ImposizioneImposizione delladella protezioneprotezione deidei clientclient didi accessoaccesso remotoremoto Problema:Problema:
È possibile che i client remoti non soddisfino i È possibile che i client remoti non soddisfino i requisiti di protezione aziendalerequisiti di protezione aziendale
Le presenza di computer non protetti nella rete Le presenza di computer non protetti nella rete aziendale compromette la sicurezza dell'intera reteaziendale compromette la sicurezza dell'intera rete
Soluzioni:Soluzioni: Non consentire l'accesso remotoNon consentire l'accesso remoto Considerare attendibili gli utenti per mantenere Considerare attendibili gli utenti per mantenere
protetti i client remotiprotetti i client remoti Creare una rete separata per i client VPNCreare una rete separata per i client VPN Imporre le impostazioni di protezione al momento Imporre le impostazioni di protezione al momento
della connessionedella connessione Disconnettere i client non protetti: Disconnettere i client non protetti:
Network Access Quarantine ControlNetwork Access Quarantine Control
DefinizioneDefinizione didi NetworkNetwork AccessAccess QuarantineQuarantine ControlControl
Il client RAS ottiene l'accesso completo
alla rete
Il client RAS soddisfa i criteri della quarantena
Il client RAS viene messo in
quarantena
Il client di accesso remoto
esegue l'autenticazione
1. Timeout della quarantena
2. Errore del client RAS durante la verifica dei criteri
Il client RAS viene
disconnesso
RequisitiRequisiti delladella quarantenaquarantena
IntranetInternet
Client RAS con CM
Server RRAS Windows Server 2003
Server IAS Windows Server 2003
Controller di dominio Active DirectoryRisorse in
quarantena
Criterio di accesso remoto Inoltre,Inoltre, sonosono necessarinecessari RQC.exeRQC.exe ee
RQS.exeRQS.exe disponibilidisponibili nelnel ResourceResource KitKit didi WindowsWindows ServerServer 20032003
ProcessoProcesso didi quarantenaquarantena
Internet
Quarantena
Client RAS Server RRAS Server IAS
ConnessioneConnessione
AutenticazioneAutenticazione
RisultatoRisultato verificaverifica deidei critericriteri
AccessoAccesso quarantenaquarantena
AccessoAccesso completocompleto
AutorizzazioneAutorizzazionedelladella quarantenaquarantenaee didi altrialtri filtrifiltri
RimozioneRimozione quarantenaquarantena
LimitiLimiti didi NetworkNetwork AccessAccess QuarantineQuarantine ControlControl LaLa quarantenaquarantena dipendedipende dalledalle impostazioniimpostazioni
cheche èè possibilepossibile controllarecontrollare utilizzandoutilizzando scriptscript La quarantena dipende dallo scripting sul La quarantena dipende dallo scripting sul
lato clientlato client È possibile per un utente malintenzionato È possibile per un utente malintenzionato
eludere la quarantenaeludere la quarantena Gli utenti devono disporre di un metodo per Gli utenti devono disporre di un metodo per
conformarsi ai requisiticonformarsi ai requisiti Metodi per l'applicazione di aggiornamentiMetodi per l'applicazione di aggiornamenti Punto di installazione esterno per il software Punto di installazione esterno per il software
antivirusantivirus La quarantena è limitata alle connessioni La quarantena è limitata alle connessioni
remote e VPNremote e VPN
SuggerimentiSuggerimenti perper NetworkNetwork AccessAccess QuarantineQuarantine ControlControl AvvioAvvio concon ilil ResourceResource KitKit didi WindowsWindows
ServerServer 20032003 Utilizzo di Connection ManagerUtilizzo di Connection Manager Creazione di profili alternativi per Creazione di profili alternativi per
ambienti differentiambienti differenti Pianificazione delle risorse di quarantenaPianificazione delle risorse di quarantena Riduzione del ritardo per l'esecuzione Riduzione del ritardo per l'esecuzione
delle applicazionidelle applicazioni
DimostrazioneDimostrazione 44 ConfigurazioneConfigurazione delladella
quarantenaquarantena didi reterete
Installazione,Installazione, configurazioneconfigurazione ee testtest delladella quarantenaquarantena didi reterete
AgendaAgenda
IntroduzioneIntroduzione Strategie di accesso remoto in un Strategie di accesso remoto in un
ambiente realeambiente reale Risoluzione dei problemi relativi alle Risoluzione dei problemi relativi alle
configurazioni di protezioneconfigurazioni di protezione
RisoluzioneRisoluzione deidei conflitticonflitti relativirelativi aiai modellimodelli didi protezioneprotezione UtilizzoUtilizzo deglidegli strumentistrumenti GruppoGruppo didi critericriteri
risultanterisultante (RSoP)(RSoP) Strumenti di gestione di Active DirectoryStrumenti di gestione di Active Directory RSoP dalla console GPMCRSoP dalla console GPMC GPResultGPResult
RisoluzioneRisoluzione deidei problemiproblemi relativirelativi agliagli errorierrori delledelle applicazioniapplicazioni L'applicazioneL'applicazione delledelle patchpatch oo deidei modellimodelli didi
protezioneprotezione puòpuò impedireimpedire ilil funzionamentofunzionamento delledelle applicazioniapplicazioni
Strumenti per la risoluzione dei problemi Strumenti per la risoluzione dei problemi relativi agli errori delle applicazionirelativi agli errori delle applicazioni Network MonitorNetwork Monitor File MonitorFile Monitor Registry MonitorRegistry Monitor Dependency WalkerDependency Walker CipherCipher
RisoluzioneRisoluzione deidei problemiproblemi relativirelativi aiai serviziservizi ee aiai processiprocessi PuòPuò essereessere necessarionecessario procedereprocedere allaalla
risoluzionerisoluzione deidei problemiproblemi relativirelativi aiai servizi:servizi: Quando si verifica un errore durante l'avvio dei Quando si verifica un errore durante l'avvio dei
servizi e dei processiservizi e dei processi Per confermare che tutti i servizi e i processi Per confermare che tutti i servizi e i processi
provengono da fonti sicureprovengono da fonti sicure
Strumenti utili per la risoluzione dei Strumenti utili per la risoluzione dei problemi relativi ai processi:problemi relativi ai processi: Tlist.exe o Process ExplorerTlist.exe o Process Explorer Dependency WalkerDependency Walker Esame delle proprietà delle DLLEsame delle proprietà delle DLL
RisoluzioneRisoluzione deidei problemiproblemi relativirelativi allealle connessioniconnessioni didi reterete
VerificareVerificare cheche sianosiano aperteaperte suisui computercomputer soltantosoltanto lele porteporte necessarienecessarie
Strumenti per determinare l'utilizzo Strumenti per determinare l'utilizzo delle porte:delle porte: Netstat –o (in Windows XP o Windows Netstat –o (in Windows XP o Windows
Server 2003)Server 2003) Task ManagerTask Manager Verificare l'utilizzo delle porte per le Verificare l'utilizzo delle porte per le
applicazioni e i serviziapplicazioni e i servizi
RiepilogoRiepilogo delladella sessionesessione
StrategieStrategie didi gestionegestione delledelle patchpatch inin unun ambienteambiente realereale
Strategie di accesso remoto in un Strategie di accesso remoto in un ambiente realeambiente reale
Risoluzione dei problemi relativi alle Risoluzione dei problemi relativi alle configurazioni di protezioneconfigurazioni di protezione
FasiFasi successivesuccessive1.1. PerPer informazioniinformazioni sempresempre aggiornateaggiornate sullasulla
protezioneprotezione Abbonarsi ai bollettini sulla sicurezza all'indirizzo:Abbonarsi ai bollettini sulla sicurezza all'indirizzo:
http://www.microsoft.com/security/security_bulletins/alerts2.asp http://www.microsoft.com/security/security_bulletins/alerts2.asp (in lingua inglese)(in lingua inglese)
1.1. Ottenere istruzioni aggiornate sulla protezione Ottenere istruzioni aggiornate sulla protezione Microsoft all'indirizzo:Microsoft all'indirizzo:http://www.microsoft.com/italy/security/guidance/default.mspxhttp://www.microsoft.com/italy/security/guidance/default.mspx
2.2. Per l'accesso a materiale di formazione Per l'accesso a materiale di formazione aggiuntivo sulla protezioneaggiuntivo sulla protezione1.1. Cercare seminari di formazione in linea e con istruttore Cercare seminari di formazione in linea e con istruttore
all'indirizzo:all'indirizzo:http://www.microsoft.com/seminar/events/security.mspx http://www.microsoft.com/seminar/events/security.mspx (in lingua inglese)(in lingua inglese)
1.1. Cercare un CTEC di zona per corsi di formazione Cercare un CTEC di zona per corsi di formazione pratica all'indirizzo:pratica all'indirizzo:http://www.microsoft.com/italy/traincert/Default.mspxhttp://www.microsoft.com/italy/traincert/Default.mspx
UlterioriUlteriori informazioniinformazioni SitoSito MicrosoftMicrosoft dedicatodedicato allaalla protezioneprotezione
(per(per tuttitutti gligli utenti)utenti) http://www.microsoft.com/italy/security/http://www.microsoft.com/italy/security/
Sito TechNet dedicato alla protezione Sito TechNet dedicato alla protezione (per professionisti IT)(per professionisti IT) http://www.microsoft.com/italy/technet/http://www.microsoft.com/italy/technet/
sicurezza.aspsicurezza.asp
Sito MSDN dedicato alla protezione Sito MSDN dedicato alla protezione (per sviluppatori)(per sviluppatori) http://msdn.microsoft.com/security http://msdn.microsoft.com/security
(in lingua inglese)(in lingua inglese)