Rendere sicure le reti wireless
Transcript
Rendere sicure le reti wireless
REMOTE ACCESS Rendere sicure le reti wireless Usare il servizio Routing and Remote Access di Windows 2000 ed i protocolli PPTP o IPSec per rafforzare la sicurezza. l networking wireless è rapidamente diventato la tecnologia di networking più eclatante di questo decennio. Non più appannaggio soltanto di superesperti e divoratori di dati nel weekend, le reti wireless sono diventate alquanto comuni. Chiunque ne abbia valutato le caratteristiche di sicurezza può tuttavia rendersi conto facilmente della poca sicurezza fornita da questo tipo di reti. Molti avvertimenti e white paper hanno dimostrato i punti deboli nella sicurezza dello standard WEP (Wired Equivalent Privacy), che fa parte dei protocolli WLAN (Wireless Local Area Network) 802.11b e 802.1x. Malgrado questa situazione, molti amministratori sono convinti che il segnale delle loro reti wireless sia troppo remoto o troppo contenuto (per esempio, all'interno di un edificio) per poter essere il bersaglio di eventuali attacchi. In ogni caso, risorse quali NetStumbler.com (http://www.netstumbler.com) e la presentazione "Open WLANS" di Peter Shipley (http://www.dis.org/filez/openlans.pdf) riportano l'accesso a migliaia di AP (Access Point) wireless nel corso del cosiddetto "war driving" (ovvero l'effettuazione di una scansione automatica alla ricerca di reti wireless, mentre ci si sposta in auto in una certa zona). Lo standard wireless 802.11b (quello più popolare e più diffusamente disponibile) è caratterizzato da due impostazioni generiche di configurazione, che non sono in grado di offrire la protezione che alcuni amministratori si immaginano. In primo luogo, a volte gli amministratori dei sistemi hanno l'impressione erronea che i SSID (Service Set Identifier) siano legati alla sicurezza. Al contrario, i SSID non sono correlati alla sicurezza, anche se è possibile usarli per segregare a livello amministrativo gli utenti wireless in reti più piccole e più logiche. Dal momento che i SSID non sono stati I www.winxpmag.it www.winmagshop.it introdotti per essere mantenuti segreti o privati, il loro uso non contribuisce in alcun modo ad aumentare la sicurezza delle reti wireless. Per facilitare le connessioni da parte degli utenti, alcuni sistemi operativi - come Windows XP effettuano il reporting di tutti i SSID che trovano. Secondariamente, molti amministratori usano le chiavi WEP per implementare una rudimentale crittografia wireless. Queste chiavi sono disponibili in due diverse dimensioni: 40 e 128 bit (per maggiori informazioni sulla crittografia WEP, fare riferimento all'articolo di Eric Janszen intitolato "Understanding Basic WLAN Security Issues", disponibile all'indirizzo http://www.80211planet. com/columns/article/0,,1781_ 937241, 00. html). Ovviamente la chiave a 128 bit risulta più forte ma, a causa dei sostanziali punti deboli dello schema WEP, consigliamo di adottare invece un tunnel VPN (Virtual Private Network) per implementare tutta la crittografia necessaria. Questa soluzione funziona bene nelle reti Windows 2000. Tre modelli di connettività Per fornire la connettività di rete wireless sulle reti Windows 2000 sono disponibili tre modelli, che si sfruttano reciprocamente. In primo luogo si può usare il servizio ICS (Internet Connection Sharing) e creare uno scopo DHCP (Dynamic Host Configuration Protocol) su un server Windows 2000, al fine di configurare un gateway wireless di base. Per rendere sicuro il traffico wireless e fornire una protezione minima a livello di crittografia, il secondo modello aggiunge al primo il servizio Routing and Remote Access di Windows 2000 ed il protocollo PPTP (Point To Point Tunneling Protocol). Per sfruttare la sicurezza più forte attualmente disponibile a livello commerciale, il terzo modello sostituisce il PPTP con il protocollo IPSec (Internet Protocol Security) quale opzione di crittografia. Nel primo modello più semplice, l'AP viene connesso al computer Windows 2000 che esegue il servizio ICS (per ottenere maggiori informazioni sul servizio ICS, fare riferimento al riquadro intitolato "Related Articles in Previous Issues", disponibile all'indirizzo http://www.winnetmag.com, InstantDoc ID 24873). Bisogna installare il servizio DHCP e creare uno scopo DHCP per i client wireless, poi eseguire la procedura guidata ICS Wizard sul computer collegato a Internet. Il risultato che si ottiene è quello di un gateway Internet wireless per gli utenti (e per chiunque altro si trovi a breve distanza dal vostro AP). Questo modello non offre comunque nessun tipo di sicurezza alla rete cablata o ai client wireless. Per rendere sicura la nuova connessione wireless, sarà necessario apportare alcune modifiche all'ambiente - per esempio, installare un server VPN ed aggiungere la crittografia. Bisognerà essere certi che tutti i dati trasmessi sulla rete wireless restino riservati e che i potenziali intrusi non possano connettersi arbitrariamente alla rete, né osservare i dati che vengono trasferiti su di essa. Il secondo modello usa il protocollo PPTP per crittografare i dati wireless. L'uso dello schema MPPE (Microsoft Point to Point Encryption) a 128 bit, fornito con l'implementazione Routing and Remote Access di Windows 2000, può fornire un'ampia protezione alla rete. La crittografia dei dati con lo schema MPPE a 128 bit all'interno di un tunnel GRE (Generic Routing Encapsulation) offre una protezione sufficiente per bloccare il war driver occasionale con poche capacità tecniche. Lo schema MPPE non offre comunque la reciproca autenticazione di client e server, né la forte crittografia 3DES (Triple Data Encryption Standard) a WINDOWS & .NET MAGAZINE NOVEMBRE 2002 29 REMOTE ACCESS 168 bit che si può ottenere usando l'implementazione di Microsoft dell'IPSec over L2TP (Layer-2 Tunneling Protocol). Quasi tutti i ricercatori sui problemi di sicurezza concordano sul fatto che attualmente il protocollo IPSec offre la protezione migliore per la crittografia wireless. Di conseguenza, il terzo modello (quello più sicuro) usa il protocollo IPSec invece del PPTP. Per configurare una rete wireless che usi l'IPSec, bisogna per prima cosa pianificare una stub network (ovvero una rete figlia che usa un sottoinsieme degli indirizzi IP della rete padre, ma è segregata da quest'ultima tramite un router od un dispositivo gateway) ed impostare il protocollo DHCP ed il servizio Routing and Remote Access. La stub network si rende necessaria per fornire ai client un mezzo per connetter- Figura 1 Rete wireless esemplificativa. 30 NOVEMBRE 2002 WINDOWS & .NET MAGAZINE si alla rete wireless. I client wireless possono usare un indirizzo IP assegnato staticamente per collegarsi ad uno degli AP della rete wireless; per assegnare gli indirizzi dinamicamente, si può offrire un servizio DHCP nella stub network. L'unica risorsa disponibile per i client sulla rete wireless è costituita dal server Routing and Remote Access. Qualsiasi client wireless che voglia accedere alla rete interna dovrà per prima cosa effettuare la connessione, crittografia ed autenticazione - in modo simile a quanto avviene per qualsiasi client Routing and Remote Access che si connette da Internet. Per offrire un esempio di questo tipo di implementazione, abbiamo impostato un semplice AP wireless (Cisco Aironet AP4800 di Cisco Systems) nella configurazione di default e successivamente abbiamo configurato un SSID in modo da ottenere una segmentazione wireless. Il SSID di default del dispositivo era TSUNAMI; il nostro SSID è stato configurato su JONES. Abbiamo quindi connesso l'AP - usando un cavo crossover Ethernet - al server Routing and Remote Access, che usavamo come server VPN. Questo sistema era costituito da un Compaq Pentium III a 650 MHz, su cui girava Windows 2000 Service Pack 2 con il servizio DHCP e tutte le patch disponibili sulla sicurezza. Il server disponeva di una seconda connessione Ethernet alla intranet, che anch'essa forniva la connettività Internet tramite il gateway di default. I nostri client wireless usavano XP build 2600, con tutti gli aggiornamenti disponibili sulla sicurezza. Questi client usavano molte diverse schede di accesso wireless, tra cui Aironet 350 e Aironet 340 di Cisco Systems, WL100 di Compaq e la serie TrueMobile 1100 di Dell basata su PC Card. Abbiamo assegnato a ciascun client un indirizzo IP statico nella stub network 10.1.1.x, ma abbiamo fatto in modo che ogni client eseguisse il client DHCP in modo da rendere possibile l'assegnazione automatica degli indirizzi IP della rete 169.254.x.x (se preferite operare in questo modo, sostituite gli indirizzi 10.1.1.x indicati nell'articolo con gli indirizzi in 169.254.x.x.). La Figura 1 mostra il server, l'AP wireless e la stub network (ovvero 10.1.1.x). Il server Routing and Remote Access impedisce la presenza di elementi non autenticati nella rete. Al fine di semplificare la dimostrazione non abbiamo installato Active Directory. Se la vostra rete usa Active Directory, potete usare Group Policy e Certificate Services di Windows 2000 per ottenere una protezione ancora più elevata (per connettersi alla rete, gli utenti dovranno possedere un certificato valido - oltre a nome e password). L'uso del protocollo DHCP è accompagnato da implicazioni significative e può creare ulteriori complicazioni nelle reti che fanno uso di Active Directory. Per maggiori informazioni sul DHCP e Active Directory, fare riferimento al già citato riquadro intitolato "Related Articles in Previous Issues". Un avvertimento: prima di implementare questo piano nel vostro ambiente produttivo, configurate una rete wireless di prova che consenta di trovare la soluzione ad ogni piccolo problema, di minimizzare i potenziali rischi e di accertarsi che la crittografia funzioni in modo appropria- www.winmagshop.it www.winxpmag.it REMOTE ACCESS to. Prima di iniziare, è opportuno individuare eventuali infrastrutture wireless già esistenti (per esempio, degli AP wireless) che potrebbero essere già in funzione presso il vostro sito. Molti produttori di sistemi wireless includono nelle loro schede e nei dischi di installazione degli AP alcuni semplici tool che consentono di effettuare un'indagine nel sito. Potrete usare una di queste utility per stabilire se nell'area sia già operativa qualche infrastruttura wireless. Configurare il server DHCP Per creare la rete wireless, bisogna in primo luogo configurare il servizio DHCP sul server Routing and Remote Access. Selezionare DHCP sotto Administrative Tools, in modo da aprire lo snap-in MMC (Microsoft Management Console) DHCP. Al fine di configurare uno scopo per i client wireless, fare clic con il pulsante destro del mouse sull'oggetto server nel riquadro di sinistra della consolle, poi selezionare New Scope dal menu contestuale, in modo da lanciare la procedura guidata New Scope Wizard. Fare clic su Next in modo da superare la schermata introduttiva. Indicare un nome per lo scopo; consigliamo di usare un nome descrittivo, come Trusted Wireless Clients. Fare clic su Next. La procedura guidata chiede di definire un intervallo di indirizzi IP. Dal momento che la maggior parte degli AP non è in grado di gestire simultaneamente più di un paio di decine di client, la decisione di assegnare ad un AP una completa classe C è alquanto uno spreco. Nel nostro caso, abbiamo usato gli indirizzi da 192.168.0.33 a 192.168.0.46 con subnet mask di 255.255.255.0. Inserire gli indirizzi IP iniziale e finale appropriati per la vostra rete, insieme ad una lunghezza o subnet mask, quindi fare clic su Next. In corrispondenza della schermata Add Exclusions della procedura guidata, aggiungere gli eventuali intervalli di indirizzi IP che si desidera escludere. Fare clic su Next. La schermata Lease Duration propone un lease time di default di otto giorni. E’ tuttavia piuttosto raro che gli utenti wireless - che spesso sono utenti mobili - abbiano bisogno di un lease così lungo dell'indirizzo. Per iniziare, consigliamo di usare un lease time di trenta minuti. Se ci si accorge che gli indirizzi si stanno esaurendo, si potrà ridurre questo intervallo di tempo. Effettuare la selezione appropriata, poi fare clic su Next. www.winxpmag.it www.winmagshop.it Nella schermata Configure DHCP Options, accettare la risposta di default di Yes, I want to configure these options now, poi fare clic su Next. Nella schermata Router (Default Gateway), la procedura guidata chiede di indicare il gateway di default che verrà usato dai client wireless. Nella nostra rete esemplificativa, il gateway di default era 192.168.0.1. Inserire il gateway di default appropriato per la vostra rete, quindi fare clic su Add e successivamente su Next. Nel campo IP Address della schermata Domain Name and DNS Servers, inserire gli indirizzi IP appropriati del server DNS per la vostra rete (dal momento che abbiamo puntato i client wireless verso il nostro gateway di default per risolvere i nomi DNS, noi abbiamo specificato 192.168.0.1). Fare clic su Add dopo l'inserimento di ciascun indirizzo. E’ possibile usare i pulsanti Up e Down per impostare l'ordine di preferenza dei server. Fare clic su Next dopo aver aggiunto ed impostato le priorità di tutti gli indirizzi. Anche se non è necessario usare il servizio WINS (Windows Internet Naming Service) in questa rete wireless di test, alcuni client wireless potrebbero eseguire delle applicazioni che lo richiedono. In questo caso, inserire gli indirizzi IP del server WINS nella schermata WINS Servers, usando lo stesso procedimento che è stato adottato in precedenza per inserire gli indirizzi IP del server DNS. Usare i pulsanti Up e Down per impostare secondo le proprie preferenze l'ordine dei server WINS. Fare clic su Next quando si ha terminato di inserire tutti i server WINS. La procedura guidata chiede quindi se desiderate attivare lo scopo. Lo scopo deve essere attivato per servire i client con indirizzi IP dal vostro scopo. Accettare il default di Yes, I want to activate this scope now, poi fare clic su Next. Fare clic su Finish per chiudere la procedura guidata. E’ possibile assegnare gli indirizzi IP ai client wireless in modo pressochè immediato, ma bisogna prima impostare il server Routing and Remote Access in modo che sia possibile crittografare, autenticare ed instradare correttamente il traffico Internet. Impostare il server Routing and Remote Access (VPN) Dopo aver usato la procedura guidata successiva, non si sarà più in grado di fare ping sull'interfaccia esterna del server VPN. Di conseguenza, se si rende necessario fare un test della connettività attraverso la propria infrastruttura wireless, bisogna farlo prima di completare la fase successiva. Selezionare Routing and Remote Access sotto Administrative Tools, in modo da aprire lo snap-in MMC Routing and Remote Access. Fare clic con il pulsante destro del mouse sull'oggetto server, quindi selezionare Configure and Enable Routing and Remote Access dal menu contestuale, in modo da attivare la procedura guidata Routing and Remote Access Server Setup Wizard. Fare clic su Next per procedere verso la schermata Common Configurations, selezionare l'opzione Virtual private network (VPN) server, quindi fare clic su Next. Premere ancora Next per accettare il protocollo di default TCP/IP. Nella schermata Internet Connection è necessario effettuare una importante distinzione. Quando si aggiungono delle capacità wireless alla propria rete, viene apportato un cambiamento enorme al perimetro. Di conseguenza, con gli utenti wireless bisogna prendere le stesse precauzioni che vengono adottate nei confronti degli utenti che si connettono via Internet. Come indica la Figura 1, qualsiasi client wireless (compresi quelli untrusted) può connettersi alla rete 10.1.1.x. Di conseguenza, l'interfaccia esterna del server VPN dovrebbe essere connessa alla rete 10.1.1.x. Quindi, in effetti, la vostra nuova connessione Internet (client untrusted) si trova sulla rete 10.1.1.x. Selezionare l'adattatore che si connette a questa rete, poi fare clic su Next. Si noti che i client wireless della nostra configurazione esemplificativa hanno degli indirizzi IP assegnati staticamente. Se è necessario offrire il supporto DHCP per i client esterni, bisognerà aggiungere ulteriori scopi DHCP oppure un secondo server DHCP per la rete. Nella schermata IP Address assignment, accettare l'opzione di default di assegnare automaticamente gli indirizzi IP ai client, quindi fare clic su Next. Nella schermata Managing Multiple Remote Access Servers, accettare la risposta di default di “No, I don't want to set up this server to use RADIUS now”, quindi fare clic su Next. Fare clic su Finish in modo che la procedura guidata completi la configurazione del server VPN. Fare clic su OK per confermare il messaggio di avvertimento relativo al relay DHCP. Verrà quindi avviato il nuovo server Routing and Remote Access, la cui icona nella consolle Routing and Remote Access passerà dal colore rosso al WINDOWS & .NET MAGAZINE NOVEMBRE 2002 31 REMOTE ACCESS verde. A questo punto si dispone di un server Routing and Remote Access funzionale, che usa il protocollo PPTP per la rete wireless. Questo server fornisce ai client wireless un livello minimo di crittografia e la ragionevole certezza che i dati siano sicuri. Se la crittografia MPPE a 128 bit risulta soddisfacente nel vostro ambiente, potete fermarvi qui: la vostra rete sarà già più sicura nelle reti wireless che dipendono unicamente dalla crittografia WEP (se i client wireless comprendono dei dispositivi Pocket PC o basati su Windows CE, attualmente il PPTP è l'unico protocollo supportato per questi dispositivi). Al fine di verificare che il traffico wireless risulti effettivamente crittografato con MPPE, installare il tool Network Monitor come descritto dal riquadro intitolato "Effettuare il monitoring del traffico crittografato". In ogni caso, l'obiettivo ultimo è quello di passare dall'MPPE over PPTP ad una soluzione IPSec over L2TP che usi l'algoritmo 3DES. A questo scopo bisogna configurare alcune ulteriori opzioni. Configurare l'IPSec over L2TP Al fine di comunicare in modo sicuro usando il protocollo IPSec, bisogna creare una serie di politiche (ovvero un insieme predeterminato di accordi) che permettono di creare in modo sicuro un canale di comunicazioni (ovvero una SA Security Association). Poichè questo articolo prende in considerazione una configurazione che non prevede un controller di dominio o Active Directory, è possibile impostare le politiche IPSec attraverso lo snap-in MMC Local Security Policy. Prima di incominciare questa parte della configurazione bisogna tuttavia tener conto che, dal momento che abbiamo fatto l'ipotesi di operare in un ambiente non-Active Directory nel quale i client possono essere membri di qualsiasi dominio, le vostre opzioni di autenticazione si limitano ai certificati rilasciati da Certificate Services di Windows 2000 ed ad una chiave precondivisa (ovvero una chiave segreta condivisa, conosciuta unicamente dal server VPN e dal client wireless). Poichè le chiavi precondivise sono le meno attraenti (e le meno sicure) tra le possibili opzioni per instaurare delle comunicazioni IPSec, descriveremo l'uso dei certificati (per maggiori informazioni sul protocollo IPSec, fare riferimento al già citato riquadro "Related Articles in Previous Issues"). Selezionare Local Security Policy sotto Administrative Tools, in modo da aprire la consolle MMC Local Security Settings. Nel riquadro di sinistra, fare clic con il pulsante destro del mouse su IP Security Policies on Local Machine. Selezionare Create IP Security Policy dal menu contestuale, in modo da attivare la procedura guidata IP Security Policy Wizard. Fare clic su Next, poi assegnare alla politica un nome descrittivo - per esempio, WLAN Security Policy. Fare clic su Next e successivamente togliere il segno di spunta dalla casella di controllo Activate the default response rule (dal momento che si sta creando una regola specifica per i client wireless, questa regola non si potrà usare come regola di default per tutti i client IPSec). Fare clic su Next, poi su Finish, in modo da aprire la finestra di dialogo Properties relativa alla politica di Effettuare il monitoring del traffico crittografato La risoluzione dei problemi del gateway VPN WLAN (Wireless Local Area Network) risulta molto più semplice quando si usa il tool Network Monitor, disponibile sul CD-ROM di Windows 2000 Server. Si può usare questo tool per tenere sotto controllo i client wireless e verificare che tutto il traffico risulti crittografato. Sarà inoltre possibile vedere il traffico Internet che lascia l'interfaccia pubblica del server VPN e si dirige verso il gateway Internet. Per installare Network Monitor, aprire la applet Add/Remove Programs del Pannello di Controllo. Dal riquadro di sinistra, selezionare Add/Remove Windows Components. Quando viene visualizzato l'elenco di componenti Windows (questa operazione potrebbe richiedere qualche secondo), scorrere verso il basso e fare clic su Management and Monitoring Tools. Fare clic su Details. Nella finestra di dialogo Management and Monitoring Tools, sotto la finestra subcomponents, inserire il segno di spunta nella casella di controllo Network Monitor Tools. Inserire nel drive il CD-ROM di Windows 2000 Server, quindi fare clic su OK. Fare clic su Next. Il server impiegherà circa un minuto per configurare i componenti. Fare clic su Finish per completare l'installazione, poi su Close per chiudere la applet Add/Remove Programs. A questo punto si potrà accedere a Network Monitor sotto Administrative Tools. Se usate il protocollo PPTP, dovreste vedere unicamente dei pacchetti PPP (Point to Point Protocol) e GRE (Generic Routing Encapsulation) tra il client ed il server VPN. Se invece usate il protocollo L2TP (Layer-2 Tunneling Protocol) over IPSec (Internet Protocol Security), dovreste vedere unicamente dei pacchetti ISAKMP (Internet Security Association and Key Management Protocol) ed ESP (Encapsulating Security Payload). 32 NOVEMBRE 2002 WINDOWS & .NET MAGAZINE www.winmagshop.it www.winxpmag.it REMOTE ACCESS sicurezza. Verificare che la casella di controllo Use Add Wizard (nell'angolo inferiore destro della finestra di dialogo) contenga il segno di spunta. Fare clic su Add per lanciare la procedura guidata Create IP Security Rule Wizard. La procedura guidata Create IP Security Rule Wizard aiuta a configurare i filtri IPSec che dovranno essere attraversati dal traffico VPN. Fare clic su Next per tre volte, in modo da arrivare alla schermata Authentication Method che offre tre opzioni di autenticazione: Kerberos, certificati e chiave precondivisa. Il modo migliore in assoluto per rendere sicuro il protocollo IPSec (oltre ad essere quello descritto in questo articolo) usa i certificati rilasciati dal servizio Certificate Services di Windows 2000 che esegue una politica CA (Certificate Authority) aziendale o indipendente. A meno che sia già in funzione una infrastruttura interna per i certificati, questo metodo aggiunge un elemento di gestione interamente nuovo ai client wireless. Per ottenere ulteriori informazioni su come configurare una propria authority CA ed usare i certificati, fare riferimento agli articoli di Ken Spencer intitolati "Using Win2K Certificate Services to Configure a Standalone CA, Part 1" (http://www. secadministrator.com, InstantDoc ID 23373) e "Using Win2K Certificate Services to Configure a Standalone CA, Part 2" (http://www.secadministrator. com, InstantDoc ID 23654). Sarà necessario rilasciare dei certificati macchina (invece dei certificati utente) ai client ed al server VPN - facciamo l'ipotesi che abbiate già completato questa operazione. Da questo punto in poi, prima di potersi unire alla vostra WLAN i nuovi client wireless dovranno acquisire un REMOTE ACCESS certificato macchina attraverso l'interfaccia Web Certificate Services. Per ottenere la massima sicurezza, è opportuno mantenere sulla intranet il server Web che ospita questa interfaccia. Nella schermata Authentication Method della procedura guidata Create IP Security Rule Wizard, selezionare l'opzione Use a certificate from this Certificate Authority (CA). Fare clic su Browse per visualizzare la lista delle authority CA trusted, selezionare quella appropriata, quindi fare clic su OK. Nella schermata IP Filter List, specificare gli indirizzi IP, le porte ed i protocolli che possono usare la vostra politica IPSec. Fare clic su Add per aprire la finestra di dialogo IP Filter List. Assegnare al filtro un nome descrittivo, come WLAN Filter. Verificare che la casella di controllo Use Add Wizard contenga il segno di spunta. Fare clic su Add per attivare la procedura guidata IP Filter Wizard. Fare clic su Next per due volte. Nella schermata IP Traffic Destination, selezionare A specific IP Subnet dalla lista scorrevole. Inserire l'indirizzo IP e la subnet mask che meglio rappresentano la vostra WLAN. Questo intervallo dovrebbe includere gli indirizzi IP che avete assegnato ai client wireless, più che la pool degli indirizzi disponibili che è stata fornita al server DHCP (abbiamo usato l'indirizzo IP di 10.1.1.32 e la subnet mask di 255.255.255.224 al fine di permettere l'uso di questa regola ai client da 10.1.1.33 a 10.1.1.62). Fare clic su Next per due volte, poi su Finish, poi ancora su Close. A questo punto, la schermata IP Filter List visualizzerà il vostro nuovo filtro IP (ovvero WLAN Filter). Selezionare il filtro e fare clic su Next. Nella schermata Filter Action, fare clic su Add per attivare la procedura guidata IP Security Filter Action Wizard. Fare clic su Next per superare la schermata introduttiva della procedura. Specificare un nome descrittivo per l'azione del filtro - per esempio, WLAN IP Sec Filter Action. Fare clic su Next. Nella schermata Filter Actions General Options, verificare che la casella di controllo Negotiate Security contenga il segno di spunta, quindi fare clic su Next per due volte. Nella schermata IP Sec Security, fare clic su Next. Nella schermata IP Traffic Security, selezionare Custom, poi fare clic su Settings in modo da aprire la finestra di dialogo Custom Security Method Settings. Si noti che l'algoritmo di crittografia è impostato su DES. Se disponete della 34 NOVEMBRE 2002 WINDOWS & .NET MAGAZINE licenza per usare l'algoritmo 3DES e desiderate avere questo livello di crittografia più elevato, selezionate 3DES dalla lista scorrevole Encryption Algorithm (il DES - Data Encryption Standard - è un algoritmo a 56 bit, mentre il 3DES offre una crittografia più sofisticata, a 168 bit). Dopo aver selezionato l'algoritmo di crittografia, inserire il segno di spunta in entrambe le caselle di controllo sotto Session Key Settings e successivamente fare clic su OK in modo da chiudere la finestra di dialogo. Fare clic su Next, poi su Finish, per chiudere la procedura guidata IP Security Filter Action Wizard. Selezionare la nuova azione del filtro (ovvero WLAN IP Sec Filter Action) e fare clic su Next. Verificare che la casella di controllo Edit Properties non contenga il segno di spunta, quindi i fare clic su Finish. Fare clic su Close per chiudere la procedura guidata Security Policy Wizard. Congratulazioni, avete configurato la vostra prima politica IPSec! La fase finale consiste nell'assegnare la nuova politica ai client wireless. Fare clic con il pulsante destro del mouse sulla politica (ovvero WLAN Security Policy) nel riquadro di destra della consolle Local Security Settings, poi selezionare Assign. Si noti che, dopo l'assegnazione della politica, la colonna Policy Assigned specificherà Yes e l'icona dell'oggetto della politica conterrà un contrassegno verde. Configurare il client VPN A questo punto è possibile configurare i client VPN in modo che puntino al server Routing and Remote Access ed usino la crittografia IPSec. Su un client XP, come quello che abbiamo usato in questo test, selezionare Start, Connect To, Show All Connections. Fare clic su Create a New Connection, in modo da aprire la procedura guidata New Connection Wizard. Fare clic su Next. Selezionare l'opzione Connect to the network at my workplace option, poi fare clic su Next. Selezionare l'opzione Virtual Private Network Connection, quindi fare clic su Next. Fornire un Company Name descrittivo, come WLAN Network. Fare clic su Next. Selezionare l'opzione Do not dial the initial connection. www.winmagshop.it www.winxpmag.it REMOTE ACCESS Nella schermata VPN Server selection, inserire l'indirizzo IP esterno del server VPN (per esempio, 10.1.1.1). Fare clic su Next. Se non desiderate che i client condividano questa connessione con altri utenti, dovete accettare il valore di default My Use Only. Fare clic su Next, poi su Finish, in modo da completare la configurazione della connessione ed aprire automaticamente la finestra di dialogo Connect WLAN Network. In questa finestra inserire le credenziali di rete appropriate, poi fare clic su Properties e porsi in corrispondenza della scheda Security della finestra di dialogo Properties. Selezionare Advanced (custom settings), poi fare clic su Settings. Sotto Logon Security, selezionare Use Extensible Authentication Protocol (EAP). Verificare che dalla lista scorrevole sia stato selezionato Smart Card or Other Certificate, quindi fare clic su Properties. Nella finestra di dialogo che viene visualizzata, aprire la lista scor- revole relativa alla trusted root certificate authority. Selezionare la CA radice dell'infrastruttura di certificati che dovrà essere usata per i client wireless. Selezionare anche Use a certificate on this computer. Fare clic su OK per due volte, in modo da chiudere le finestre di dialogo. Porsi in corrispondenza della scheda Networking. Nella lista scorrevole Type of VPN, selezionare il protocollo appropriato (PPTP, o L2TP over IPSec). Fare clic su OK per ritornare alla finestra di dialogo Connect WLAN Network, poi fare clic su Connect per creare una connessione VPN. Quando si è connessi, usare ancora Network Monitor (vedere il riquadro intitolato "Il monitoring del traffico crittografato") per verificare che il traffico risulti effettivamente crittografato. Sentirsi più sicuri Abbiamo indicato come usare la tecnologia correntemente disponibile al fine di creare un ambiente sicuro per i propri client wireless. L'esperienza degli utenti finali potrà variare notevolmente secondo le condizioni geografiche, architetturali, la distanza dagli AP, il numero di utenti e l'eventuale presenza di altre installazioni wireless. Con l'utilizzo di questa architettura, potrete tuttavia sentirvi più sicuri implementando il networking wireless nel vostro ambiente. a cura di Allen Jones Allen Jones ([email protected]) è chief architect presso Sprint Enterprise Network Services di Houston. E’ MCSE (Microsoft Certified Systems Engineer) + Internet, CISSP, MCT (Microsoft Certified Trainer) e CCNA (Cisco Certified Network Associate). Il suo ultimo libro si intitola "Migrating to Windows 2000" (Sybex). ARTICOLI IN ITALIANO: Prosegue il nostro viaggio nel mondo dei remote management tool • Software per il controllo remoto - Larry J. Seltzer • Un caso ideale per Terminal Server Terminal Server risolve un problema di accesso remoto Sean Daily ARTICOLI IN INGLESE: • What's New in Routing and Remote Access An in-depth look at the features and capabilities of Win2K's updated version of RRAS - Sean Daily • Windows 2000 Terminal Services RC1 A tool for implementing terminal services in your network - Christa Anderson • Pathways to Collaboration Pathways to Collaboration - Jeff Shapiro S O F T W A R E S E L E Z I O N AT O : www.winxpmag.it www.winmagshop.it WINDOWS & .NET MAGAZINE NOVEMBRE 2002 35