StrategieStrategie didi protezioneprotezione applicateapplicate

Fabrizio GrossiFabrizio Grossi

AgendaAgenda

IntroduzioneIntroduzione Strategie per l'accesso remoto in un Strategie per l'accesso remoto in un

ambiente realeambiente reale Risoluzione dei problemi relativi alle Risoluzione dei problemi relativi alle

configurazioni di protezioneconfigurazioni di protezione

AgendaAgenda

IntroduzioneIntroduzione Strategie di accesso remoto in un Strategie di accesso remoto in un

ambiente realeambiente reale Risoluzione dei problemi relativi alle Risoluzione dei problemi relativi alle

configurazioni di protezioneconfigurazioni di protezione

VPNVPN ee firewallfirewall

CombinazioneCombinazione didi unun firewallfirewall concon unun serverserver VPNVPN

Server RAS dietro al firewall

Client VPN

Server RAS

Server RAS e firewall sullo stesso computer

Client VPN Server RAS

ServerServer VPNVPN dietrodietro aa unun firewallfirewall

Problema:Problema: consentireconsentire sulsul firewallfirewall ilil passaggiopassaggio deldel trafficotraffico inin ingressoingresso nelnel serverserver VPNVPN

Problema: ispezione statoProblema: ispezione stato

Traffico Porte e protocolli

Sessione PPTP Porta TCP 1723

Sessione PPTP Protocollo IP 47 (GRE)

IPSec IKE Porta UDP 500

IPSec ESP Protocollo IP 50 (IPSec ESP)

UtilizzoUtilizzo didi ISAISA ServerServer comecome serverserver VPNVPN ee firewallfirewall

Funzionalità di ISA Server Descrizione

Soluzione integrata

Fornisce un firewall al livello dell'applicazione e un server proxy

Utilizza RRAS per fornire servizi VPN

Fornisce opzioni di autenticazione avanzate

Consente di scegliere il protocollo PPTP o L2TP/IPSec

Filtro dei pacchetti Consente di proteggere il server VPN

Procedure guidate Consentono di effettuare la configurazione in modo semplice per evitare errori

ProblemiProblemi relativirelativi all'utilizzoall'utilizzo didi IPSecIPSec ee NATNAT L'intestazioneL'intestazione deidei pacchettipacchetti vieneviene modificata,modificata,

rendendorendendo talitali pacchettipacchetti nonnon piùpiù validivalidi IKE utilizza i frammenti IPIKE utilizza i frammenti IP Le periferiche NAT acquisiscono la modalità tunnelLe periferiche NAT acquisiscono la modalità tunnel

Int. NAT1

Int. NAT1

Int. NAT2

NATNAT NATNAT

Int. IP orig. Int. TCP Dati

Int. IP orig. Int. TCP DatiInt. AH

Inserimento

Int. NAT1

Int. NAT2

ContengonoContengono unun hashhash crittografatocrittografato dell'intestazionedell'intestazione deldel pacchettopacchetto originaleoriginale

ModelloModello didi soluzionesoluzione

LaLa bozzabozza IETFIETF relativarelativa aa NATNAT TraversalTraversal (NAT-T)(NAT-T) prevedeprevede cheche lele perifericheperiferiche susu entrambeentrambe lele estremitàestremità debbano:debbano: Rilevare la presenza di NATRilevare la presenza di NAT Utilizzare una porta non IPSec per evitare Utilizzare una porta non IPSec per evitare

che le periferiche NAT interferiscano con il che le periferiche NAT interferiscano con il traffico di retetraffico di rete

Incapsulare IPSec in UDPIncapsulare IPSec in UDP

Inoltre, la soluzione Microsoft impedisce Inoltre, la soluzione Microsoft impedisce la creazione di frammenti IPla creazione di frammenti IP

FunzionamentoFunzionamento didi NAT-TNAT-T

NATNAT NATNAT

Int. IP orig. Int. TCP Dati

Int. IP orig. Int. TCP DatiInt. ESP

Inserimento

Int. IP orig. Resto…Int. ESPUDP src 4500, dst 4500

Inserimento

InviatoInviato dada AA

RicevutoRicevuto dada BBInt. IP orig. Resto…Int. ESPUDP src XXX, dst 4500Int. N

AT1

Int. NAT2

ProblemiProblemi didi interoperabilitàinteroperabilità

IlIl clientclient VPNVPN ee ilil serverserver VPNVPN devonodevono supportaresupportare NAT-TNAT-T Eventuali problemi con periferiche di Eventuali problemi con periferiche di

terze partiterze parti Aumento progressivo del livello di Aumento progressivo del livello di

interoperabilitàinteroperabilità

Le periferiche NAT non devono essere Le periferiche NAT non devono essere sottoposte a modifichesottoposte a modifiche

Supporto firewallSupporto firewall Consentire il traffico dalla porta UDP 4500Consentire il traffico dalla porta UDP 4500 Consentire il traffico dalla porta UDP 500Consentire il traffico dalla porta UDP 500

StatoStato didi NAT-TNAT-T perper WindowsWindows ImplementatoImplementato nellonello standardstandard propostoproposto dada IETFIETF Test di interoperabilità eseguito con gateway per L2TP/IPSec di Test di interoperabilità eseguito con gateway per L2TP/IPSec di

terze partiterze parti Destinato a L2TP/IPSec in Windows XP e versioni precedentiDestinato a L2TP/IPSec in Windows XP e versioni precedenti Destinato a tutti gli utilizzi di IPSec in Windows Server 2003Destinato a tutti gli utilizzi di IPSec in Windows Server 2003

Versione sistema operativo

Supporto L2TP/IPSec

Supporto modalità di trasporto IPSec generale

Windows Server 2003 Sì Sì4

Windows XP Sì1 Non consigliato5

Windows 2000 Sì2 No

Windows NT 4 Sì3 No

Windows 98/Me Sì3 No

Nota 1: Windows Update o aggiornamento rapidoNota 2: con aggiornamento rapidoNota 3: con download Web

Nota 4: Active FTP non funzionaNota 5: alcune riduzioni PTMU non funzionano

ImposizioneImposizione delladella protezioneprotezione deidei clientclient didi accessoaccesso remotoremoto Problema:Problema:

È possibile che i client remoti non soddisfino i È possibile che i client remoti non soddisfino i requisiti di protezione aziendalerequisiti di protezione aziendale

Le presenza di computer non protetti nella rete Le presenza di computer non protetti nella rete aziendale compromette la sicurezza dell'intera reteaziendale compromette la sicurezza dell'intera rete

Soluzioni:Soluzioni: Non consentire l'accesso remotoNon consentire l'accesso remoto Considerare attendibili gli utenti per mantenere Considerare attendibili gli utenti per mantenere

protetti i client remotiprotetti i client remoti Creare una rete separata per i client VPNCreare una rete separata per i client VPN Imporre le impostazioni di protezione al momento Imporre le impostazioni di protezione al momento

della connessionedella connessione Disconnettere i client non protetti: Disconnettere i client non protetti:

Network Access Quarantine ControlNetwork Access Quarantine Control

DefinizioneDefinizione didi NetworkNetwork AccessAccess QuarantineQuarantine ControlControl

Il client RAS ottiene l'accesso completo

alla rete

Il client RAS soddisfa i criteri della quarantena

Il client RAS viene messo in

quarantena

Il client di accesso remoto

esegue l'autenticazione

1. Timeout della quarantena

2. Errore del client RAS durante la verifica dei criteri

Il client RAS viene

disconnesso

RequisitiRequisiti delladella quarantenaquarantena

IntranetInternet

Client RAS con CM

Server RRAS Windows Server 2003

Server IAS Windows Server 2003

Controller di dominio Active DirectoryRisorse in

quarantena

Criterio di accesso remoto Inoltre,Inoltre, sonosono necessarinecessari RQC.exeRQC.exe ee

RQS.exeRQS.exe disponibilidisponibili nelnel ResourceResource KitKit didi WindowsWindows ServerServer 20032003

ProcessoProcesso didi quarantenaquarantena

Internet

Quarantena

Client RAS Server RRAS Server IAS

ConnessioneConnessione

AutenticazioneAutenticazione

RisultatoRisultato verificaverifica deidei critericriteri

AccessoAccesso quarantenaquarantena

AccessoAccesso completocompleto

AutorizzazioneAutorizzazionedelladella quarantenaquarantenaee didi altrialtri filtrifiltri

RimozioneRimozione quarantenaquarantena

LimitiLimiti didi NetworkNetwork AccessAccess QuarantineQuarantine ControlControl LaLa quarantenaquarantena dipendedipende dalledalle impostazioniimpostazioni

cheche èè possibilepossibile controllarecontrollare utilizzandoutilizzando scriptscript La quarantena dipende dallo scripting sul La quarantena dipende dallo scripting sul

lato clientlato client È possibile per un utente malintenzionato È possibile per un utente malintenzionato

eludere la quarantenaeludere la quarantena Gli utenti devono disporre di un metodo per Gli utenti devono disporre di un metodo per

conformarsi ai requisiticonformarsi ai requisiti Metodi per l'applicazione di aggiornamentiMetodi per l'applicazione di aggiornamenti Punto di installazione esterno per il software Punto di installazione esterno per il software

antivirusantivirus La quarantena è limitata alle connessioni La quarantena è limitata alle connessioni

remote e VPNremote e VPN

SuggerimentiSuggerimenti perper NetworkNetwork AccessAccess QuarantineQuarantine ControlControl AvvioAvvio concon ilil ResourceResource KitKit didi WindowsWindows

ServerServer 20032003 Utilizzo di Connection ManagerUtilizzo di Connection Manager Creazione di profili alternativi per Creazione di profili alternativi per

ambienti differentiambienti differenti Pianificazione delle risorse di quarantenaPianificazione delle risorse di quarantena Riduzione del ritardo per l'esecuzione Riduzione del ritardo per l'esecuzione

delle applicazionidelle applicazioni

DimostrazioneDimostrazione 44 ConfigurazioneConfigurazione delladella

quarantenaquarantena didi reterete

Installazione,Installazione, configurazioneconfigurazione ee testtest delladella quarantenaquarantena didi reterete

AgendaAgenda

IntroduzioneIntroduzione Strategie di accesso remoto in un Strategie di accesso remoto in un

ambiente realeambiente reale Risoluzione dei problemi relativi alle Risoluzione dei problemi relativi alle

configurazioni di protezioneconfigurazioni di protezione

RisoluzioneRisoluzione deidei conflitticonflitti relativirelativi aiai modellimodelli didi protezioneprotezione UtilizzoUtilizzo deglidegli strumentistrumenti GruppoGruppo didi critericriteri

risultanterisultante (RSoP)(RSoP) Strumenti di gestione di Active DirectoryStrumenti di gestione di Active Directory RSoP dalla console GPMCRSoP dalla console GPMC GPResultGPResult

RisoluzioneRisoluzione deidei problemiproblemi relativirelativi agliagli errorierrori delledelle applicazioniapplicazioni L'applicazioneL'applicazione delledelle patchpatch oo deidei modellimodelli didi

protezioneprotezione puòpuò impedireimpedire ilil funzionamentofunzionamento delledelle applicazioniapplicazioni

Strumenti per la risoluzione dei problemi Strumenti per la risoluzione dei problemi relativi agli errori delle applicazionirelativi agli errori delle applicazioni Network MonitorNetwork Monitor File MonitorFile Monitor Registry MonitorRegistry Monitor Dependency WalkerDependency Walker CipherCipher

RisoluzioneRisoluzione deidei problemiproblemi relativirelativi aiai serviziservizi ee aiai processiprocessi PuòPuò essereessere necessarionecessario procedereprocedere allaalla

risoluzionerisoluzione deidei problemiproblemi relativirelativi aiai servizi:servizi: Quando si verifica un errore durante l'avvio dei Quando si verifica un errore durante l'avvio dei

servizi e dei processiservizi e dei processi Per confermare che tutti i servizi e i processi Per confermare che tutti i servizi e i processi

provengono da fonti sicureprovengono da fonti sicure

Strumenti utili per la risoluzione dei Strumenti utili per la risoluzione dei problemi relativi ai processi:problemi relativi ai processi: Tlist.exe o Process ExplorerTlist.exe o Process Explorer Dependency WalkerDependency Walker Esame delle proprietà delle DLLEsame delle proprietà delle DLL

RisoluzioneRisoluzione deidei problemiproblemi relativirelativi allealle connessioniconnessioni didi reterete

VerificareVerificare cheche sianosiano aperteaperte suisui computercomputer soltantosoltanto lele porteporte necessarienecessarie

Strumenti per determinare l'utilizzo Strumenti per determinare l'utilizzo delle porte:delle porte: Netstat –o (in Windows XP o Windows Netstat –o (in Windows XP o Windows

Server 2003)Server 2003) Task ManagerTask Manager Verificare l'utilizzo delle porte per le Verificare l'utilizzo delle porte per le

applicazioni e i serviziapplicazioni e i servizi

RiepilogoRiepilogo delladella sessionesessione

StrategieStrategie didi gestionegestione delledelle patchpatch inin unun ambienteambiente realereale

Strategie di accesso remoto in un Strategie di accesso remoto in un ambiente realeambiente reale

Risoluzione dei problemi relativi alle Risoluzione dei problemi relativi alle configurazioni di protezioneconfigurazioni di protezione

FasiFasi successivesuccessive1.1. PerPer informazioniinformazioni sempresempre aggiornateaggiornate sullasulla

protezioneprotezione Abbonarsi ai bollettini sulla sicurezza all'indirizzo:Abbonarsi ai bollettini sulla sicurezza all'indirizzo:

http://www.microsoft.com/security/security_bulletins/alerts2.asp http://www.microsoft.com/security/security_bulletins/alerts2.asp (in lingua inglese)(in lingua inglese)

1.1. Ottenere istruzioni aggiornate sulla protezione Ottenere istruzioni aggiornate sulla protezione Microsoft all'indirizzo:Microsoft all'indirizzo:http://www.microsoft.com/italy/security/guidance/default.mspxhttp://www.microsoft.com/italy/security/guidance/default.mspx

2.2. Per l'accesso a materiale di formazione Per l'accesso a materiale di formazione aggiuntivo sulla protezioneaggiuntivo sulla protezione1.1. Cercare seminari di formazione in linea e con istruttore Cercare seminari di formazione in linea e con istruttore

all'indirizzo:all'indirizzo:http://www.microsoft.com/seminar/events/security.mspx http://www.microsoft.com/seminar/events/security.mspx (in lingua inglese)(in lingua inglese)

1.1. Cercare un CTEC di zona per corsi di formazione Cercare un CTEC di zona per corsi di formazione pratica all'indirizzo:pratica all'indirizzo:http://www.microsoft.com/italy/traincert/Default.mspxhttp://www.microsoft.com/italy/traincert/Default.mspx

UlterioriUlteriori informazioniinformazioni SitoSito MicrosoftMicrosoft dedicatodedicato allaalla protezioneprotezione

(per(per tuttitutti gligli utenti)utenti) http://www.microsoft.com/italy/security/http://www.microsoft.com/italy/security/

Sito TechNet dedicato alla protezione Sito TechNet dedicato alla protezione (per professionisti IT)(per professionisti IT) http://www.microsoft.com/italy/technet/http://www.microsoft.com/italy/technet/

sicurezza.aspsicurezza.asp

Sito MSDN dedicato alla protezione Sito MSDN dedicato alla protezione (per sviluppatori)(per sviluppatori) http://msdn.microsoft.com/security http://msdn.microsoft.com/security

(in lingua inglese)(in lingua inglese)