Configuring Configuring Network AccessNetwork Access

AgendaAgenda

Infrastruttura di Accesso alla ReteInfrastruttura di Accesso alla Rete Strumenti per la gestione dell’ArchitetturaStrumenti per la gestione dell’Architettura

PKIPKI IASIAS

Utilizzo di IAS per la:Utilizzo di IAS per la: Gestione centralizzata dell’Autenticazione per Gestione centralizzata dell’Autenticazione per

l’Accesso alla Retel’Accesso alla Rete Gestione centralizzata delle Policy di AccessoGestione centralizzata delle Policy di Accesso

Infrastruttura di Accesso alla ReteInfrastruttura di Accesso alla Rete

Componenti dell’ Infrastruttura di Componenti dell’ Infrastruttura di Accesso alla ReteAccesso alla Rete

Autenticazione per l’Accesso alla ReteAutenticazione per l’Accesso alla Rete Connessioni VPNConnessioni VPN Accesso Dial-upAccesso Dial-up Connessione WirelessConnessione Wireless

Componenti dell’Infrastruttura Componenti dell’Infrastruttura di Accesso alla Retedi Accesso alla Rete

Network Access Server

IASServer

DHCP Server

DomainController

Network access serviceNetwork access clientsAuthentication serviceActive Directory

Network access serviceNetwork access clientsAuthentication serviceActive Directory

Dial-up ClientWireless Access Point

Wireless Client

VPN Client

Network Access AuthenticationNetwork Access Authentication

AutenticazioneAutenticazione

Verifica l’identificazione di un utente remoto verso il servizio Verifica l’identificazione di un utente remoto verso il servizio di rete a cui l’utente remoto sta cercando di accedere (logon di rete a cui l’utente remoto sta cercando di accedere (logon interattivo)interattivo)

AutorizzazioneAutorizzazioneVerifica che il tentativo di connessione sia permesso; Verifica che il tentativo di connessione sia permesso; l’autorizzazione avviene dopo un tentativo di logon con l’autorizzazione avviene dopo un tentativo di logon con successosuccesso

Metodi di Autenticazione Remota e wireless:Metodi di Autenticazione Remota e wireless:

MS-CHAPMS-CHAP v2EAPEAP-TLSPEAPRADIUS

MS-CHAPMS-CHAP v2EAPEAP-TLSPEAPRADIUS

DomainController

VPN Client

VPN Server

Overview dell’accesso VPNOverview dell’accesso VPN

Una VPN estende le funzionalità di una rete privata per ampliarne i limiti attraverso una rete pubblica, come Internet, in modo da emulare un link point-to-point link

Una VPN estende le funzionalità di una rete privata per ampliarne i limiti attraverso una rete pubblica, come Internet, in modo da emulare un link point-to-point link

33 Il server VPN Autentica il clientIl server VPN Autentica il client

22 Il server VPNrispondeIl server VPNrisponde 44 Il server VPN

trasferisce i datiIl server VPN trasferisce i dati

Client VPN chiama il VPN serverClient VPN chiama il VPN server11

Remote User to Corp NetRemote User to Corp Net

Remote Access Server

Branch Office to Branch OfficeBranch Office to Branch Office

Remote Access Server

Metodi di Autenticazione per Metodi di Autenticazione per una connessione VPNuna connessione VPN

Esempi di Server di Accesso Remoto usando L2TP/IPSec Esempi di Server di Accesso Remoto usando L2TP/IPSec

Categoria Categoria DescrizioneDescrizione

PPTPPPTPUsa metodologie di Autenticazione (a livello utente) Usa metodologie di Autenticazione (a livello utente) Point-to-Point Protocol (PPP) e Microsoft Point-to-Point Point-to-Point Protocol (PPP) e Microsoft Point-to-Point Encryption (MPPE) per la criptazione dei datiEncryption (MPPE) per la criptazione dei dati

L2TP/IPSec con L2TP/IPSec con CertificatesCertificates

Usa metodologie di Autenticazione (a livello utente) Usa metodologie di Autenticazione (a livello utente) PPP e IPSec con certificati a livello computer per la PPP e IPSec con certificati a livello computer per la criptazione dei daticriptazione dei dati

Metodologia di Autenticazione raccomandata per Metodologia di Autenticazione raccomandata per l’Autenticazione VPNl’Autenticazione VPN

Metodi di Autenticazione dial-up:Metodi di Autenticazione dial-up:

Metodi di Autenticazione per Metodi di Autenticazione per una connessione Dial-upuna connessione Dial-up

Remote Access Server Remote

Access User

Metodo più sicuro: EAP-TLS with Smart CardsMetodo più sicuro: EAP-TLS with Smart Cards

Mutual AuthenticationMutual Authentication

MS-CHAP

MS-CHAP v2

MS-CHAP

MS-CHAP v2

EAP-TLS

RADIUS

EAP-TLS

RADIUS

Network Access Server

IASServer

DHCP Server

DomainController

Wireless Access Point

Wireless Client

Overview dell’Accesso di Rete Overview dell’Accesso di Rete WirelessWireless

Una rete wireless usa una tecnologia che permette a device di comunicare usando protocolli di rete standard e onde elettromagnetiche, non cavi di rete, per portare il segnale in tutta l’infrastruttura di rete

Una rete wireless usa una tecnologia che permette a device di comunicare usando protocolli di rete standard e onde elettromagnetiche, non cavi di rete, per portare il segnale in tutta l’infrastruttura di rete

StandardStandard DescriptionDescription

Infrastructure Infrastructure WLANWLAN

I Client si collegano agli I Client si collegano agli access points wireless access points wireless

Peer-to-peer Peer-to-peer WLANWLAN

I client della Rete wireless I client della Rete wireless comunicano direttamente tra comunicano direttamente tra di loro senza cavidi loro senza cavi

Authentication Methods for Authentication Methods for Wireless NetworksWireless Networks

Metodi di Autenticazione Metodi di Autenticazione 801.x801.x DescrizioneDescrizione

EAPEAP Fornisce scambio di messaggi e di conversazione Fornisce scambio di messaggi e di conversazione tra il client e il server durante il processo di tra il client e il server durante il processo di AutenticazioneAutenticazione

EAP-MS-CHAP v2EAP-MS-CHAP v2 Fornisce mutua AutenticazioneFornisce mutua Autenticazione

EAP-TLSEAP-TLSFornisce mutua Autenticazione ed è il metodo di Fornisce mutua Autenticazione ed è il metodo di Autenticazione e di generazione della chiave più Autenticazione e di generazione della chiave più robustorobusto

PEAPPEAP

Fornisce supporto per EAP-TLS, che usa i Fornisce supporto per EAP-TLS, che usa i certificati per l’autenticazione server e client, e per certificati per l’autenticazione server e client, e per EAP-MS-CHAP v2, che usa i certificati per EAP-MS-CHAP v2, che usa i certificati per l’Autenticazione server e credenziali basate su l’Autenticazione server e credenziali basate su password per l’Autenticazionepassword per l’Autenticazione

Gestione di Accesso alla reteGestione di Accesso alla rete

Ci ritroviamo con varie tipologie di Server Ci ritroviamo con varie tipologie di Server di Accesso alla Rete.di Accesso alla Rete.

Problematica comune a tutti: Problematica comune a tutti: Autenticazione UtentiAutenticazione Utenti Gestioni Access PolicyGestioni Access Policy

Lo scopo è centralizzare:Lo scopo è centralizzare: AutenticazioneAutenticazione Gestione (Access Policy)Gestione (Access Policy)

Strumenti che servono per raggiungere Strumenti che servono per raggiungere lo scopo:lo scopo: PKIPKI IASIAS

Gestione dell’accesso utente Gestione dell’accesso utente alla Retealla Rete

Come controllare l’Accesso Utente alla Come controllare l’Accesso Utente alla ReteRete

Come configurare gli Account Utente per Come configurare gli Account Utente per l’Accesso alla Retel’Accesso alla Rete

Remote Access PolicyRemote Access Policy Remote Access Policy Profile Remote Access Policy Profile

Come controllare l’Accesso Come controllare l’Accesso Utente alla ReteUtente alla Rete

Proprietà dell’account UtenteProprietà dell’account Utente11

Policy di accesso RemotoPolicy di accesso Remoto22

Profili di di accesso RemotoProfili di di accesso Remoto33

Domain Controller11

Remote Access Server22

Remote Access User33

Policy di Accesso RemotoPolicy di Accesso Remoto

Una policy di Accesso Remoto è una regola composta dai seguenti elementi: Una policy di Accesso Remoto è una regola composta dai seguenti elementi:

Condizioni—uno o più attributi che sono confrontati con le impostazioni del tentativo di connessione

Permesso di Accesso Remoto—se tutte le condizioni della policy di Accesso Remoto sono verificate, è garantito o negato il permesso di accesso remoto

Profilo— un insieme di proprietà che sono applicate alla connessione quando è autorizzata

Profilo Profilo di Accesso Remotodi Accesso Remoto

Vincoli di Dial-in Proprietà IP

IP Address AssignmentIP Filters

IP Address AssignmentIP Filters

Multilink

Autenticazione

Encryption

Advanced SettingsAdvanced SettingsRemote

Access User

Centralizzazione nell’Autenticazione Centralizzazione nell’Autenticazione dell’Accesso alla Rete e nella Gestione dell’Accesso alla Rete e nella Gestione delle Policy utilizzando IASdelle Policy utilizzando IAS

Autenticazione dell’Accesso alla Rete Centralizzato e Autenticazione dell’Accesso alla Rete Centralizzato e Gestione delle PolicyGestione delle Policy

Cos’è IASCos’è IAS Funzionamento dell’Autenticazione CentralizzataFunzionamento dell’Autenticazione Centralizzata Configurazione di un IAS ServerConfigurazione di un IAS Server Configurazione di un Server di Accesso Remoto Configurazione di un Server di Accesso Remoto

perchè usi IAS per l’Autenticazioneperchè usi IAS per l’Autenticazione

Autenticazione dell’Accesso alla Rete Autenticazione dell’Accesso alla Rete Centralizzato e Gestione delle PolicyCentralizzato e Gestione delle Policy

RADIUS è un protocollo ampiamente diffuso che abilita l’autenticazione centralizzata, l’autorizzazione e l’accounting per l’accesso alla rete. E’ diventato uno standard per gestire l’accesso alla rete per reti VPN, connessioni dial-up e reti wireless

RADIUS è un protocollo ampiamente diffuso che abilita l’autenticazione centralizzata, l’autorizzazione e l’accounting per l’accesso alla rete. E’ diventato uno standard per gestire l’accesso alla rete per reti VPN, connessioni dial-up e reti wireless

RADIUS ClientRADIUS Client

RADIUS client manda una richiesta di connessione al RADIUS server

RADIUS client manda una richiesta di connessione al RADIUS server

11 RADIUS server autentica e autorizza la connessione o la rifiuta

RADIUS server autentica e autorizza la connessione o la rifiuta

22

RADIUS ServerRADIUS Server

Internet Authentication ServiceInternet Authentication Service

IAS, un componente di Windows Server 2003, è un RADIUS server industry-standard compliant. IAS gestisce autenticazione centralizzata, autorizzazione, auditing, e accounting delle connessioni VPN, dial-up, e wireless

IAS, un componente di Windows Server 2003, è un RADIUS server industry-standard compliant. IAS gestisce autenticazione centralizzata, autorizzazione, auditing, e accounting delle connessioni VPN, dial-up, e wireless

E’ possibile configurare IAS per supportare:E’ possibile configurare IAS per supportare:

Accesso Dial-up

Accesso a una Extranet per i business partners

Accesso a Internet

Accesso alla rete dato in gestione a un service provider

Accesso Dial-up

Accesso a una Extranet per i business partners

Accesso a Internet

Accesso alla rete dato in gestione a un service provider

RADIUS Server

RADIUS Server

Funzionamento dell’Autenticazione Funzionamento dell’Autenticazione CentralizzataCentralizzata

InternetInternet

RADIUS Server

RADIUS Server

RADIUS ClientRADIUS Client

ClientClient

Dial-in verso un RADIUS client locale per ottenere connettività alla rete

Dial-in verso un RADIUS client locale per ottenere connettività alla rete

11

Inoltra la richiesta al RADIUS serverInoltra la richiesta al RADIUS server

22

Autentica le richieste e salva le informazioni di accounting

Autentica le richieste e salva le informazioni di accounting

33

Domain ControllerDomain

Controller

Comunica al RADIUS client di garantire o negare l’accessoComunica al RADIUS client di garantire o negare l’accesso

44

Introduzione alla CriptografiaIntroduzione alla Criptografia

Chiavi di criptazioneChiavi di criptazione Criptazione SimmetricaCriptazione Simmetrica Public Key EncryptionPublic Key Encryption Public Key Digital SigningPublic Key Digital Signing

Chiavi di criptazioneChiavi di criptazione

Tipo di chiaveTipo di chiave DescrizioneDescrizione

SimmetricaSimmetrica

La stessa chiave è usata per criptare e La stessa chiave è usata per criptare e decriptare i datidecriptare i dati

Protegge i dati dall’intercettazioneProtegge i dati dall’intercettazione

AsimmetricaAsimmetrica

Consiste di una chiave pubblica e una privataConsiste di una chiave pubblica e una privata

La chiave privata è protetta, quella pubblica è La chiave privata è protetta, quella pubblica è distribuita liberamentedistribuita liberamente

Usa una crittografia asimmetricaUsa una crittografia asimmetrica

Criptazione SimmetricaCriptazione Simmetrica

Dato OriginaleDato Originale Testo cifratoTesto cifrato Dato OriginaleDato Originale

Crptazione Simmetrica:Crptazione Simmetrica:

Usa la stessa chiave

Bulk encryption

E’ vulnerabile se viene intercettata la chiave simmetrica

Usa la stessa chiave

Bulk encryption

E’ vulnerabile se viene intercettata la chiave simmetrica

Public Key EncryptionPublic Key Encryption

ProcessoProcesso ProcessoProcesso

1.1. Si trova la chiave pubblica del destinatarioSi trova la chiave pubblica del destinatario

2.2. I dati sono criptati con una chiave simmetricaI dati sono criptati con una chiave simmetrica

3.3. La chiave simmetrica è criptata con la chiave La chiave simmetrica è criptata con la chiave pubblica del destinatariopubblica del destinatario

4.4. La chiave simmetrica criptata e i dati criptati La chiave simmetrica criptata e i dati criptati sono inviati al destinatariosono inviati al destinatario

5.5. Il destinatario decripta la chiave simmetrica Il destinatario decripta la chiave simmetrica con la sua chiave privatacon la sua chiave privata

6.6. I dati vengono decriptati con la chiave I dati vengono decriptati con la chiave simmetricasimmetrica

Public Key Digital SigningPublic Key Digital Signing

ProcessoProcesso ProcessoProcesso

1.1. I dati sono codificati con un algoritmo di I dati sono codificati con un algoritmo di hash, producendo un valore di hashhash, producendo un valore di hash

2.2. Il valore di hash è criptato con la chiave Il valore di hash è criptato con la chiave privata del mittenteprivata del mittente

3.3. Il certificato del mittente, il valore di hash Il certificato del mittente, il valore di hash criptato e i dati originali sono inviati al criptato e i dati originali sono inviati al destinatariodestinatario

4.4. Il destinatario decripta il valore di hash con Il destinatario decripta il valore di hash con la chiave pubblica del mittentela chiave pubblica del mittente

5.5. I dati sono passati attraverso un algoritmo I dati sono passati attraverso un algoritmo di hash, i valori di hash sono comparatidi hash, i valori di hash sono comparati

Componenti di una PKIComponenti di una PKI

Strumenti di Gestione

Strumenti di Gestione Certification

AuthorityCertification

AuthorityCRL

Distribution PointsCRL

Distribution Points

Certificate Template

Certificate Template

CertificatoDigitale

CertificatoDigitale

Certificate Revocation List

Certificate Revocation List

Applicazioni e servizi Public Key-Enabled

Applicazioni e servizi Public Key-Enabled

Un Certificato digitale:Un Certificato digitale:

Verifica l’identità di un utente, computer o di un programma

Contiene informazioni sul soggetto e su chi lo ha rilasciato

E’ firmato da una CA

Verifica l’identità di un utente, computer o di un programma

Contiene informazioni sul soggetto e su chi lo ha rilasciato

E’ firmato da una CA

Certificato DigitaleCertificato Digitale

Estensioni dei CertificatiEstensioni dei Certificati

Estensioni dei Certificati:Estensioni dei Certificati:

Forniscono informazioni addizionali sul soggetto

Contengono i campi versione 1 e versione 3

Forniscono informazioni addizionali sul soggetto

Contengono i campi versione 1 e versione 3

Una certification authority:Una certification authority:

Verifica l’identità di chi ha richiesto un certificato La metodologia di identificazione dipende dal tipo della

CA

Rilascia certificati Il modello del certificato o il certificato richiesto

determinano l’informazione nel certificato

Gestione delle revoca dei certificati La CRL garantisce che i certificati non validi non siano

usati

Verifica l’identità di chi ha richiesto un certificato La metodologia di identificazione dipende dal tipo della

CA

Rilascia certificati Il modello del certificato o il certificato richiesto

determinano l’informazione nel certificato

Gestione delle revoca dei certificati La CRL garantisce che i certificati non validi non siano

usati

Certification AuthorityCertification Authority