ISA Server 2004 Configurazione di Accessi via VPN

Slides:



Advertisements
Presentazioni simili
Amministrazione dei servizi di stampa. Sommario Introduzione ai servizi di stampa Introduzione ai servizi di stampa Terminologia della stampa Terminologia.
Advertisements

3/25/2017 3:51 AM TechNet Security Workshop per la PMI Come rendere sicura l'infrastruttura IT di una Piccola e Media Impresa Marco Agnoli Responsabile.
Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
Servizi integrati e completi per la piccola impresa Andrea Candian.
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
Giorgio Quaranta ISV Account Manager
Visual Studio Tools For Office 2005 Fabio Santini. NET Senior Developer Evangelist Microsoft Italy.
Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft.
Introduzione ad Active Directory
Consumare Web Service Andrea Saltarello
Fatti e misfatti dei protocolli di autenticazione LM, NTLM e Kerberos
La sicurezza delle reti Wireless
Configuring Network Access
Training Microsoft Visio Marzo, 2006
Sharepoint Gabriele Castellani
SSL/TLS.
| | Microsoft Certificate Lifecycle Manager.
Branch office update – SP2. Agenda Messa in esercizio degli uffici remoti Compressione HTTP Differentiated Services Cache di BITS.
Microsoft Message Management Services Infosecurity – Milano Febbraio 2005 Bruno Barbagli Sales Solution Specialist.
In aula Piergiorgio Malusardi IT Pro Evangelist
Distribuzione e gestione di reti ed uffici con PC basati su Windows XP
Windows Server 2003 Service Pack 1 Anteprima Tecnica.
L’offerta di prodotti di Sicurezza e la roadmap evolutiva
Amministratore di sistema di Educazione&Scuola
Sicurezza e Policy in Active Directory
Organizzazione di una rete Windows 2003
Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.
Laurea Triennale in Infermieristica
Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.
IEEE 802.1x (Port Based Network Access Control)
SEVER RAS.
Rete Wireless per Informatica Grafica
Commessa: HotSpot Wi-Fi
Il Client Windows98 Client nel dominio Windows 2000.
Test sul Cisco VPN Concentrator
La sicurezza può essere fornita in ciascuno degli strati: applicazione, trasporto, rete. Quando la sicurezza è fornita per uno specifico protocollo dello.
Supporto nativo e avvio da dischi VHD
Tecnologia VPN: gestire lo studio a distanza MARTISOFT SA Relatore: A. Arrigo – System Engineer – MARTISOFT SA.
Guida IIS 6 A cura di Nicola Del Re.
1 Modello di utilizzo n° 1 Login al sistema. 2 Accedere al sistema con autenticazione debole: PASSWORD ? PASSWORD scaduta ? La password è adeguata alle.
Network Access Protection (NAP): la soluzione di policy enforcement in Windows Server 2008 R2 PierGiorgio Malusardi IT Pro Evangelist Microsoft Italia.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Smau Security 2002 Reti wireless e telefonia tradizionale Il punto di vista.
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
Licenze Windows XP, Virtual PC, Office System e Project
Un problema importante
TechNet Security Workshop IV PierGiorgio Malusardi.
Configurazione di una rete Windows
IPSec Fabrizio Grossi.
Francesca Di Massimo Security Lead Microsoft Italia Catania 22 settembre 2006 La Strategia Microsoft per la sicurezza dei sistemi.
A cura di: Huber Roberto, Zaharulko Nicola, Debernardi Daniele.
Windows Server 2003 Integrazione di DNS in Strutture Esistenti PierGiorgio Malusardi – Microsoft.
Distribuzione controllata del software con Systems Management Server 2003 Fabrizio Grossi.
Certificati e VPN.
Extension pack per IIS7 Piergiorgio Malusardi IT Pro Evangelist
Reti di calcolatori e sicurezza “Configurare il web-server Apache” a cura di Luca Sozio.
Reti II Stefano Leonardi
Il giornalista del futuro Soluzioni innovative per lavorare ovunque Grand Hotel De La Minerve Roma, 30 settembre 2004.
Internetworking V anno.
Protocolli di rete. Sommario  Introduzione ai protocolli di rete  Il protocollo NetBEUI  Il protocollo AppleTalk  Il protocollo DLC  Il protocollo.
Corso "RouterOS in Pratica"
The Unified Threat Management Security Appliance Hystrix
 Cenni su switch e vlan  Layout fisico per la rete della cloud  Layout virtuale dei computing nodes  Layout virtuale del nerwork node  Riassunto.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Virtual Private Network SSL
Transcript della presentazione:

ISA Server 2004 Configurazione di Accessi via VPN PierGiorgio Malusardi – Microsoft

Agenda Virtual Private Networking: concetti di base Accesso di Client VPN Configurazione di una VPN Site-to-Site

Concetti di base

Cos’è una VPN? ISA Server Branch Office

Cos’è una VPN? ISA Server Branch Office

Cos’è una VPN? ISA Server Branch Office

Cos’è una VPN? ISA Server Branch Office

Protocolli VPN: Opzioni Fattori PPTP – vantaggi e svantaggi L2TP/IPSec – vantaggi e svantaggi Client supportati Windows 2000 Windows XP Windows Server 2003 Windows NT Workstation 4.0 Windows 98/ME Supporto ai Certificati Richiede un’infrastruttura di certificazione solo per l’autenticazione EAP-TLS Richiede un’infrastruttura di certificazione o una chiave condivisa Sicurezza Fornisce criptatura dei dati (MPPE) Non assicura l’integrità dei dati Fornisce: Criptatura dei dati Confidenzialità Mutua autenticazione, Protezione da ripetizione Supporto al NAT Per avere un client PPTP dietro un apparato NAT, questo deve fornire un editor per la traduzione NAT Per avere client o server dietro un NAT entrambi devono supportare IPSec NAT-T

Protocolli di Autenticazione VPN Considerazioni PAP Usa passwords in chiaro ed è il meno sicuro SPAP Usa un meccanismo di criptatura reversibile sviluppato da Shiva CHAP Richiede password salvate usando un criptatura reversibile Compatibile con client Macintosh e UNIX I dati non sono criptati MS-CHAP Le password possono essere salvate in modo NON reversibile C’è criptatura dei dati MS-CHAPv2 Esegue la mutua autenticazione client/server I dati sono criptati usando chiavi di sessione diverse per la ricezione e la trasmissione EAP-TLS È il protocollo di autenticazione remota più sicuro Supporta l’autenticazione multifattore

VPN Usando RRAS RRAS supporta: Politiche di accesso: definiscono le conessioni remote e i parametri di connessione Connection Manager: semplifica la configurazione dei client remoti Server RADIUS: usabili per l’autenticazione e la centralizzazione delle politiche di accesso Reti di Quarantena: per restringere le reti a cui i client possono accedere Packet filtering: per rendere sicure le connessioni VPN e le reti di quarantena

Demo: Configurazione di un Accesso via VPN su RRAS

VPN Usando ISA Server 2004 ISA Server supporta: Accesso VPN: per client singoli e per connessioni site-to-site per connettere molteplici siti Reti dedicate a client VPN: VPN Clients network Quarantined VPN Clients network Remote-site networks Limitazione del trafico: tra le reti VPN e le altre reti Estensioni alle funzionalità di RRAS

Benefici di ISA Server per VPN Connessioni Sicure ISA Server usa le politiche di accesso del per ispezionare e filtrare tutto il traffico dai client VPN Prestazioni ISA Server è ottimizzato per forzare richieste di sicurezza complesse sulle connessioni VPN Reti di Quarantena perWindows 2000 Le reti di quarantena non sono disponibili con RRAS di Windows 2000 ma possono essere abilitare con ISA Server 2004 su Windows 2000 Registrazione e controllo ISA Server può registrare tutte le connessioni VPN e controllare le connessioni VPN Stateful Inspection per IPSec tunnel-mode Abilita la stateful inspection per forzare il controllo degli accessi per user/group, siti, computer, protocolli e application sul traffico IPSec tunnel-mode Protezione Avanzata ISA Server stesso è protetto da politiche di accesso su firewall

Accesso di Client VPN

Accesso di Client VPN Abilitazione e Configurazione Usare user mapping per applicare le politiche di firewall ai client che non usano l’autenticazione Windows

Accesso di Client VPN Configurazione di Default Componenti Configurazione di Default System policy Le System policy consentono l’uso di PPTP, L2TP o entrambi se abilitati VPN access network ISA Server attende le connessioni di Client VPN solo sulla rete External Protocolli VPN Solo PPTP è abilitato per l’accesso di client VPN Regole di Rete Network È definita una relazione di Route tra la rete VPN Clients e la rete Internal È definita una relazione di NAT tra la rete VPN Clients e la rete External Regole di Accesso Nessuna regola di accesso è predefinita Politica di Accesso da Remoto La politica di accesso da remoto di default richiede l’autenticazione MS-CHAP v2

Accesso di Client VPN Assegnazione degli Indirizzi Configurare Server DNS e WINS usando DHCP o manualmente Configurare IP statici o via DHCP

Accesso di Client VPN Autenticazione Accettare la configurazione di default per l’autenticazione Configurare EAP per avere sicurezza maggiore Configurare i metodi meno sicuri solo per problemi di compatibilità

Accesso di Client VPN Autenticazione via RADIUS Abilitare RADIUS per autenticazione e accounting, quindi configurare un server RADIUS

Accesso di Client VPN Configurazione degli Account Utente Configurare i permessi per l’accesso via dial-in e VPN

Accesso di Client VPN Configurazione dei Client

Demo: Configurazione di un Accesso via VPN

Connessione VPN Site-to-Site

VPN Site-to-Site Configurazione dei Componenti Componente Configurazione Scelta di un Protocollo VPN Scegliere il protocollo più adatto in base alle necessità di sicurezza e ai gateway VPN Configurare una Rete di Sito Remoto La Rete del Sito Remoto include tutti gli indirizzi IP del Sito Remoto Configurare VPN l’accesso per i client L’accesso VPN per i Client deve essere abilitato per consentire la connessione del Sito Remoto Configurare le Regole di Rete e quelle di Accesso Usare le Regole di Accesso o di Pubblicazione per rendere disponibili le risorse interne agli utenti del sito remoto Configurare il gateway VPN del Sito Remoto Configurare il Server VPN del Sito Remoto per connettersi a ISA e per accettare connessioni da ISA

VPN Site-to-Site Scelta del Protocollo di Tunnelling Usare per Commenti IPSec Tunnel Mode Connettersi a Gateway VPN non-Microsoft Da usare solo per connessioni a gateway VPN non-Microsoft Richiede certificati o chiavi condivise L2TP su IPSec Connetersi a Gateway VPN basati su ISA o RRAS di Windows Richiede Username/Password e certificati o chiave condivisa per l’autenticazione PPTP Connettersi a Gateway VPN basati su ISA o RRAS di Windows Richiede Username/Password per l’autenticazione Meno sicuro che L2TP su IPSec

VPN Site-to-Site Configurazione Opzioni di Configurazione Spiegazione Protocollo VPN Scegliere il protocollo che si desidera usare nella connessione tra siti remoti Server VPN remoto Indicare indirizzo IP o nome del Gateway VPN nel sito remoto Autenticazione Remota Inserire username/password da usare per iniziare la connessione con il sito remoto Autenticazione L2TP/IPSec Se necessario, configurare una chiave condivisa che sarà usata per autenticare il computer durante la creazione del tunnel Indirizzi di Rete Configurare il range di indirizzi IP che rappresenta tutti i computer nella rete remota

VPN Site-to-Site Regole di Rete e di Accesso Per abilitare il traffico attraverso una connessione VPN Site-to-Site: Sono abilitate due regole nelle System Policy: Allow VPN site-to-site traffic to ISA Server Allow VPN site-to-site traffic from ISA Server Creare una regola di rete per le reti del sito remoto Configurare una regola di accesso o di pubblicazione che consenta o restringa l’accesso alle reti Per pieno accesso, consentire tutti i protocolli attraverso ISA Per accessi limitati, configurare regole di accesso o di pubblicazione che definiscono il traffico ammesso

VPN Site-to-Site Configurazione del Gateway VPN remoto Per configurare il Gateway VPN Remoto: Configurare il Gateway VPN remoto perché usi lo stesso protocollo di tunnelling Configurare la connessione al sito principale Configurare regole di routing che consentano o restringano il traffico tra i siti remoti

VPN Site-to-Site Uso di IPSec Tunnel mode Per configurare una VPN Site-to-Site con IPSec tunnel mode: Configurare un indirizzo IP del Gateway locale VPN per l’ascolto di richieste di connessioni VPN Configurere il Gateway VPN perché usi certificati o chiavi condivise per l’autenticazione Configurere le impostazioni avanzate di IPSec per aumentare la sicurezza della VPN

Demo: Configurazione di una VPN Site-to-Site

© 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Prossimi Appuntamenti Di seguito trovate i prossimi appuntamenti legati alla sessione di oggi 2/11/04 17.00 ISA Server 2004 Accesso via VPN e Site-to-Site VPN 9/11/04 17.00 Configurazione di una rete di Quarantena 25/11/04 17.00 Pubblicazione di server 3/12/04 17.00 Pubblicazione di server di posta

Per Approfondimenti http://www.microsoft.com/isaserver http://www.microsoft.com/technet http://www.microsoft.com/italy/technet MOC 2824A http://www.isaserver.org