Rendere sicure le reti wireless

Commenti

Transcript

Rendere sicure le reti wireless
REMOTE ACCESS
Rendere sicure
le reti wireless
Usare il servizio Routing and Remote Access di Windows 2000
ed i protocolli PPTP o IPSec per rafforzare la sicurezza.
l networking wireless è rapidamente diventato la tecnologia di
networking più eclatante di questo decennio. Non più appannaggio soltanto di superesperti e divoratori di dati
nel weekend, le reti wireless sono diventate alquanto comuni. Chiunque ne abbia
valutato le caratteristiche di sicurezza
può tuttavia rendersi conto facilmente
della poca sicurezza fornita da questo
tipo di reti. Molti avvertimenti e white
paper hanno dimostrato i punti deboli
nella sicurezza dello standard WEP
(Wired Equivalent Privacy), che fa parte
dei protocolli WLAN (Wireless Local
Area Network) 802.11b e 802.1x.
Malgrado questa situazione, molti amministratori sono convinti che il segnale
delle loro reti wireless sia troppo remoto
o troppo contenuto (per esempio, all'interno di un edificio) per poter essere il
bersaglio di eventuali attacchi. In ogni
caso, risorse quali NetStumbler.com
(http://www.netstumbler.com) e la presentazione "Open WLANS" di Peter
Shipley (http://www.dis.org/filez/openlans.pdf) riportano l'accesso a migliaia di
AP (Access Point) wireless nel corso del
cosiddetto "war driving" (ovvero l'effettuazione di una scansione automatica
alla ricerca di reti wireless, mentre ci si
sposta in auto in una certa zona).
Lo standard wireless 802.11b (quello più
popolare e più diffusamente disponibile)
è caratterizzato da due impostazioni
generiche di configurazione, che non
sono in grado di offrire la protezione che
alcuni amministratori si immaginano. In
primo luogo, a volte gli amministratori
dei sistemi hanno l'impressione erronea
che i SSID (Service Set Identifier) siano
legati alla sicurezza. Al contrario, i SSID
non sono correlati alla sicurezza, anche
se è possibile usarli per segregare a livello amministrativo gli utenti wireless in
reti più piccole e più logiche. Dal
momento che i SSID non sono stati
I
www.winxpmag.it www.winmagshop.it
introdotti per essere mantenuti segreti o
privati, il loro uso non contribuisce in
alcun modo ad aumentare la sicurezza
delle reti wireless. Per facilitare le connessioni da parte degli utenti, alcuni
sistemi operativi - come Windows XP effettuano il reporting di tutti i SSID che
trovano. Secondariamente, molti amministratori usano le chiavi WEP per implementare una rudimentale crittografia
wireless. Queste chiavi sono disponibili
in due diverse dimensioni: 40 e 128 bit
(per maggiori informazioni sulla crittografia WEP, fare riferimento all'articolo di
Eric Janszen intitolato "Understanding
Basic WLAN Security Issues", disponibile all'indirizzo http://www.80211planet.
com/columns/article/0,,1781_ 937241,
00. html).
Ovviamente la chiave a 128 bit risulta più
forte ma, a causa dei sostanziali punti
deboli dello schema WEP, consigliamo di
adottare invece un tunnel VPN (Virtual
Private Network) per implementare tutta
la crittografia necessaria.
Questa soluzione funziona bene nelle
reti Windows 2000.
Tre modelli di connettività
Per fornire la connettività di rete wireless
sulle reti Windows 2000 sono disponibili
tre modelli, che si sfruttano reciprocamente. In primo luogo si può usare il servizio ICS (Internet Connection Sharing) e
creare uno scopo DHCP (Dynamic Host
Configuration Protocol) su un server
Windows 2000, al fine di configurare un
gateway wireless di base. Per rendere
sicuro il traffico wireless e fornire una
protezione minima a livello di crittografia,
il secondo modello aggiunge al primo il
servizio Routing and Remote Access di
Windows 2000 ed il protocollo PPTP
(Point To Point Tunneling Protocol). Per
sfruttare la sicurezza più forte attualmente disponibile a livello commerciale, il
terzo modello sostituisce il PPTP con il
protocollo IPSec (Internet Protocol
Security) quale opzione di crittografia.
Nel primo modello più semplice, l'AP
viene connesso al computer Windows
2000 che esegue il servizio ICS (per ottenere maggiori informazioni sul servizio
ICS, fare riferimento al riquadro intitolato
"Related Articles in Previous Issues", disponibile all'indirizzo http://www.winnetmag.com, InstantDoc ID 24873).
Bisogna installare il servizio DHCP e
creare uno scopo DHCP per i client wireless, poi eseguire la procedura guidata
ICS Wizard sul computer collegato a
Internet. Il risultato che si ottiene è quello di un gateway Internet wireless per gli
utenti (e per chiunque altro si trovi a
breve distanza dal vostro AP).
Questo modello non offre comunque
nessun tipo di sicurezza alla rete cablata
o ai client wireless.
Per rendere sicura la nuova connessione
wireless, sarà necessario apportare alcune modifiche all'ambiente - per esempio,
installare un server VPN ed aggiungere la
crittografia. Bisognerà essere certi che
tutti i dati trasmessi sulla rete wireless
restino riservati e che i potenziali intrusi
non possano connettersi arbitrariamente
alla rete, né osservare i dati che vengono
trasferiti su di essa.
Il secondo modello usa il protocollo
PPTP per crittografare i dati wireless.
L'uso dello schema MPPE (Microsoft
Point to Point Encryption) a 128 bit, fornito con l'implementazione Routing and
Remote Access di Windows 2000, può
fornire un'ampia protezione alla rete. La
crittografia dei dati con lo schema MPPE
a 128 bit all'interno di un tunnel GRE
(Generic Routing Encapsulation) offre
una protezione sufficiente per bloccare il
war driver occasionale con poche capacità tecniche. Lo schema MPPE non offre
comunque la reciproca autenticazione di
client e server, né la forte crittografia
3DES (Triple Data Encryption Standard) a
WINDOWS & .NET MAGAZINE
NOVEMBRE 2002
29
REMOTE ACCESS
168 bit che si può ottenere usando l'implementazione di Microsoft dell'IPSec
over L2TP (Layer-2 Tunneling Protocol).
Quasi tutti i ricercatori sui problemi di
sicurezza concordano sul fatto che
attualmente il protocollo IPSec offre la
protezione migliore per la crittografia
wireless. Di conseguenza, il terzo modello (quello più sicuro) usa il protocollo
IPSec invece del PPTP.
Per configurare una rete wireless che usi
l'IPSec, bisogna per prima cosa pianificare una stub network (ovvero una rete
figlia che usa un sottoinsieme degli indirizzi IP della rete padre, ma è segregata
da quest'ultima tramite un router od un
dispositivo gateway) ed impostare il protocollo DHCP ed il servizio Routing and
Remote Access.
La stub network si rende necessaria per
fornire ai client un mezzo per connetter-
Figura 1 Rete wireless esemplificativa.
30
NOVEMBRE 2002
WINDOWS & .NET MAGAZINE
si alla rete wireless. I client wireless possono usare un indirizzo IP assegnato staticamente per collegarsi ad uno degli AP
della rete wireless; per assegnare gli
indirizzi dinamicamente, si può offrire un
servizio DHCP nella stub network.
L'unica risorsa disponibile per i client
sulla rete wireless è costituita dal server
Routing and Remote Access. Qualsiasi
client wireless che voglia accedere alla
rete interna dovrà per prima cosa effettuare la connessione, crittografia ed
autenticazione - in modo simile a quanto
avviene per qualsiasi client Routing and
Remote Access che si connette da
Internet.
Per offrire un esempio di questo tipo di
implementazione, abbiamo impostato un
semplice AP wireless (Cisco Aironet
AP4800 di Cisco Systems) nella configurazione di default e successivamente
abbiamo configurato un SSID in modo da
ottenere una segmentazione wireless.
Il SSID di default del dispositivo era TSUNAMI; il nostro SSID è stato configurato
su JONES.
Abbiamo quindi connesso l'AP - usando
un cavo crossover Ethernet - al server
Routing and Remote Access, che usavamo come server VPN. Questo sistema
era costituito da un Compaq Pentium III
a 650 MHz, su cui girava Windows 2000
Service Pack 2 con il servizio DHCP e
tutte le patch disponibili sulla sicurezza. Il
server disponeva di una seconda connessione Ethernet alla intranet, che
anch'essa forniva la connettività Internet
tramite il gateway di default. I nostri
client wireless usavano XP build 2600,
con tutti gli aggiornamenti disponibili
sulla sicurezza. Questi client usavano
molte diverse schede di accesso wireless, tra cui Aironet 350 e Aironet 340 di
Cisco Systems, WL100 di Compaq e la
serie TrueMobile 1100 di Dell basata su
PC Card. Abbiamo assegnato a ciascun
client un indirizzo IP statico nella stub
network 10.1.1.x, ma abbiamo fatto in
modo che ogni client eseguisse il client
DHCP in modo da rendere possibile l'assegnazione automatica degli indirizzi IP
della rete 169.254.x.x (se preferite operare in questo modo, sostituite gli indirizzi 10.1.1.x indicati nell'articolo con gli
indirizzi in 169.254.x.x.).
La Figura 1 mostra il server, l'AP wireless e la stub network (ovvero 10.1.1.x).
Il server Routing and Remote Access
impedisce la presenza di elementi non
autenticati nella rete.
Al fine di semplificare la dimostrazione
non abbiamo installato Active Directory.
Se la vostra rete usa Active Directory,
potete usare Group Policy e Certificate
Services di Windows 2000 per ottenere
una protezione ancora più elevata (per
connettersi alla rete, gli utenti dovranno
possedere un certificato valido - oltre a
nome e password). L'uso del protocollo
DHCP è accompagnato da implicazioni
significative e può creare ulteriori complicazioni nelle reti che fanno uso di
Active Directory. Per maggiori informazioni sul DHCP e Active Directory, fare
riferimento al già citato riquadro intitolato "Related Articles in Previous Issues".
Un avvertimento: prima di implementare
questo piano nel vostro ambiente produttivo, configurate una rete wireless di
prova che consenta di trovare la soluzione ad ogni piccolo problema, di minimizzare i potenziali rischi e di accertarsi che
la crittografia funzioni in modo appropria-
www.winmagshop.it www.winxpmag.it
REMOTE ACCESS
to. Prima di iniziare, è opportuno individuare eventuali infrastrutture wireless
già esistenti (per esempio, degli AP wireless) che potrebbero essere già in funzione presso il vostro sito. Molti produttori di sistemi wireless includono nelle
loro schede e nei dischi di installazione
degli AP alcuni semplici tool che consentono di effettuare un'indagine nel sito.
Potrete usare una di queste utility per
stabilire se nell'area sia già operativa
qualche infrastruttura wireless.
Configurare il server DHCP
Per creare la rete wireless, bisogna in
primo luogo configurare il servizio DHCP
sul server Routing and Remote Access.
Selezionare DHCP sotto Administrative
Tools, in modo da aprire lo snap-in MMC
(Microsoft Management Console) DHCP.
Al fine di configurare uno scopo per i
client wireless, fare clic con il pulsante
destro del mouse sull'oggetto server nel
riquadro di sinistra della consolle, poi
selezionare New Scope dal menu contestuale, in modo da lanciare la procedura
guidata New Scope Wizard. Fare clic su
Next in modo da superare la schermata
introduttiva.
Indicare un nome per lo scopo; consigliamo di usare un nome descrittivo,
come Trusted Wireless Clients. Fare clic
su Next.
La procedura guidata chiede di definire
un intervallo di indirizzi IP. Dal momento
che la maggior parte degli AP non è in
grado di gestire simultaneamente più di
un paio di decine di client, la decisione di
assegnare ad un AP una completa classe
C è alquanto uno spreco. Nel nostro
caso, abbiamo usato gli indirizzi da
192.168.0.33 a 192.168.0.46 con subnet
mask di 255.255.255.0. Inserire gli indirizzi IP iniziale e finale appropriati per la
vostra rete, insieme ad una lunghezza o
subnet mask, quindi fare clic su Next.
In corrispondenza della schermata Add
Exclusions della procedura guidata,
aggiungere gli eventuali intervalli di indirizzi IP che si desidera escludere. Fare
clic su Next. La schermata Lease
Duration propone un lease time di
default di otto giorni. E’ tuttavia piuttosto
raro che gli utenti wireless - che spesso
sono utenti mobili - abbiano bisogno di
un lease così lungo dell'indirizzo. Per iniziare, consigliamo di usare un lease time
di trenta minuti. Se ci si accorge che gli
indirizzi si stanno esaurendo, si potrà
ridurre questo intervallo di tempo.
Effettuare la selezione appropriata, poi
fare clic su Next.
www.winxpmag.it www.winmagshop.it
Nella schermata Configure DHCP
Options, accettare la risposta di default
di Yes, I want to configure these options
now, poi fare clic su Next. Nella schermata Router (Default Gateway), la procedura guidata chiede di indicare il gateway
di default che verrà usato dai client wireless. Nella nostra rete esemplificativa, il
gateway di default era 192.168.0.1.
Inserire il gateway di default appropriato
per la vostra rete, quindi fare clic su Add
e successivamente su Next.
Nel campo IP Address della schermata
Domain Name and DNS Servers, inserire
gli indirizzi IP appropriati del server DNS
per la vostra rete (dal momento che
abbiamo puntato i client wireless verso il
nostro gateway di default per risolvere i
nomi DNS, noi abbiamo specificato
192.168.0.1). Fare clic su Add dopo l'inserimento di ciascun indirizzo. E’ possibile usare i pulsanti Up e Down per impostare l'ordine di preferenza dei server.
Fare clic su Next dopo aver aggiunto ed
impostato le priorità di tutti gli indirizzi.
Anche se non è necessario usare il servizio WINS (Windows Internet Naming
Service) in questa rete wireless di test,
alcuni client wireless potrebbero eseguire delle applicazioni che lo richiedono. In
questo caso, inserire gli indirizzi IP del
server WINS nella schermata WINS
Servers, usando lo stesso procedimento
che è stato adottato in precedenza per
inserire gli indirizzi IP del server DNS.
Usare i pulsanti Up e Down per impostare secondo le proprie preferenze l'ordine
dei server WINS. Fare clic su Next quando si ha terminato di inserire tutti i server
WINS.
La procedura guidata chiede quindi se
desiderate attivare lo scopo. Lo scopo
deve essere attivato per servire i client
con indirizzi IP dal vostro scopo.
Accettare il default di Yes, I want to activate this scope now, poi fare clic su
Next. Fare clic su Finish per chiudere la
procedura guidata. E’ possibile assegnare gli indirizzi IP ai client wireless in
modo pressochè immediato, ma bisogna
prima impostare il server Routing and
Remote Access in modo che sia possibile crittografare, autenticare ed instradare
correttamente il traffico Internet.
Impostare il server Routing
and Remote Access (VPN)
Dopo aver usato la procedura guidata
successiva, non si sarà più in grado di
fare ping sull'interfaccia esterna del server VPN. Di conseguenza, se si rende
necessario fare un test della connettività
attraverso la propria infrastruttura wireless, bisogna farlo prima di completare la
fase successiva.
Selezionare Routing and Remote Access
sotto Administrative Tools, in modo da
aprire lo snap-in MMC Routing and
Remote Access. Fare clic con il pulsante
destro del mouse sull'oggetto server,
quindi selezionare Configure and Enable
Routing and Remote Access dal menu
contestuale, in modo da attivare la procedura guidata Routing and Remote
Access Server Setup Wizard. Fare clic su
Next per procedere verso la schermata
Common Configurations, selezionare
l'opzione Virtual private network (VPN)
server, quindi fare clic su Next. Premere
ancora Next per accettare il protocollo di
default TCP/IP.
Nella schermata Internet Connection è
necessario effettuare una importante
distinzione. Quando si aggiungono delle
capacità wireless alla propria rete, viene
apportato un cambiamento enorme al
perimetro. Di conseguenza, con gli utenti wireless bisogna prendere le stesse
precauzioni che vengono adottate nei
confronti degli utenti che si connettono
via Internet. Come indica la Figura 1,
qualsiasi client wireless (compresi quelli
untrusted) può connettersi alla rete
10.1.1.x. Di conseguenza, l'interfaccia
esterna del server VPN dovrebbe essere
connessa alla rete 10.1.1.x. Quindi, in
effetti, la vostra nuova connessione
Internet (client untrusted) si trova sulla
rete 10.1.1.x. Selezionare l'adattatore
che si connette a questa rete, poi fare
clic su Next. Si noti che i client wireless
della nostra configurazione esemplificativa hanno degli indirizzi IP assegnati staticamente. Se è necessario offrire il supporto DHCP per i client esterni, bisognerà aggiungere ulteriori scopi DHCP oppure un secondo server DHCP per la rete.
Nella schermata IP Address assignment,
accettare l'opzione di default di assegnare automaticamente gli indirizzi IP ai
client, quindi fare clic su Next. Nella
schermata Managing Multiple Remote
Access Servers, accettare la risposta di
default di “No, I don't want to set up this
server to use RADIUS now”, quindi fare
clic su Next. Fare clic su Finish in modo
che la procedura guidata completi la configurazione del server VPN. Fare clic su
OK per confermare il messaggio di
avvertimento relativo al relay DHCP.
Verrà quindi avviato il nuovo server
Routing and Remote Access, la cui icona
nella consolle Routing and Remote
Access passerà dal colore rosso al
WINDOWS & .NET MAGAZINE
NOVEMBRE 2002
31
REMOTE ACCESS
verde. A questo punto si dispone di un
server Routing and Remote Access funzionale, che usa il protocollo PPTP per la
rete wireless.
Questo server fornisce ai client wireless
un livello minimo di crittografia e la ragionevole certezza che i dati siano sicuri. Se
la crittografia MPPE a 128 bit risulta soddisfacente nel vostro ambiente, potete
fermarvi qui: la vostra rete sarà già più
sicura nelle reti wireless che dipendono
unicamente dalla crittografia WEP (se i
client wireless comprendono dei dispositivi Pocket PC o basati su Windows CE,
attualmente il PPTP è l'unico protocollo
supportato per questi dispositivi). Al fine
di verificare che il traffico wireless risulti
effettivamente crittografato con MPPE,
installare il tool Network Monitor come
descritto
dal
riquadro
intitolato
"Effettuare il monitoring del traffico crittografato".
In ogni caso, l'obiettivo ultimo è quello di
passare dall'MPPE over PPTP ad una
soluzione IPSec over L2TP che usi l'algoritmo 3DES. A questo scopo bisogna
configurare alcune ulteriori opzioni.
Configurare l'IPSec over L2TP
Al fine di comunicare in modo sicuro
usando il protocollo IPSec, bisogna creare una serie di politiche (ovvero un insieme predeterminato di accordi) che permettono di creare in modo sicuro un
canale di comunicazioni (ovvero una SA Security Association). Poichè questo articolo prende in considerazione una configurazione che non prevede un controller
di dominio o Active Directory, è possibile
impostare le politiche IPSec attraverso lo
snap-in MMC Local Security Policy.
Prima di incominciare questa parte della
configurazione bisogna tuttavia tener
conto che, dal momento che abbiamo
fatto l'ipotesi di operare in un ambiente
non-Active Directory nel quale i client
possono essere membri di qualsiasi
dominio, le vostre opzioni di autenticazione si limitano ai certificati rilasciati da
Certificate Services di Windows 2000 ed
ad una chiave precondivisa (ovvero una
chiave segreta condivisa, conosciuta unicamente dal server VPN e dal client wireless). Poichè le chiavi precondivise sono
le meno attraenti (e le meno sicure) tra le
possibili opzioni per instaurare delle
comunicazioni IPSec, descriveremo l'uso
dei certificati (per maggiori informazioni
sul protocollo IPSec, fare riferimento al
già citato riquadro "Related Articles in
Previous Issues").
Selezionare Local Security Policy sotto
Administrative Tools, in modo da aprire la
consolle MMC Local Security Settings.
Nel riquadro di sinistra, fare clic con il
pulsante destro del mouse su IP Security
Policies on Local Machine. Selezionare
Create IP Security Policy dal menu contestuale, in modo da attivare la procedura guidata IP Security Policy Wizard. Fare
clic su Next, poi assegnare alla politica
un nome descrittivo - per esempio,
WLAN Security Policy. Fare clic su Next
e successivamente togliere il segno di
spunta dalla casella di controllo Activate
the default response rule (dal momento
che si sta creando una regola specifica
per i client wireless, questa regola non si
potrà usare come regola di default per
tutti i client IPSec). Fare clic su Next, poi
su Finish, in modo da aprire la finestra di
dialogo Properties relativa alla politica di
Effettuare il monitoring del traffico crittografato
La risoluzione dei problemi del gateway VPN WLAN (Wireless Local Area Network) risulta molto più
semplice quando si usa il tool Network Monitor, disponibile sul CD-ROM di Windows 2000 Server. Si
può usare questo tool per tenere sotto controllo i client wireless e verificare che tutto il traffico risulti crittografato. Sarà inoltre possibile vedere il traffico Internet che lascia l'interfaccia pubblica del
server VPN e si dirige verso il gateway Internet.
Per installare Network Monitor, aprire la applet Add/Remove Programs del Pannello di Controllo. Dal
riquadro di sinistra, selezionare Add/Remove Windows Components. Quando viene visualizzato l'elenco di componenti Windows (questa operazione potrebbe richiedere qualche secondo), scorrere
verso il basso e fare clic su Management and Monitoring Tools.
Fare clic su Details. Nella finestra di dialogo Management and Monitoring Tools, sotto la finestra subcomponents, inserire il segno di spunta nella casella di controllo Network Monitor Tools. Inserire nel
drive il CD-ROM di Windows 2000 Server, quindi fare clic su OK. Fare clic su Next. Il server impiegherà
circa un minuto per configurare i componenti. Fare clic su Finish per completare l'installazione, poi
su Close per chiudere la applet Add/Remove Programs.
A questo punto si potrà accedere a Network Monitor sotto Administrative Tools. Se usate il protocollo PPTP, dovreste vedere unicamente dei pacchetti PPP (Point to Point Protocol) e GRE (Generic
Routing Encapsulation) tra il client ed il server VPN. Se invece usate il protocollo L2TP (Layer-2
Tunneling Protocol) over IPSec (Internet Protocol Security), dovreste vedere unicamente dei pacchetti ISAKMP (Internet Security Association and Key Management Protocol) ed ESP (Encapsulating
Security Payload).
32
NOVEMBRE 2002
WINDOWS & .NET MAGAZINE
www.winmagshop.it www.winxpmag.it
REMOTE ACCESS
sicurezza. Verificare che la casella di controllo Use Add Wizard (nell'angolo inferiore destro della finestra di dialogo) contenga il segno di spunta. Fare clic su Add
per lanciare la procedura guidata Create
IP Security Rule Wizard.
La procedura guidata Create IP Security
Rule Wizard aiuta a configurare i filtri
IPSec che dovranno essere attraversati
dal traffico VPN. Fare clic su Next per tre
volte, in modo da arrivare alla schermata
Authentication Method che offre tre
opzioni di autenticazione: Kerberos, certificati e chiave precondivisa.
Il modo migliore in assoluto per rendere
sicuro il protocollo IPSec (oltre ad essere
quello descritto in questo articolo) usa i
certificati rilasciati dal servizio Certificate
Services di Windows 2000 che esegue
una politica CA (Certificate Authority)
aziendale o indipendente. A meno che
sia già in funzione una infrastruttura
interna per i certificati, questo metodo
aggiunge un elemento di gestione interamente nuovo ai client wireless. Per
ottenere ulteriori informazioni su come
configurare una propria authority CA ed
usare i certificati, fare riferimento agli
articoli di Ken Spencer intitolati "Using
Win2K Certificate Services to Configure
a Standalone CA, Part 1" (http://www.
secadministrator.com, InstantDoc ID
23373) e "Using Win2K Certificate
Services to Configure a Standalone CA,
Part 2" (http://www.secadministrator.
com, InstantDoc ID 23654). Sarà necessario rilasciare dei certificati macchina
(invece dei certificati utente) ai client ed
al server VPN - facciamo l'ipotesi che
abbiate già completato questa operazione. Da questo punto in poi, prima di
potersi unire alla vostra WLAN i nuovi
client wireless dovranno acquisire un
REMOTE ACCESS
certificato macchina attraverso l'interfaccia Web Certificate Services. Per ottenere la massima sicurezza, è opportuno
mantenere sulla intranet il server Web
che ospita questa interfaccia.
Nella schermata Authentication Method
della procedura guidata Create IP
Security Rule Wizard, selezionare l'opzione Use a certificate from this
Certificate Authority (CA). Fare clic su
Browse per visualizzare la lista delle
authority CA trusted, selezionare quella
appropriata, quindi fare clic su OK.
Nella schermata IP Filter List, specificare
gli indirizzi IP, le porte ed i protocolli che
possono usare la vostra politica IPSec.
Fare clic su Add per aprire la finestra di
dialogo IP Filter List. Assegnare al filtro
un nome descrittivo, come WLAN Filter.
Verificare che la casella di controllo Use
Add Wizard contenga il segno di spunta.
Fare clic su Add per attivare la procedura
guidata IP Filter Wizard.
Fare clic su Next per due volte. Nella
schermata IP Traffic Destination, selezionare A specific IP Subnet dalla lista scorrevole. Inserire l'indirizzo IP e la subnet
mask che meglio rappresentano la
vostra WLAN. Questo intervallo dovrebbe includere gli indirizzi IP che avete
assegnato ai client wireless, più che la
pool degli indirizzi disponibili che è stata
fornita al server DHCP (abbiamo usato
l'indirizzo IP di 10.1.1.32 e la subnet
mask di 255.255.255.224 al fine di permettere l'uso di questa regola ai client da
10.1.1.33 a 10.1.1.62). Fare clic su Next
per due volte, poi su Finish, poi ancora
su Close. A questo punto, la schermata
IP Filter List visualizzerà il vostro nuovo
filtro IP (ovvero WLAN Filter).
Selezionare il filtro e fare clic su Next.
Nella schermata Filter Action, fare clic su
Add per attivare la procedura guidata IP
Security Filter Action Wizard.
Fare clic su Next per superare la schermata introduttiva della procedura.
Specificare un nome descrittivo per l'azione del filtro - per esempio, WLAN IP
Sec Filter Action. Fare clic su Next.
Nella schermata Filter Actions General
Options, verificare che la casella di controllo Negotiate Security contenga il
segno di spunta, quindi fare clic su Next
per due volte. Nella schermata IP Sec
Security, fare clic su Next. Nella schermata IP Traffic Security, selezionare
Custom, poi fare clic su Settings in modo
da aprire la finestra di dialogo Custom
Security Method Settings.
Si noti che l'algoritmo di crittografia è
impostato su DES. Se disponete della
34
NOVEMBRE 2002
WINDOWS & .NET MAGAZINE
licenza per usare l'algoritmo 3DES e
desiderate avere questo livello di crittografia più elevato, selezionate 3DES dalla
lista scorrevole Encryption Algorithm (il
DES - Data Encryption Standard - è un
algoritmo a 56 bit, mentre il 3DES offre
una crittografia più sofisticata, a 168 bit).
Dopo aver selezionato l'algoritmo di crittografia, inserire il segno di spunta in
entrambe le caselle di controllo sotto
Session Key Settings e successivamente fare clic su OK in modo da chiudere la
finestra di dialogo. Fare clic su Next, poi
su Finish, per chiudere la procedura guidata IP Security Filter Action Wizard.
Selezionare la nuova azione del filtro
(ovvero WLAN IP Sec Filter Action) e
fare clic su Next. Verificare che la casella
di controllo Edit Properties non contenga
il segno di spunta, quindi i fare clic su
Finish. Fare clic su Close per chiudere la
procedura guidata Security Policy
Wizard.
Congratulazioni, avete configurato la
vostra prima politica IPSec!
La fase finale consiste nell'assegnare la
nuova politica ai client wireless. Fare
clic con il pulsante destro del
mouse sulla politica (ovvero
WLAN Security Policy)
nel riquadro di
destra della
consolle
Local
Security Settings, poi selezionare
Assign. Si noti che, dopo l'assegnazione
della politica, la colonna Policy Assigned
specificherà Yes e l'icona dell'oggetto
della politica conterrà un contrassegno
verde.
Configurare il client VPN
A questo punto è possibile configurare i
client VPN in modo che puntino al server
Routing and Remote Access ed usino la
crittografia IPSec. Su un client XP, come
quello che abbiamo usato in questo test,
selezionare Start, Connect To, Show All
Connections. Fare clic su Create a New
Connection, in modo da aprire la procedura guidata New Connection Wizard.
Fare clic su Next. Selezionare l'opzione
Connect to the network at my workplace
option, poi fare clic su Next. Selezionare
l'opzione Virtual Private Network
Connection, quindi fare clic su Next.
Fornire un Company Name descrittivo,
come WLAN Network. Fare clic su Next.
Selezionare l'opzione Do not dial the initial connection.
www.winmagshop.it www.winxpmag.it
REMOTE ACCESS
Nella schermata VPN Server selection,
inserire l'indirizzo IP esterno del server
VPN (per esempio, 10.1.1.1). Fare clic su
Next. Se non desiderate che i client condividano questa connessione con altri
utenti, dovete accettare il valore di
default My Use Only. Fare clic su Next,
poi su Finish, in modo da completare la
configurazione della connessione ed
aprire automaticamente la finestra di dialogo Connect WLAN Network.
In questa finestra inserire le credenziali
di rete appropriate, poi fare clic su
Properties e porsi in corrispondenza
della scheda Security della finestra di dialogo Properties. Selezionare Advanced
(custom settings), poi fare clic su
Settings. Sotto Logon Security, selezionare Use Extensible Authentication
Protocol (EAP). Verificare che dalla lista
scorrevole sia stato selezionato Smart
Card or Other Certificate, quindi fare clic
su Properties. Nella finestra di dialogo
che viene visualizzata, aprire la lista scor-
revole relativa alla trusted root certificate
authority. Selezionare la CA radice dell'infrastruttura di certificati che dovrà
essere usata per i client wireless.
Selezionare anche Use a certificate on
this computer.
Fare clic su OK per due volte, in modo da
chiudere le finestre di dialogo.
Porsi in corrispondenza della scheda
Networking. Nella lista scorrevole Type
of VPN, selezionare il protocollo appropriato (PPTP, o L2TP over IPSec).
Fare clic su OK per ritornare alla finestra
di dialogo Connect WLAN Network, poi
fare clic su Connect per creare una connessione VPN. Quando si è connessi,
usare ancora Network Monitor (vedere il
riquadro intitolato "Il monitoring del traffico crittografato") per verificare che il traffico risulti effettivamente crittografato.
Sentirsi più sicuri
Abbiamo indicato come usare la tecnologia correntemente disponibile al fine di
creare un ambiente sicuro per i propri
client wireless.
L'esperienza degli utenti finali potrà
variare notevolmente secondo le condizioni geografiche, architetturali, la distanza dagli AP, il numero di utenti e l'eventuale presenza di altre installazioni wireless. Con l'utilizzo di questa architettura,
potrete tuttavia sentirvi più sicuri implementando il networking wireless nel
vostro ambiente.
a cura di
Allen Jones
Allen Jones ([email protected]) è chief architect presso Sprint Enterprise Network
Services di Houston.
E’ MCSE (Microsoft Certified Systems
Engineer) + Internet, CISSP, MCT
(Microsoft Certified Trainer) e CCNA
(Cisco Certified Network Associate).
Il suo ultimo libro si intitola "Migrating
to Windows 2000" (Sybex).
ARTICOLI IN ITALIANO:
Prosegue il nostro viaggio nel mondo dei remote management tool
• Software per il controllo remoto - Larry J. Seltzer
• Un caso ideale per Terminal Server
Terminal Server risolve un problema di accesso remoto
Sean Daily
ARTICOLI IN INGLESE:
• What's New in Routing and Remote Access
An in-depth look at the features and capabilities of Win2K's updated version of RRAS - Sean Daily
• Windows 2000 Terminal Services RC1
A tool for implementing terminal services in your network - Christa Anderson
• Pathways to Collaboration
Pathways to Collaboration - Jeff Shapiro
S O F T W A R E S E L E Z I O N AT O :
www.winxpmag.it www.winmagshop.it
WINDOWS & .NET MAGAZINE
NOVEMBRE 2002
35