Guida alla pianificazione dell'implementazione di servizi di quarantena con la rete privata virtuale Microsoft

Capitolo 2 - Strategie di connessione VPN in quarantena

Aggiornato: 24 maggio 2005

In questa pagina

Introduzione Informazioni generali sulla connessione VPN in quarantena Componenti client Componenti server Requisiti di rete

Introduzione

Le connessioni di accesso remoto VPN (rete privata virtuale) rappresentano una tecnologia sempre più affidabile, tuttavia l'applicazione della quarantena alle connessioni VPN è un concetto più recente. In questo capitolo vengono presentati gli elementi che garantiscono servizi di connessione VPN in quarantena, ovvero:

  • Componenti basati su client

  • Componenti basati su server

  • Componenti di rete

Nota: Microsoft® Windows Server™ 2003 con Service Pack 1 (SP1) include un'implementazione della connessione VPN in quarantena supportata. Benché Microsoft Internet Security and Acceleration (ISA) Server 2004 offra anche il controllo di connessione VPN in quarantena, il servizio di supporto tecnico Microsoft attualmente non supporta in modo completo tale implementazione del controllo di connessione VPN in quarantena.

Inizio pagina

Informazioni generali sulla connessione VPN in quarantena

Le tecnologie VPN consentono agli utenti di accedere a una rete privata tramite connessioni autenticate e protette eseguite su servizi di rete pubblici quali Internet. Queste connessioni utilizzano un protocollo di tunneling che sigilla (crittografa) digitalmente tutti i pacchetti prima di eseguirne il routing sulla rete pubblica. I dettagli di questo processo variano in base al meccanismo VPN utilizzato. La rete di destinazione riceve i pacchetti e li decrittografa. Il computer client opera come se disponesse di una semplice connessione diretta alla rete privata.

La connessione VPN in quarantena agisce in modo da ritardare la connettività completa alla rete privata mentre viene esaminata e convalidata la configurazione del computer di accesso remoto in base agli standard aziendali. Se il computer che stabilisce la connessione non risulta conforme ai criteri aziendali, il processo di quarantena potrà installare Service Pack, aggiornamenti della protezione e definizioni di virus prima di consentire al computer di stabilire la connessione ad altre risorse di rete. Poiché la connessione VPN in quarantena si basa sui controlli eseguiti dal client, eventuali utenti malintenzionati potrebbero aggirare i controlli del computer. La connessione VPN in quarantena non è progettata per proteggere la rete da utenti malintenzionati determinati, tuttavia consente di bloccare utenti autorizzati che per errore dispongono di computer non conformi ai requisiti di configurazione dei computer dell'organizzazione.

Nota: la connessione VPN in quarantena non garantisce una soluzione di protezione completa, ma consente di evitare la connessione di computer con configurazioni non sicure a una rete privata. In ogni caso, la connessione VPN in quarantena non protegge le reti private da utenti malintenzionati che dispongono di un set di credenziali valido e che eseguono l'accesso utilizzando computer che risultano conformi ai criteri di integrità dei computer dell'organizzazione. La connessione VPN in quarantena, inoltre, non garantisce alcuna protezione contro eventuali utenti autorizzati che si connettono con computer che soddisfano i requisiti di protezione e quindi decidono di eseguire attacchi dannosi.

L'implementazione della connessione VPN in quarantena richiede i componenti seguenti:

  • Client di accesso remoto compatibili con la quarantena

  • Server di accesso remoto compatibili con la quarantena

  • Server RADIUS (Remote Authentication Dial-in User Service) compatibile con la quarantena (facoltativo)

  • Risorse di quarantena

  • Database di account

  • Criteri di accesso remoto in quarantena

In questa sezione viene illustrato come i componenti sopra riportati interagiscono per offrire la soluzione di connessione VPN in quarantena

Nota: benché le soluzioni di connessione VPN in quarantena possano utilizzare sia l'autenticazione RADIUS che Windows, l'autenticazione RADIUS rappresenta il metodo preferito. Nella sezione relativa alla modalità di implementazione di un Servizio autenticazione Internet (IAS), più avanti in questo capitolo, sono incluse ulteriori informazioni su IAS, ovvero l'implementazione Microsoft di RADIUS.

Connessione mediante l'utilizzo di una rete privata virtuale

Quando un computer stabilisce una connessione VPN a un server di accesso remoto basato su Microsoft Windows®, nel server vengono eseguite le azioni seguenti:

  1. Il server di accesso remoto consente la connessione eseguendo alcuni controlli in base ai criteri di accesso remoto configurati.

  2. Il server di accesso remoto verifica che l'utente sia autorizzato a stabilire la connessione in remoto.

  3. Il server di accesso remoto autentica le credenziali dell'utente in base al servizio di directory o di autenticazione.

  4. Il computer di accesso remoto assegna un indirizzo IP al computer remoto.

Nelle implementazioni VPN standard, l'utente ha accesso a tutte le risorse di rete autorizzate al completamento dei quattro passaggi sopra riportati. Non è previsto alcun controllo relativo ad aggiornamenti della protezione, protezione antivirus e così via.

Connessione mediante l'utilizzo della quarantena di una rete privata virtuale

Nella figura seguente viene illustrato un metodo di connessione VPN in quarantena in cui vengono utilizzati server di risorse inclusi in una sottorete di quarantena.

Figura 2.1 Percorso del processo di connessione VPN in quarantena

Quando l'utente tenta di stabilire la connessione alla rete remota, la connessione VPN in quarantena implementa un processo modificato. Tale processo include i passaggi seguenti:

  1. Il computer esegue un controllo di pre-connessione per verificare se vengono soddisfatti alcuni requisiti di base, relativi ad esempio agli aggiornamenti rapidi, agli aggiornamenti della protezione e alle firme dei virus. Lo script di pre-connessione archivia i risultati di questo controllo localmente. Se necessario, le organizzazioni possono eseguire anche controlli di protezione post-connessione.

  2. Quando vengono completati i controlli di pre-connessione, il computer si connette al server di accesso remoto tramite VPN.

  3. Il server di accesso remoto autentica le credenziali dell'utente con il server RADIUS in base al nome utente e alla password memorizzati nel servizio di directory Active Directory®. RADIUS è un componente facoltativo in questo processo.

  4. Se Active Directory autentica l'utente, il server di accesso remoto mette il client in quarantena, utilizzando i criteri di accesso remoto della connessione VPN in quarantena. L'accesso del computer client di accesso remoto è limitato alle risorse di quarantena specificate tramite i criteri di accesso remoto. La quarantena può essere applicata al computer client di accesso remoto in due modi, ovvero mediante l'utilizzo di un periodo di time-out specifico per evitare che il computer client resti in quarantena a oltranza, oppure mediante l'utilizzo di un filtro IP per limitare il traffico IP solo alla rete con le risorse specificate.

  5. Lo script di post-connessione notifica al server di accesso remoto che il client è conforme ai requisiti specificati. Se la connessione non soddisfa i requisiti entro il periodo di time-out specificato, lo script notifica l'utente e interrompe la connessione.

  6. Il server di accesso remoto disattiva la modalità quarantena per il computer client rimuovendo il filtro IP e assicura l'accesso appropriato alle risorse di rete specificate tramite i criteri di accesso remoto.

Nota: se la connessione non viene completata, l'utente riceverà un messaggio in cui viene indicato il motivo dell'errore.

In modalità quarantena, il client ha accesso solo alle risorse disponibili in una rete di quarantena. Questa rete può essere costituita da una sottorete di quarantena separata o da un insieme definito di server connessi a Internet. La rete di quarantena dispone di risorse che consentono ai computer remoti di raggiungere la conformità completa ai requisiti di protezione prescritti. Queste risorse in genere includono un server DNS per la risoluzione dei nomi, un server Web per la pubblicazione delle istruzioni per l'utente e un file server per il download di eventuali aggiornamenti, Service Pack e utilità antivirus richiesti. Il server di accesso remoto implementa un filtro IP personalizzato che limita il client ad alcune risorse di quarantena specifiche. Il filtro IP personalizzato consente la comunicazione solo su un numero limitato di porte ai computer denominati in una sottorete separata.

L'utilizzo di una sottorete di quarantena richiede lunghi timeout di sessione per consentire al computer client di scaricare tutti gli aggiornamenti richiesti se si includono le risorse nella sottorete di quarantena. L'utilizzo di server di aggiornamento connessi a Internet e l'esecuzione dell'aggiornamento prima della connessione VPN offre il vantaggio di garantire brevi timeout di quarantena. In entrambi i casi, è lo script a eseguire gli aggiornamenti del client, non la rete di quarantena.

Tra i criteri di accesso alla connessione VPN in quarantena è specificato un valore di timeout configurabile. Il server di accesso remoto termina la connessione se il client non supera il test di conformità della rete entro il periodo impostato. Per ulteriori informazioni sulle impostazioni della connessione VPN in quarantena, vedere il capitolo 4 "Progettazione della soluzione".

Quando si implementa la connessione VPN in quarantena, è importante verificare che tutti i componenti della soluzione interagiscano in modo corretto. Nella sezione successiva verranno illustrati tali componenti e verranno brevemente esaminati i problemi di pianificazione relativi a ognuno di essi.

Inizio pagina

Componenti client

Poiché la connessione VPN in quarantena si basa sui componenti eseguiti sul client remoto, è importante comprendere la funzione e la configurazione di tali componenti. Connection Manager e Connection Manager Administration Kit (CMAK) assumono un'importanza fondamentale.

Informazioni generali su Connection Manager

Connection Manager centralizza e automatizza le operazioni per stabilire e gestire le connessioni di rete. Connection Manager supporta alcune aree chiave per la configurazione della connessione VPN in quarantena:

  • Controlli di protezione pre-connessione per la gestione automatica delle configurazioni dei computer client.

  • Controlli di protezione post-connessione e convalide di accesso.

Il team amministrativo installa il software dialer client di Connection Manager in ogni client di accesso remoto. Tale software può includere funzionalità più avanzate rispetto a quelle offerte da una connessione di accesso remoto configurata manualmente.

Semplificazione del processo di connessione

Connection Manager semplifica inoltre il processo di connessione per l'utente. Limita ad esempio il numero di opzioni di configurazione modificabili dall'utente, in modo da garantire l'esito positivo della connessione. Negli esempi seguenti vengono illustrate alcune aree in cui le organizzazioni possono personalizzare le voci di Connection Manager:

  • Gli utenti possono selezionare i numeri di telefono da un elenco in base alla propria posizione fisica.

  • Gli utenti possono visualizzare versioni personalizzate di grafica, icone, messaggi e contenuto della guida.

  • Connection Manager può creare una connessione remota a Internet prima di stabilire la connessione VPN.

  • Connection Manager può eseguire azioni personalizzate durante il processo di connessione, ad esempio azioni di pre-connessione e post-connessione. Tra gli esempi di azioni di pre-connessione e post-connessione sono inclusi il ripristino del profilo del dialer e la configurazione di Windows Firewall per ignorare le eccezioni alle regole di filtro dei pacchetti.

Per implementare una soluzione gestibile, gli amministratori devono essere in grado di creare e distribuire le impostazioni di Connection Manager in più computer, il che richiede la creazione di profili di Connection Manager.

Creazione di un profilo di Connection Manager

I profili di Connection Manager sono pacchetti dialer client di Connection Manager personalizzati sotto forma di file eseguibili autoestraenti. Per creare questi profili, gli amministratori di rete possono utilizzare CMAK. Per distribuire i profili di Connection Manager risultanti in computer client, le organizzazioni possono utilizzare i criteri di gruppo di Active Directory o altri meccanismi di installazione software, ad esempio i server Web connessi a Internet o la distribuzione software in Microsoft Systems Management Server 2003.

Quando l'utente avvia il file eseguibile, il profilo viene installato nel computer locale insieme alle impostazioni corrette per stabilire la connessione ai server di accesso remoto. L'utente deve semplicemente scegliere il nome del profilo dal menu Connetti a di Windows XP e il profilo stabilisce automaticamente le connessioni remote e VPN appropriate.

Personalizzazione di un profilo di Connection Manager

La progettazione flessibile di Connection Manager consente agli amministratori IT la scrittura e l'inserimento di moduli basati su requisiti di gestione o protezione specifici. Quando si configura un profilo di Connection Manager, la Configurazione guidata Connection Manager Administration Kit assiste l'utente nella selezione di diverse opzioni. Per ulteriori informazioni su Connection Manager Administration Kit, vedere l'argomento relativo a Connection Manager Administration Kit all'indirizzo http://www.microsoft.com/technet/prodtechnol/windowsserver2003/it/library/ServerHelp/be5c1c37-109e-49bc-943e-6595832d5761.mspx.

Implementazione di azioni personalizzate in Connection Manager

È possibile utilizzare la Configurazione guidata CMAK per includere alcune azioni personalizzate nei profili di Connection Manager in modo da consentire l'avvio automatico dei programmi quando gli utenti si connettono alla rete. La Configurazione guidata CMAK consente di specificare azioni personalizzate da eseguire in cinque punti diversi durante il processo di connessione:

  • Azioni di pre-inizializzazione. All'avvio di Connection Manager vengono eseguite le azioni di pre-inizializzazione specificate. Queste azioni vengono completate prima che venga visualizzata la schermata di accesso di Connection Manager. Le azioni di pre-inizializzazione di Connection Manager vengono eseguite quando si fa clic nella finestra di dialogo Proprietà nel profilo del servizio.

  • Azioni di pre-connessione. Quando un utente fa clic su Connetti, Connection Manager esegue le azioni di pre-connessione specificate nel profilo del servizio. Queste azioni vengono eseguite prima che Connection Manager stabilisca la connessione al servizio di accesso remoto. Per le azioni specifiche correlate al tunneling, Connection Manager utilizza azioni di pre-tunneling.

  • Azioni di pre-tunneling (per VPN). Connection Manager esegue le azioni pre-tunnel dopo aver stabilito la connessione con il provider di servizi Internet, ma prima di definire un tunnel verso il server VPN. Questo tipo di azione è disponibile solo se VPN fa parte di un profilo del servizio Connection Manager.

  • Azioni di post-connessione. Connection Manager esegue le azioni di post-connessione dopo la definizione di un tunnel. È possibile configurare ogni azione di post-connessione specificata nella Configurazione guidata CMAK in modo che venga eseguita ogni volta che l'utente effettua la connessione al servizio di accesso remoto.

  • Azioni di disconnessione. Connection Manager esegue le azioni di disconnessione immediatamente prima che venga eseguita la disconnessione dal servizio. È possibile utilizzare le azioni di disconnessione per l'amministrazione di routine, ad esempio per la raccolta di dati sui minuti totali in linea. L'utente può quindi visualizzare queste informazioni. Anche il team delle operazioni può utilizzare questi dati per analizzare l'esperienza utente.

    Nota: le azioni di disconnessione vengono eseguite anche se la disconnessione non è causata da Connection Manager. Ad esempio, se la connessione dell'utente viene terminata da un'interruzione del servizio telefonico, a seguito della disconnessione imprevista Connection Manager tenta di eseguire le azioni di disconnessione specificate nel profilo del servizio.

Una tipica azione pre-tunnel può prevedere l'esecuzione di uno script sui requisiti dei criteri di rete per verificare la conformità del computer client. Per una descrizione degli script sui requisiti dei criteri di rete, vedere l'appendice A, "Esempi di script di quarantena", in questo documento.

Agente quarantena accesso remoto

La connessione VPN in quarantena attualmente richiede un agente client separato che utilizzi il componente listener appropriato eseguito sul server di accesso remoto. L'agente client indica al componente server se il client supera i controlli richiesti in modo che il server di accesso remoto possa concedere l'accesso alle risorse Intranet.

Windows Server 2003 con SP1 include un agente client (RQC.exe) che comunica con il Servizio quarantena accesso remoto (RQS.exe) sulla porta TCP (Transport Control Protocol) 7250. In corrispondenza del punto di connessione messo in quarantena, il componente in attesa (RQS) invia al client (RQC) una chiave segreta condivisa. Se il client soddisfa le condizioni necessarie, invierà al server la chiave condivisa in modo che il server di accesso remoto possa revocare la quarantena. Agente quarantena accesso remoto viene installato come parte di Connection Manager Administration Kit.

Inizio pagina

Componenti server

Il server di accesso remoto VPN rappresenta il componente centrale della connessione VPN in quarantena e svolge le seguenti funzioni:

  • Esegue il Servizio quarantena accesso remoto

  • Applica i criteri di accesso remoto per l'accesso alla quarantena

  • Negozia le comunicazioni con l'agente client

  • Riceve la notifica di conformità ai criteri dall'agente client

  • Applica i criteri di accesso remoto per l'accesso illimitato

Il Servizio quarantena accesso remoto di Windows Server 2003 con SP1 supporta le interfacce API (Application Programming Interface) necessarie per mettere un computer remoto in quarantena e, quindi, per rimuovere le restrizioni di quarantena dopo che l'agente client notifica la conformità del computer.

Il Servizio quarantena accesso remoto è un componente facoltativo di Windows Server 2003 con SP1. È costituito da un file eseguibile (RQS.exe) che resta in attesa di una notifica dall'agente client sulla porta TCP 7250. Il componente Servizio quarantena accesso remoto di Windows 2003 Server con SP1 rappresenta la sola versione del servizio di quarantena supportata dal servizio di supporto tecnico Microsoft.

Nota: è necessario che gli eventuali firewall tra il client e il server di accesso remoto consentano il traffico sulla porta 7250. Il server di accesso remoto richiede che sia consentito il traffico in entrata sulla porta TCP 7250.

Le restrizioni di quarantena definite per le singole connessioni VPN comprendono:

  • Filtri pacchetti di quarantena che limitano il traffico di invio o ricezione di un client di accesso remoto messo in quarantena.

  • Un timer della sessione di quarantena che limita l'intervallo di tempo durante il quale il client può restare connesso in modalità quarantena prima che ne venga forzata la disconnessione.

Inizio pagina

Requisiti di rete

Tra i componenti di rete richiesti per una soluzione di connessione VPN in quarantena sono inclusi:

  • Server Servizio autenticazione Internet (IAS)

  • Server Software Update Services (SUS) (componente facoltativo)

  • Windows Update (componente facoltativo)

  • Componenti di rete aggiuntivi

La rete deve inoltre garantire una larghezza di banda sufficiente a supportare la soluzione, nonché le route e i gateway necessari alla trasmissione efficiente dei pacchetti.

Implementazione del Servizio autenticazione Internet

RADIUS garantisce una maggiore flessibilità per l'autenticazione degli utenti nelle connessioni VPN, ad esempio attraverso il supporto degli standard EAP (Extensible Authentication Protocol). EAP consente controlli di autenticazione a due fattori con certificati digitali o smart card.  

Nelle organizzazioni sono richiesti solo server IAS se si desidera configurare il server di accesso remoto per l'utilizzo di RADIUS come provider di autenticazione. L'utilizzo di IAS per l'autenticazione RADIUS in uno scenario di connessione VPN in quarantena garantisce diversi vantaggi. L'utilizzo di IAS:

  • Consente l'autorizzazione e l'autenticazione centralizzate degli utenti.

  • Si integra con Active Directory.

  • Offre un'ampia gamma di opzioni di autorizzazione e autenticazione.

Il server IAS gestisce il processo di autenticazione, che prevede l'invio ad Active Directory delle informazioni di accesso e di richiesta di autenticazione dell'utente. Active Directory esegue il confronto delle informazioni di accesso con le credenziali relative all'utente remoto. Se le credenziali corrispondono, IAS autentica l'utente. Per ulteriori informazioni su IAS, visitare il sito Web relativo al Servizio autenticazione Internet all'indirizzo www.microsoft.com/windowsserver2003/technologies/ias/default.mspx (informazioni in lingua inglese).

Nota: solo IAS di Windows Server 2003 supporta la configurazione degli attributi avanzati nei profili dei criteri di accesso remoto richiesti per la configurazione della connessione VPN in quarantena. Questa funzionalità potrebbe non essere supportata da altre implementazioni RADIUS. Per ulteriori informazioni, vedere il capitolo 4 "Progettazione della soluzione".

IAS rappresenta il solo server RADIUS che supporta i due attributi specifici del fornitore richiesti dalla connessione VPN in quarantena, ovvero MS-Quarantine-Session-Timeout e MS-Quarantine-IPFilter. Per ulteriori informazioni sull'importanza di questi due attributi, vedere il capitolo 4 "Progettazione della soluzione".

Utilizzo di Software Update Services

Prima che i computer remoti possano connettersi alle risorse disponibili sulla Intranet, è necessario verificare che dispongano dei Service Pack e degli aggiornamenti della protezione più recenti. SUS offre un database centralizzato con gli aggiornamenti software disponibili per i computer remoti. I computer client di accesso remoto verificano la presenza di aggiornamenti tramite un'azione personalizzata nel profilo di Connection Manager.

SUS è adatto solo per aggiornare i client dopo la connessione alla rete aziendale. Poiché SUS sfrutta la larghezza di banda inutilizzata, l'aggiornamento dei computer di accesso remoto potrebbe richiedere molto tempo.

Utilizzo di Windows Update

Windows Update è un sito Web Internet su cui sono pubblicamente disponibili aggiornamenti rapidi e della protezione per sistemi operativi Microsoft. I computer remoti possono utilizzare Windows Update per scaricare gli aggiornamenti prima di stabilire la connessione alla rete aziendale. In alternativa, il servizio Aggiornamenti automatici di Windows XP consente di controllare a intervalli regolari il sito Web Windows Update e di installare automaticamente gli aggiornamenti della protezione. Windows Update è indipendente da Active Directory.

Uno script di pre-connessione può verificare se il computer non soddisfa i requisiti della rete aziendale. Lo script può quindi eseguire Microsoft Internet Explorer e indirizzare l'utente al sito Web Windows Update. Per ulteriori informazioni su Windows Update, visitare il sito Web Windows Update all'indirizzo http://windowsupdate.microsoft.com.

Implementazione di componenti di rete aggiuntivi

La connessione VPN in quarantena potrebbe richiedere i seguenti componenti di rete aggiuntivi:

  • Server DHCP (Dynamic Host Configuration Protocol). DHCP consente l'allocazione automatica degli indirizzi IP dei client remoti. (consigliato)

  • Active Directory.** **Active Directory offre un metodo per l'autenticazione degli account utente. Active Directory è integrato con IAS e supporta funzionalità di protezione aggiuntive, quali l'autenticazione con smart card. (consigliato)

  • Server DNS (Domain Name System). DNS offre servizi di risoluzione dei nomi grazie ai quali i computer client sulla rete di quarantena possono connettersi a server SUS, server Web e file server contenenti i file antivirus e altri aggiornamenti. (consigliato)

  • File server. Contengono gli aggiornamenti antivirus e le installazioni complete del software antivirus. I file server sono necessari solo se si pianifica l'aggiornamento dei computer di accesso remoto mentre sono in quarantena. (facoltativo)

  • Server Web. Includono istruzioni per gli utenti finali sul processo di rimozione dei computer dalla quarantena e collegamenti che consentono di verificare se il processo viene completato. È inoltre possibile utilizzare i server Web per distribuire gli aggiornamenti prima di eseguire la connessione VPN. (facoltativo)

Per ulteriori informazioni sulla pianificazione della distribuzione di questi componenti, vedere il capitolo 4 "Progettazione della soluzione".

In questo capitolo sono stati esaminati i componenti in grado di fornire la connessione VPN in quarantena, che includono le relative funzionalità specifiche in Windows Server 2003 con SP1. Nel capitolo 3 "Problemi e requisiti" verranno esaminati i problemi e i limiti specifici affrontati dalla Woodgrove National Bank per l'implementazione di questa tecnologia.

Download

Guida alla pianificazione dell'implementazione di servizi di quarantena con la rete privata virtuale Microsoft

Inizio pagina