• Articolo

Numero speciale: Windows Server 2008

Accesso alla rete basato su criteri con Windows Server 2008

Ian Hameroff and Amith Krishnan

 

Panoramica:

  • Bilanciamento di accessibilità e protezione della rete
  • Un approccio all'accesso alla rete basato sui criteri
  • Nuove tecnologie di protezione in Windows Server 2008

Si è scritto molto della scomparsa dei perimetri di rete tradizionali, provocata da una forza lavoro sempre più mobile e dalla diversità crescente di utenti e dispositivi che richiedono di

accedere alle risorse IT di un'organizzazione. Per incrementare la produttività, utenti e proprietari di prodotti line-of-business richiedono connessioni che siano fluide e libere da procedure noiose. A questa situazione già complessa si aggiunge l'aumento delle normative, un paesaggio delle minacce in continua evoluzione e i rischi associati al decentramento dei dati.

Gli amministratori di Windows® si trovano così a dover fronteggiare una difficile sfida: come garantire un facile accesso alle risorse pur continuando a soddisfare i requisiti sempre più stringenti di protezione delle informazioni e della rete.

Tutte queste sfide potrebbero non avere una soluzione unica, ma gli amministratori di Windows dispongono di molti strumenti che consentono di migliorare i controlli di protezione (come i firewall di confine) già in uso. Un ottimo metodo per raggiungere un punto di equilibrio appropriato tra accessibilità e protezione consiste nel passare dai modelli di connettività tradizionali a un modello che tenti di definire l'accesso alla rete in modo più logico e basato su criteri definiti.

Approccio di accesso alla rete basato su criteri

Risorse sulle connessioni in rete

Lo scopo di un accesso alla rete basato sui criteri è rimuovere le limitazioni che si incontrano quando si tenta di basare l'attendibilità principalmente sui confini della topologia di rete. È possibile, ad esempio, determinare che un dispositivo è attendibile e autorizzato a connettersi ai server che utilizzano un'applicazione CRM solo perché è collegato a una delle porte dello switch Ethernet dietro il firewall aziendale?

Piuttosto, il nuovo modello adotta decisioni relative all'accesso in base sia alle condizioni di protezione del dispositivo che all'identità dell'utente che richiede l'accesso, indipendentemente dalla posizione. Dopo l'autenticazione, sarà possibile utilizzare il medesimo framework per autorizzare l'accesso a determinate informazioni e risorse.

Il passaggio da un atteggiamento difensivo a uno più orientato all'accesso richiede molti ingredienti chiave, tra cui l'adozione di meccanismi in grado di convalidare l'identità e la conformità ai criteri degli host che si connettono, l'emissione di identità utente attendibili e il controllo dinamico dell'accesso alla rete basato su questi attributi. Per semplificare la gestione di queste varie parti mobili, un altro componente importante è un archivio criteri centralizzato.

L'adozione di un approccio basato sui criteri può aiutare a fondere insieme molti diversi controlli di accesso alla rete e di protezione degli host all'interno di una soluzione più completa. In tal modo è possibile impostare le regole fondamentali di accesso alla rete a un livello logico superiore all'infrastruttura della connettività, con un'evoluzione delle procedure consigliate di difesa tradizionali.

Quando, ad esempio, un utente si connette con il proprio computer portatile alla rete wireless dell'organizzazione, è possibile verificare la conformità del dispositivo con i requisiti di configurazione della protezione più recenti. Una volta determinato che il computer portatile è dotato di tutti gli aggiornamenti antivirus correnti e delle patch critiche per la protezione e che ha attivati tutti i controlli di protezione dell'endpoint, come un firewall dell'host, è possibile concedere l'accesso alla rete aziendale. Quindi, quando l'utente tenta di accedere a un'applicazione aziendale, è possibile utilizzare la combinazione di stato di integrità del computer portatile e di identità di rete dell'utente per determinare se questi è autorizzato a connettersi alle risorse che ospitano l'applicazione. Quando si opera a questo livello logico, al di sopra dell'infrastruttura fisica della rete, i criteri possono essere applicati con continuità, anche se l'utente passa da una connessione wireless a una cablata o addirittura a una connessione ad accesso remoto.

Quando implementato, l'accesso alla rete basato sui criteri può garantire procedure di connessione più semplici per gli utenti, senza sacrificare la protezione. Per gli amministratori, l'esecuzione dei controlli di accesso alla rete a livello più alto rispetto alle porte dello switch o alle configurazioni del gateway di Accesso remote può garantire una gestione più semplice. In entrambi i casi il risultato finale è una maggiore produttività e un miglioramento complessivo dell'integrità della aziendale, anche quando le reti funzionano da host a fronte di parti con diritti di accesso diversi, come gli ospiti (invitati o meno), i fornitori, i partner e i dipendenti.

Come accade per qualsiasi progetto di protezione, il primo passaggio consiste nell'implementare i mezzi di accesso alla rete basato sui criteri, sviluppando una serie di criteri operativi globali. In genere questo passaggio prevede la definizione delle linee guida per:

  • Conformità della protezione del dispositivo: cosa si intende per dispositivo integro?
  • Suddivisione logica in zone della rete: in che modo i dispositivi non integri verranno separati da quelli autorizzati?
  • Gestione del rischio per le informazioni: in che modo vengono classificati e protetti dagli attacchi i dati riservati?

Per fortuna, sono disponibili molte risorse relative allo sviluppo dei criteri presso il Microsoft® TechNet Security Center (microsoft.com/technet/security).

Dopo aver sviluppato i criteri di accesso, sarà necessario scegliere le tecnologie in grado di distribuirli facilmente e applicarli con efficacia. Per questi scopi, lo strumento perfetto è Windows Server® 2008, perché non solo Windows Server 2008 è il Windows Server meglio protetto di sempre, ma anche perché offre agli amministratori una piattaforma di protezione più robusta, ideale come pietra angolare di una soluzione di accesso alla rete basata sui criteri. Nel lungo elenco di funzionalità nuove e migliorate di Windows Server 2008, sono presenti molti degli ingredienti necessari per implementare un accesso alla rete sicuro e basato sui criteri, che garantisca la protezione delle informazioni riservate dagli attacchi.

Le reti di nuova generazione

Lo stack TCP/IP di nuova generazione costituisce il nucleo dei miglioramenti apportati alla protezione della rete in Windows Server 2008, un aggiornamento importante delle funzionalità di connessione in rete e dei servizi correlati della piattaforma. Oltre a garantire migliori prestazioni della rete e una maggiore scalabilità, Windows Server 2008 irrobustisce la protezione grazie a una serie di funzionalità di rete integrate che stabiliscono una solida base su cui costruire una soluzione di accesso alla rete basata sui criteri.

Internet Protocol Security (IPSec) è una delle funzionalità che è stata considerevolmente migliorata in Windows Server 2008, in modo da assumere un ruolo fondamentale in un approccio di accesso alla rete basato sui criteri. La novità non è tanto nell'utilizzare IPSec come un protocollo di tunneling e crittografia, quanto nella possibilità di sfruttare le sue funzionalità di autenticazione di rete da host a host. Inoltre, poiché funziona a Livello 3, IPSec può essere utilizzato per applicare i criteri di accesso alla rete a una varietà di tipi di rete.

Per facilitare l'implementazione dei controlli per l'accesso alla rete basato su IPSec, in Windows Server 2008 è stata introdotta una lunga serie di miglioramenti e nuove funzionalità mirate a semplificare la creazione, l'applicazione e la gestione dei criteri. Il numero e i tipi dei metodi di autenticazione di IPSec, ad esempio, sono stati aumentati. Questo risultato è stato ottenuto con l'introduzione di AuthIP, un'estensione del protocollo IKE (Internet Key Exchange). AuthIP consente di creare regole di protezione della connessione personalizzate (un altro nome per i criteri IPSec in Windows Server 2008) in cui ai peer in comunicazione viene richiesto di autenticarsi a vicenda, non solo con le credenziali del computer ma, facoltativamente, anche con credenziali di utente o integrità. Questa ulteriore flessibilità consente di progettare reti logiche molto sofisticate, senza dover aggiornare l'infrastruttura di switch e router.

Windows Firewall con protezione avanzata

Il nuovo Windows Firewall con protezione avanzata è basato sulle funzionalità IPSec appena descritte. Grazie alla combinazione di regole di protezione della connessione IPSec con i filtri del firewall in un singolo criterio, il nuovo Windows Firewall costituisce un'altra dimensione di accesso alla rete basata sui criteri: azioni del firewall di autenticazione più intelligenti.

Come illustrato nella Figura 1, è possibile scegliere fra tre opzioni durante la definizione dell'azione specifica che deve essere eseguita da un filtro del firewall in ingresso o in uscita: consentire, bloccare o consentire solo se protetta. Quando si seleziona come azione l'opzione "Consenti solo connessioni protette", Windows Firewall sfrutta le funzionalità di autenticazione in rete da host a host di IPSec per determinare se un host o un utente che richiede la connessione deve essere approvato in base ai criteri definiti. La regola del firewall consente di definire quali utenti, computer e gruppi hanno diritto a connettersi. È utile notare che in questo modo si aggiunge un altro livello di protezione, integrando i controlli esistenti sull'accesso a livello di sistema operativo e applicazione.

Figura 1 Definizione delle regole di autenticazione del firewall

Figura 1** Definizione delle regole di autenticazione del firewall **(Fare clic sull'immagine per ingrandirla)

A questo punto, inizia ad apparire chiaro come sia possibile fondere insieme questi controlli di protezione della rete mediante dei criteri centralizzati, per una gestione più efficace e scalabile dell'accesso alla rete.

Tornando all'esempio di CRM: l'amministratore può creare una regola per le connessioni in entrata per i server, eseguendo l'applicazione CRM dell'azienda (tramite le porte dell'eseguibile del programma o del servizio) con l'opzione "Consenti solo connessioni protette" attivata. All'interno dello stesso criterio del firewall, l'amministratore può specificare che solo i membri del gruppo degli utenti dell'applicazione CRM possono connettersi a questa applicazione di rete, come illustrato nella Figura 2. Se si assume questo stesso concetto e lo si applica a tutte le comunicazioni di rete fra tutti i computer gestiti sulla rete, il risultato è l'aggiunta di un livello di isolamento di dominio e server alla strategia di accesso alla rete basata su criteri.

Figura 2 Gli amministratori possono specificare chi può connettersi in base a questi criteri

Figura 2** Gli amministratori possono specificare chi può connettersi in base a questi criteri **(Fare clic sull'immagine per ingrandirla)

Isolamento dei server e dei domini

In molte organizzazioni è in continua crescita il numero di ospiti e di altri dispositivi non gestiti che si connettono alle reti, quindi assume importanza critica la disponibilità di mezzi in grado di separare e proteggere gli host attendibili. Esistono, per fortuna, molti modi per isolare i computer gestiti e attendibili dagli altri dispositivi presenti sulla rete. Tuttavia, è bene sapere che molte di queste opzioni sono costose (richiedono, ad esempio, sistemi di cablaggio fisici dedicati) e di difficile gestione (come le VLAN basate su switch) con l'espandersi della rete.

L'isolamento dominio e server può rappresentare un mezzo meno costoso e gestibile per la segmentazione dell'ambiente in reti logicamente isolate e protette. Come illustrato dalla Figura 3, si utilizzano essenzialmente le stesse regole di protezione della connessione (vale a dire, i criteri IPSec) già menzionati, ma li si associa a tutti i computer gestiti tramite i Criteri di gruppo di Active Directory®. Ne risulta un criterio di accesso alla rete che richiede a tutti i peer di autenticarsi a vicenda prima di poter avviare qualsiasi comunicazione. Poiché l'isolamento ha luogo al livello 3, l'applicazione di questi controlli di accesso si estende a hub, switch e router senza tenere conto dei confini fisici e geografici.

Figura 3 Definizione dei requisiti di autenticazione in modo che corrispondano alle esigenze di accesso della propria rete

Figura 3** Definizione dei requisiti di autenticazione in modo che corrispondano alle esigenze di accesso della propria rete **(Fare clic sull'immagine per ingrandirla)

Per creare una rete isolata, i vari computer della rete devono essere separati in base al tipo di accesso desiderato. È possibile definire i criteri in modo che i computer su una rete isolata possano avviare la comunicazione con tutti i computer sulla rete, compresi quelli che non si trovano nella rete isolata. Al contrario, i computer che non sono nella rete isolata non possono avviare comunicazioni con i computer che sono all'interno della rete isolata. In effetti, i computer nella rete isolata ignorano tutte le richieste di comunicazione provenienti da computer all'esterno della rete isolata.

Per applicare il criterio di rete, si utilizzano un dominio di Active Directory e l'appartenenza al dominio. I computer membri del dominio accettano solo comunicazioni autenticate e protette da altri computer membri del dominio. È inoltre possibile definire i criteri in modo che tutte le comunicazioni all'interno del dominio isolato vengano crittografate.

L'isolamento di server e dominio comporta notevoli vantaggi in termini di costi, poiché non è necessario apportare alcuna modifica significativa all'infrastruttura di rete esistente o creare nuove applicazioni. Questa soluzione crea un velo di protezione basato sui criteri che non solo aiuta a difendersi contro costosi attacchi alla rete e accessi non autorizzati alle risorse di rete attendibili, ma non richiede una gestione continua basata sulle modifiche alla topologia di rete.

Protezione accesso alla rete

Come descritto in precedenza, la soluzione di isolamento di server e dominio garantisce la separazione logica dei computer dei server sulla rete. Se da un lato questa soluzione aiuta a impedire gli accessi non autorizzati alla rete, non esiste alcuna garanzia che il rischio alla protezione non possa provenire da un computer autorizzato.

Protezione accesso alla rete è una piattaforma incorporata in Windows Server 2008 che consente di verificare se i computer che si connettono a una rete, o che comunicano su una rete, sono conformi ai requisiti di integrità del sistema (ovvero, conformità a criteri e protezione) definiti.

Spesso sono proprio gli utenti autorizzati a propagare virus e spyware sulla rete. Quando, ad esempio, un utente va in ferie, è possibile che al ritorno il suo computer non sia più conforme ai requisiti di protezione impostati dall'amministratore. Le ripercussioni di questo scenario possono essere serie se al computer non arriva una patch o una firma rilasciata durante l'assenza dell'utente.

Un amministratore non è oggettivamente in grado di gestire e registrare le connessioni alla rete di ciascun utente. È necessario uno strumento automatico in grado di verificare la conformità in termini di integrità di ciascun computer che si connette alla rete, ripristinando gli eventuali computer non conformi in base a dei criteri centralizzati. Questa è la funzione di Protezione accesso alla rete, che aggiunge un ulteriore livello alla soluzione di accesso alla rete basata su criteri.

L'agente Protezione accesso alla rete, integrato nel sistema operativo del computer client (come in Windows Vista®) o installabile separatamente (per le versioni meno recenti di Windows e i sistemi operativi non Windows), rileva tutti i potenziali problemi di conformità al Server dei criteri di rete, che è il modulo criteri incorporato in Windows Server 2008. È in Server dei criteri di rete che si definiscono i criteri di conformità che devono essere soddisfatti da tutti i dispositivi.

Mentre è necessario per limitare i dispositivi che non superano la verifica della conformità, è importante anche verificare che l'agente sia in grado di mettere in quarantena e aggiornare i computer non conformi. Protezione accesso alla rete offre l'opzione di aggiornare automaticamente il dispositivo nei casi in cui sia attivata la soluzione di firewall o antivirus oppure di aggiornare manualmente il dispositivo, inserendolo in un'area di quarantena. Da qui il dispositivo può accedere a un server di monitoraggio e aggiornamento con le patch, gli aggiornamenti e le firme più recenti. Dopo l'aggiornamento manuale da parte dell'utente viene concesso l'accesso alla rete, sempre che la verifica della conformità abbia esito positivo.

Con l'ubiquità, l'accesso alla rete è diventato molto più semplice. Tuttavia, è aumentato anche il lavoro aggiuntivo necessario per garantire che i dispositivi siano integri e conformi, indipendentemente dal meccanismo di accesso. I computer possono accedere alla rete tramite un normale switch compatibile con lo standard 802.1X o un punto di accesso wireless oppure, in alternativa, possono connettersi in modalità remota dall'abitazione dell'utente, utilizzando una connessione di accesso remoto basata su VPN o Servizi terminal. Protezione accesso alla rete non solo garantisce la conformità per i computer che si connettono mediante questi diversi meccanismi, ma offre anche l'applicazione dei criteri a livello di server DHCP, switch 802.1X, gateway VPN, gateway di Servizi terminal o punto di accesso wireless compatibile con 802.1X.

Nella Figura 4 la rete è stata già isolata utilizzando la soluzione di isolamento di server e dominio. L'utilizzo di Protezione accesso alla rete in presenza di una rete così isolata offre ulteriori vantaggi nel garantire la conformità ai criteri di integrità per i computer che si connettono alla rete. Il client, all'avvio, invia il proprio rapporto di integrità all'Autorità registrazione integrità, che è un server di certificato. L'Autorità registrazione integrità passa il rapporto di integrità al Server dei criteri di rete per la convalida dei criteri. Se il rapporto di integrità è valido, l'Autorità registrazione integrità invia al client di Protezione accesso alla rete un certificato di integrità e il client può così avviare la comunicazione protetta basata su IPSec con le risorse protette. Se il rapporto di integrità non è valido, l'Autorità registrazione integrità fornisce al client di Protezione accesso alla rete informazioni su come correggere lo stato di integrità e non invia alcun certificato di integrità. Il client di Protezione accesso alla rete non può avviare alcuna comunicazione con gli altri computer che richiedono un certificato di integrità per l'autenticazione di IPSec. Tuttavia, il client di Protezione accesso alla rete può comunicare con il server di monitoraggio e aggiornamento per tornare conforme ai criteri.

Figura 4 Protezione accesso alla rete con applicazione dei criteri IPSec

Figura 4** Protezione accesso alla rete con applicazione dei criteri IPSec **(Fare clic sull'immagine per ingrandirla)

In sintesi

Con l'articolo si è appena accennato alle potenzialità di queste nuove funzionalità di Windows Server 2008, ma è importante comprendere in che modo ciascun componente sia stato costruito sul precedente. L'elemento davvero nuovo rispetto all'approccio tradizionale della difesa in profondità è la struttura di criteri sottostante offerta da Windows Server 2008 tramite, ad esempio, i Criteri di gruppo di Active Directory.

Grazie a questa integrazione, si può disporre di fondamenta solide per la definizione e distribuzione di una soluzione di accesso alla rete basata sui criteri, senza vanificare gli investimenti esistenti. Sollevando la decisione sull'accesso a un livello logico superiore con una gestione centralizzata dei criteri, è possibile bilanciare alla perfezione per le proprie esigenze i due aspetti di facile accesso e maggiore protezione.

Microsoft ha pubblicato molti documenti in cui si illustrano nel dettaglio le aree tecnologiche menzionate in questo articolo. Per acquisire l'esperienza operativa necessaria con le funzionalità descritte, è consigliabile consultare prima gli articoli e le guide dettagliate (i collegamenti nel riquadro "Risorse sulle connessioni in rete" sono un ottimo punto di inizio). In seguito è possibile provare a sviluppare ciascuna fase del progetto in modo che costituisca una base solida per la fase successiva.

Si può creare, ad esempio, una serie di regole di autenticazione del firewall per le applicazioni principali, come delineato nella sezione Windows Firewall con protezione avanzata. Una volta acquisita familiarità con questo tipo di operazioni, è possibile espandere le regole di protezione della connessione in modo da isolare il dominio di rete e aggiungere, infine, il livello di Protezione accesso alla rete. I vantaggi dell'implementazione di una strategia di accesso alla rete basata sui criteri sono notevoli, non ultima la possibilità di restare al passo con quel mondo in continua evoluzione che si chiama rete aziendale.

Ian Hameroff è Senior Product Manager del gruppo Security and Access Product Marketing in Microsoft. È responsabile della gestione e del marketing del prodotto per le tecnologie di rete della piattaforma Windows Server. Ian è il punto di riferimento per le strategie go-to-market per le reti e le soluzioni Windows Server incentrate sulle iniziative principali di protezione e connessione in rete, come l'isolamento di server e domini, le connessioni in rete scalabili e l'adozione di IPv6.

Amith Krishnan è Senior Product Manager del gruppo Security and Access Product Marketing in Microsoft ed è responsabile per la gestione e il marketing del prodotto per le iniziative di connessione in rete e protezione per Windows Server, come la protezione dell'accesso e le connessioni wireless protette. Si occupa inoltre della strategia go-to-market e di diffondere le conoscenze su queste soluzioni.

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.