Upload
italo-di-stefano
View
224
Download
3
Embed Size (px)
Citation preview
Configuring Configuring Network AccessNetwork Access
AgendaAgenda
Infrastruttura di Accesso alla ReteInfrastruttura di Accesso alla Rete Strumenti per la gestione dell’ArchitetturaStrumenti per la gestione dell’Architettura
PKIPKI IASIAS
Utilizzo di IAS per la:Utilizzo di IAS per la: Gestione centralizzata dell’Autenticazione per Gestione centralizzata dell’Autenticazione per
l’Accesso alla Retel’Accesso alla Rete Gestione centralizzata delle Policy di AccessoGestione centralizzata delle Policy di Accesso
Infrastruttura di Accesso alla ReteInfrastruttura di Accesso alla Rete
Componenti dell’ Infrastruttura di Componenti dell’ Infrastruttura di Accesso alla ReteAccesso alla Rete
Autenticazione per l’Accesso alla ReteAutenticazione per l’Accesso alla Rete Connessioni VPNConnessioni VPN Accesso Dial-upAccesso Dial-up Connessione WirelessConnessione Wireless
Componenti dell’Infrastruttura Componenti dell’Infrastruttura di Accesso alla Retedi Accesso alla Rete
Network Access Server
IASServer
DHCP Server
DomainController
Network access serviceNetwork access clientsAuthentication serviceActive Directory
Network access serviceNetwork access clientsAuthentication serviceActive Directory
Dial-up ClientWireless Access Point
Wireless Client
VPN Client
Network Access AuthenticationNetwork Access Authentication
AutenticazioneAutenticazione
Verifica l’identificazione di un utente remoto verso il servizio Verifica l’identificazione di un utente remoto verso il servizio di rete a cui l’utente remoto sta cercando di accedere (logon di rete a cui l’utente remoto sta cercando di accedere (logon interattivo)interattivo)
AutorizzazioneAutorizzazioneVerifica che il tentativo di connessione sia permesso; Verifica che il tentativo di connessione sia permesso; l’autorizzazione avviene dopo un tentativo di logon con l’autorizzazione avviene dopo un tentativo di logon con successosuccesso
Metodi di Autenticazione Remota e wireless:Metodi di Autenticazione Remota e wireless:
MS-CHAPMS-CHAP v2EAPEAP-TLSPEAPRADIUS
MS-CHAPMS-CHAP v2EAPEAP-TLSPEAPRADIUS
DomainController
VPN Client
VPN Server
Overview dell’accesso VPNOverview dell’accesso VPN
Una VPN estende le funzionalità di una rete privata per ampliarne i limiti attraverso una rete pubblica, come Internet, in modo da emulare un link point-to-point link
Una VPN estende le funzionalità di una rete privata per ampliarne i limiti attraverso una rete pubblica, come Internet, in modo da emulare un link point-to-point link
33 Il server VPN Autentica il clientIl server VPN Autentica il client
22 Il server VPNrispondeIl server VPNrisponde 44 Il server VPN
trasferisce i datiIl server VPN trasferisce i dati
Client VPN chiama il VPN serverClient VPN chiama il VPN server11
Remote User to Corp NetRemote User to Corp Net
Remote Access Server
Branch Office to Branch OfficeBranch Office to Branch Office
Remote Access Server
Metodi di Autenticazione per Metodi di Autenticazione per una connessione VPNuna connessione VPN
Esempi di Server di Accesso Remoto usando L2TP/IPSec Esempi di Server di Accesso Remoto usando L2TP/IPSec
Categoria Categoria DescrizioneDescrizione
PPTPPPTPUsa metodologie di Autenticazione (a livello utente) Usa metodologie di Autenticazione (a livello utente) Point-to-Point Protocol (PPP) e Microsoft Point-to-Point Point-to-Point Protocol (PPP) e Microsoft Point-to-Point Encryption (MPPE) per la criptazione dei datiEncryption (MPPE) per la criptazione dei dati
L2TP/IPSec con L2TP/IPSec con CertificatesCertificates
Usa metodologie di Autenticazione (a livello utente) Usa metodologie di Autenticazione (a livello utente) PPP e IPSec con certificati a livello computer per la PPP e IPSec con certificati a livello computer per la criptazione dei daticriptazione dei dati
Metodologia di Autenticazione raccomandata per Metodologia di Autenticazione raccomandata per l’Autenticazione VPNl’Autenticazione VPN
Metodi di Autenticazione dial-up:Metodi di Autenticazione dial-up:
Metodi di Autenticazione per Metodi di Autenticazione per una connessione Dial-upuna connessione Dial-up
Remote Access Server Remote
Access User
Metodo più sicuro: EAP-TLS with Smart CardsMetodo più sicuro: EAP-TLS with Smart Cards
Mutual AuthenticationMutual Authentication
MS-CHAP
MS-CHAP v2
MS-CHAP
MS-CHAP v2
EAP-TLS
RADIUS
EAP-TLS
RADIUS
Network Access Server
IASServer
DHCP Server
DomainController
Wireless Access Point
Wireless Client
Overview dell’Accesso di Rete Overview dell’Accesso di Rete WirelessWireless
Una rete wireless usa una tecnologia che permette a device di comunicare usando protocolli di rete standard e onde elettromagnetiche, non cavi di rete, per portare il segnale in tutta l’infrastruttura di rete
Una rete wireless usa una tecnologia che permette a device di comunicare usando protocolli di rete standard e onde elettromagnetiche, non cavi di rete, per portare il segnale in tutta l’infrastruttura di rete
StandardStandard DescriptionDescription
Infrastructure Infrastructure WLANWLAN
I Client si collegano agli I Client si collegano agli access points wireless access points wireless
Peer-to-peer Peer-to-peer WLANWLAN
I client della Rete wireless I client della Rete wireless comunicano direttamente tra comunicano direttamente tra di loro senza cavidi loro senza cavi
Authentication Methods for Authentication Methods for Wireless NetworksWireless Networks
Metodi di Autenticazione Metodi di Autenticazione 801.x801.x DescrizioneDescrizione
EAPEAP Fornisce scambio di messaggi e di conversazione Fornisce scambio di messaggi e di conversazione tra il client e il server durante il processo di tra il client e il server durante il processo di AutenticazioneAutenticazione
EAP-MS-CHAP v2EAP-MS-CHAP v2 Fornisce mutua AutenticazioneFornisce mutua Autenticazione
EAP-TLSEAP-TLSFornisce mutua Autenticazione ed è il metodo di Fornisce mutua Autenticazione ed è il metodo di Autenticazione e di generazione della chiave più Autenticazione e di generazione della chiave più robustorobusto
PEAPPEAP
Fornisce supporto per EAP-TLS, che usa i Fornisce supporto per EAP-TLS, che usa i certificati per l’autenticazione server e client, e per certificati per l’autenticazione server e client, e per EAP-MS-CHAP v2, che usa i certificati per EAP-MS-CHAP v2, che usa i certificati per l’Autenticazione server e credenziali basate su l’Autenticazione server e credenziali basate su password per l’Autenticazionepassword per l’Autenticazione
Gestione di Accesso alla reteGestione di Accesso alla rete
Ci ritroviamo con varie tipologie di Server Ci ritroviamo con varie tipologie di Server di Accesso alla Rete.di Accesso alla Rete.
Problematica comune a tutti: Problematica comune a tutti: Autenticazione UtentiAutenticazione Utenti Gestioni Access PolicyGestioni Access Policy
Lo scopo è centralizzare:Lo scopo è centralizzare: AutenticazioneAutenticazione Gestione (Access Policy)Gestione (Access Policy)
Strumenti che servono per raggiungere Strumenti che servono per raggiungere lo scopo:lo scopo: PKIPKI IASIAS
Gestione dell’accesso utente Gestione dell’accesso utente alla Retealla Rete
Come controllare l’Accesso Utente alla Come controllare l’Accesso Utente alla ReteRete
Come configurare gli Account Utente per Come configurare gli Account Utente per l’Accesso alla Retel’Accesso alla Rete
Remote Access PolicyRemote Access Policy Remote Access Policy Profile Remote Access Policy Profile
Come controllare l’Accesso Come controllare l’Accesso Utente alla ReteUtente alla Rete
Proprietà dell’account UtenteProprietà dell’account Utente11
Policy di accesso RemotoPolicy di accesso Remoto22
Profili di di accesso RemotoProfili di di accesso Remoto33
Domain Controller11
Remote Access Server22
Remote Access User33
Policy di Accesso RemotoPolicy di Accesso Remoto
Una policy di Accesso Remoto è una regola composta dai seguenti elementi: Una policy di Accesso Remoto è una regola composta dai seguenti elementi:
Condizioni—uno o più attributi che sono confrontati con le impostazioni del tentativo di connessione
Permesso di Accesso Remoto—se tutte le condizioni della policy di Accesso Remoto sono verificate, è garantito o negato il permesso di accesso remoto
Profilo— un insieme di proprietà che sono applicate alla connessione quando è autorizzata
Profilo Profilo di Accesso Remotodi Accesso Remoto
Vincoli di Dial-in Proprietà IP
IP Address AssignmentIP Filters
IP Address AssignmentIP Filters
Multilink
Autenticazione
Encryption
Advanced SettingsAdvanced SettingsRemote
Access User
Centralizzazione nell’Autenticazione Centralizzazione nell’Autenticazione dell’Accesso alla Rete e nella Gestione dell’Accesso alla Rete e nella Gestione delle Policy utilizzando IASdelle Policy utilizzando IAS
Autenticazione dell’Accesso alla Rete Centralizzato e Autenticazione dell’Accesso alla Rete Centralizzato e Gestione delle PolicyGestione delle Policy
Cos’è IASCos’è IAS Funzionamento dell’Autenticazione CentralizzataFunzionamento dell’Autenticazione Centralizzata Configurazione di un IAS ServerConfigurazione di un IAS Server Configurazione di un Server di Accesso Remoto Configurazione di un Server di Accesso Remoto
perchè usi IAS per l’Autenticazioneperchè usi IAS per l’Autenticazione
Autenticazione dell’Accesso alla Rete Autenticazione dell’Accesso alla Rete Centralizzato e Gestione delle PolicyCentralizzato e Gestione delle Policy
RADIUS è un protocollo ampiamente diffuso che abilita l’autenticazione centralizzata, l’autorizzazione e l’accounting per l’accesso alla rete. E’ diventato uno standard per gestire l’accesso alla rete per reti VPN, connessioni dial-up e reti wireless
RADIUS è un protocollo ampiamente diffuso che abilita l’autenticazione centralizzata, l’autorizzazione e l’accounting per l’accesso alla rete. E’ diventato uno standard per gestire l’accesso alla rete per reti VPN, connessioni dial-up e reti wireless
RADIUS ClientRADIUS Client
RADIUS client manda una richiesta di connessione al RADIUS server
RADIUS client manda una richiesta di connessione al RADIUS server
11 RADIUS server autentica e autorizza la connessione o la rifiuta
RADIUS server autentica e autorizza la connessione o la rifiuta
22
RADIUS ServerRADIUS Server
Internet Authentication ServiceInternet Authentication Service
IAS, un componente di Windows Server 2003, è un RADIUS server industry-standard compliant. IAS gestisce autenticazione centralizzata, autorizzazione, auditing, e accounting delle connessioni VPN, dial-up, e wireless
IAS, un componente di Windows Server 2003, è un RADIUS server industry-standard compliant. IAS gestisce autenticazione centralizzata, autorizzazione, auditing, e accounting delle connessioni VPN, dial-up, e wireless
E’ possibile configurare IAS per supportare:E’ possibile configurare IAS per supportare:
Accesso Dial-up
Accesso a una Extranet per i business partners
Accesso a Internet
Accesso alla rete dato in gestione a un service provider
Accesso Dial-up
Accesso a una Extranet per i business partners
Accesso a Internet
Accesso alla rete dato in gestione a un service provider
RADIUS Server
RADIUS Server
Funzionamento dell’Autenticazione Funzionamento dell’Autenticazione CentralizzataCentralizzata
InternetInternet
RADIUS Server
RADIUS Server
RADIUS ClientRADIUS Client
ClientClient
Dial-in verso un RADIUS client locale per ottenere connettività alla rete
Dial-in verso un RADIUS client locale per ottenere connettività alla rete
11
Inoltra la richiesta al RADIUS serverInoltra la richiesta al RADIUS server
22
Autentica le richieste e salva le informazioni di accounting
Autentica le richieste e salva le informazioni di accounting
33
Domain ControllerDomain
Controller
Comunica al RADIUS client di garantire o negare l’accessoComunica al RADIUS client di garantire o negare l’accesso
44
Introduzione alla CriptografiaIntroduzione alla Criptografia
Chiavi di criptazioneChiavi di criptazione Criptazione SimmetricaCriptazione Simmetrica Public Key EncryptionPublic Key Encryption Public Key Digital SigningPublic Key Digital Signing
Chiavi di criptazioneChiavi di criptazione
Tipo di chiaveTipo di chiave DescrizioneDescrizione
SimmetricaSimmetrica
La stessa chiave è usata per criptare e La stessa chiave è usata per criptare e decriptare i datidecriptare i dati
Protegge i dati dall’intercettazioneProtegge i dati dall’intercettazione
AsimmetricaAsimmetrica
Consiste di una chiave pubblica e una privataConsiste di una chiave pubblica e una privata
La chiave privata è protetta, quella pubblica è La chiave privata è protetta, quella pubblica è distribuita liberamentedistribuita liberamente
Usa una crittografia asimmetricaUsa una crittografia asimmetrica
Criptazione SimmetricaCriptazione Simmetrica
Dato OriginaleDato Originale Testo cifratoTesto cifrato Dato OriginaleDato Originale
Crptazione Simmetrica:Crptazione Simmetrica:
Usa la stessa chiave
Bulk encryption
E’ vulnerabile se viene intercettata la chiave simmetrica
Usa la stessa chiave
Bulk encryption
E’ vulnerabile se viene intercettata la chiave simmetrica
Public Key EncryptionPublic Key Encryption
ProcessoProcesso ProcessoProcesso
1.1. Si trova la chiave pubblica del destinatarioSi trova la chiave pubblica del destinatario
2.2. I dati sono criptati con una chiave simmetricaI dati sono criptati con una chiave simmetrica
3.3. La chiave simmetrica è criptata con la chiave La chiave simmetrica è criptata con la chiave pubblica del destinatariopubblica del destinatario
4.4. La chiave simmetrica criptata e i dati criptati La chiave simmetrica criptata e i dati criptati sono inviati al destinatariosono inviati al destinatario
5.5. Il destinatario decripta la chiave simmetrica Il destinatario decripta la chiave simmetrica con la sua chiave privatacon la sua chiave privata
6.6. I dati vengono decriptati con la chiave I dati vengono decriptati con la chiave simmetricasimmetrica
Public Key Digital SigningPublic Key Digital Signing
ProcessoProcesso ProcessoProcesso
1.1. I dati sono codificati con un algoritmo di I dati sono codificati con un algoritmo di hash, producendo un valore di hashhash, producendo un valore di hash
2.2. Il valore di hash è criptato con la chiave Il valore di hash è criptato con la chiave privata del mittenteprivata del mittente
3.3. Il certificato del mittente, il valore di hash Il certificato del mittente, il valore di hash criptato e i dati originali sono inviati al criptato e i dati originali sono inviati al destinatariodestinatario
4.4. Il destinatario decripta il valore di hash con Il destinatario decripta il valore di hash con la chiave pubblica del mittentela chiave pubblica del mittente
5.5. I dati sono passati attraverso un algoritmo I dati sono passati attraverso un algoritmo di hash, i valori di hash sono comparatidi hash, i valori di hash sono comparati
Componenti di una PKIComponenti di una PKI
Strumenti di Gestione
Strumenti di Gestione Certification
AuthorityCertification
AuthorityCRL
Distribution PointsCRL
Distribution Points
Certificate Template
Certificate Template
CertificatoDigitale
CertificatoDigitale
Certificate Revocation List
Certificate Revocation List
Applicazioni e servizi Public Key-Enabled
Applicazioni e servizi Public Key-Enabled
Un Certificato digitale:Un Certificato digitale:
Verifica l’identità di un utente, computer o di un programma
Contiene informazioni sul soggetto e su chi lo ha rilasciato
E’ firmato da una CA
Verifica l’identità di un utente, computer o di un programma
Contiene informazioni sul soggetto e su chi lo ha rilasciato
E’ firmato da una CA
Certificato DigitaleCertificato Digitale
Estensioni dei CertificatiEstensioni dei Certificati
Estensioni dei Certificati:Estensioni dei Certificati:
Forniscono informazioni addizionali sul soggetto
Contengono i campi versione 1 e versione 3
Forniscono informazioni addizionali sul soggetto
Contengono i campi versione 1 e versione 3
Una certification authority:Una certification authority:
Verifica l’identità di chi ha richiesto un certificato La metodologia di identificazione dipende dal tipo della
CA
Rilascia certificati Il modello del certificato o il certificato richiesto
determinano l’informazione nel certificato
Gestione delle revoca dei certificati La CRL garantisce che i certificati non validi non siano
usati
Verifica l’identità di chi ha richiesto un certificato La metodologia di identificazione dipende dal tipo della
CA
Rilascia certificati Il modello del certificato o il certificato richiesto
determinano l’informazione nel certificato
Gestione delle revoca dei certificati La CRL garantisce che i certificati non validi non siano
usati
Certification AuthorityCertification Authority