• Articolo

Rete

Configurazione dell'accesso remoto VPN con ISA Server 2006

Alan Maddison

 

Panoramica:

  • Protocolli VPN
  • Configurazione di una connessione VPN da sito a sito
  • Configurazione di una connessione VPN di accesso remoto
  • Nuove funzionalità di ISA Server 2006

Le reti private virtuali (VPN) garantiscono un elevato livello di adattabilità, scalabilità e controllo sulla connettività di rete. Oltre ad assicurare una protezione più avanzata, consentono di realizzare considerevoli risparmi sui costi

rispetto alle tradizionali connessioni dedicate point-to-point. In più, sono estremamente flessibili.

Sono disponibili VPN di diversi tipi: alcune vengono utilizzate per collegare gli utenti mobili alla rete aziendale, mentre altre sono progettate per connettere due reti geograficamente separate. Le funzionalità offerte e i protocolli di cui si avvalgono le diverse reti VPN variano. In alcuni casi vengono fornite funzionalità di protezione integrate, ad esempio per l'autenticazione e la crittografia, mentre in altri non sono assolutamente previsti strumenti di questo tipo. E, naturalmente, alcune reti sono più facili da installare e gestire rispetto ad altre.

In questo articolo, illustrerò come implementare una rete VPN mediante Internet Security and Acceleration (ISA) Server 2006. In particolare, mi soffermerò sull'uso della funzionalità VPN di ISA Server per la gestione di due scenari comuni, ovvero la configurazione di connessioni VPN di accesso remoto per gli utenti e la configurazione di connessioni VPN da sito a sito. Entrambe le implementazioni prevedono funzionalità di protezione per garantire la privacy dei dati e tutelare la sicurezza delle risorse della rete interna.

Nel primo scenario, rappresentato da una connessione VPN di accesso remoto, un client remoto avvia una connessione VPN al server ISA tramite Internet. Successivamente, il server ISA collega il client remoto alla rete interna, consentendo così all'utente di accedere agevolmente alle risorse della rete, compresi dati e applicazioni. Il secondo scenario, rappresentato da una connessione VPN da sito a sito, è un po' più complesso in quanto richiede l'utilizzo di un router, che può essere lo stesso ISA. Questo tipo di connessione, tuttavia, consente di collegare facilmente uffici o succursali differenti a una sede centrale o tra loro.

Sono diversi i vantaggi che si possono ottenere utilizzando ISA Server 2006 per implementare una rete VPN. Uno dei più significativi deriva dalla natura integrata che caratterizza questa soluzione, grazie alla quale le funzionalità VPN e firewall operano in perfetta sinergia. Inoltre, in ISA Server è disponibile una funzionalità di quarantena VPN, basata su Controllo quarantena accesso alla rete di Windows Server® 2003, che permette di mettere in quarantena un computer di accesso remoto finché la relativa configurazione non viene convalidata da uno script sul lato server. Questa funzionalità aggiunge un ulteriore livello di protezione in quanto offre la possibilità di eseguire alcune importanti verifiche sul computer remoto, ad esempio relativamente allo stato della definizione dell'antivirus e ai criteri firewall locali, prima di consentire l'accesso alle risorse della rete interna.

Tra i vantaggi più significativi offerti sul piano amministrativo da ISA Server come soluzione VPN figurano le varie funzionalità disponibili per la gestione dei criteri, il monitoraggio, la registrazione e la creazione di rapporti a livello centralizzato. Per lo svolgimento delle mansioni amministrative quotidiane, tali funzionalità possono rivelarsi estremamente preziose. In particolare, il monitoraggio in tempo reale e il filtro dei registri offrono informazioni critiche sulle connessioni e il traffico di rete che passano attraverso ISA Server.

Protocolli VPN

I principali protocolli di tunneling utilizzati in una connessione VPN ISA rappresentano la prima linea di difesa per la protezione delle connessioni. ISA Server supporta tre protocolli: Layer 2 Tunneling Protocol (L2TP) su IPsec, Point-to-Point Tunneling Protocol (PPTP) e la modalità tunnel di IPsec. Quest'ultimo protocollo è supportato unicamente per le connessioni da sito a sito ed è utilizzato essenzialmente per l'interoperabilità con i router e con altri sistemi operativi non compatibili con L2TP o PPTP.

L2TP non dispone di meccanismi per tutelare la privacy dei dati ed è per questa ragione che viene utilizzato in combinazione con IPsec, che offre invece metodi di autenticazione e di crittografia altamente affidabili. Insieme, i due protocolli formano una soluzione vincente. PPTP utilizza Microsoft® Challenge Handshake Authentication Protocol (MS CHAP) versione 2 o Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) per l'autenticazione e Microsoft Point-to-Point Encryption (MPPE), naturalmente, per la crittografia.

Per un'organizzazione, la scelta della soluzione più appropriata tra i protocolli L2TP su IPsec e PPTP dipende spesso da fattori che sono specifici dell'organizzazione stessa. L2TP su IPsec consente di utilizzare sistemi di crittografia più complessi e sofisticati e supporta una gamma più ampia reti, tra cui IP, X.25, Frame Relay e ATM. Tuttavia, PPTP è più facile da implementare e in genere presenta di meno requisiti. Detto ciò, in situazioni in cui non esistono vincoli peculiari a livello di organizzazione, è preferibile scegliere L2TP rispetto a IPsec.

Connessione VPN da sito a sito

In ISA Server 2006 sono stati fatti considerevoli progressi ai fini di semplificare l'installazione di una rete VPN da sito a sito. Nelle versioni precedenti, infatti, il numero di passaggi richiesti era di gran lunga superiore. Per questo esempio, prenderò in esame il caso di un unico sito remoto che viene collegato a un ufficio centrale mediante il protocollo L2TP su IPsec, con un server ISA in entrambe le posizioni. Il processo richiede che la configurazione del server ISA dell'ufficio centrale preceda la configurazione del sito remoto.

Il primo passaggio da mettere in atto consiste nel configurare gli account utente locali necessari in entrambi i server ISA. Tale identità utente fornirà il contesto di protezione in cui verrà eseguita la connessione al server ISA principale o remoto. Il nome dell'account deve corrispondere al nome della connessione VPN che viene creata all'interno della console di amministrazione ISA. Ad esempio, una buona convenzione di denominazione può essere quella di impostare come nome utente "Site VPN" nel server ISA della sede centrale, che punta al sito remoto, e "HQ VPN" nel server ISA remoto. Una volta creati questi account, è necessario accedere alle relative proprietà, aprire la scheda relativa alle connessioni remote e accertarsi che l'opzione che consente l'accesso sia selezionata.

Il passaggio successivo consiste nel creare il certificato di infrastruttura a chiave pubblica (PKI) che verrà utilizzato per l'autenticazione tra i due siti. Eventualmente, è possibile anche scegliere di utilizzare una chiave già condivisa, tuttavia un certificato è sempre preferibile. Il metodo più semplice per installare un certificato per una connessione VPN consiste nel collegarsi direttamente alla propria autorità di certificazione Enterprise e richiederne uno mediante il sito Web del server dei certificati. Per fare questo, però, può rendersi necessario creare una regola di accesso che consenta al server ISA di collegarsi al server dei certificati via HTTP.

Se si ha dimestichezza con le versioni precedenti di ISA Server, si noterà senz'altro che l'interfaccia di ISA Server 2006, illustrata nella Figura 1, è di gran lunga più intuitiva. Quando si seleziona VPN nel riquadro a sinistra, nei due riquadri al centro e a destra vengono visualizzate le opzioni sensibili al contesto relative alla configurazione e alle attività.

Figura 1 L'interfaccia di ISA Server 2006 è molto più intuitiva

Figura 1** L'interfaccia di ISA Server 2006 è molto più intuitiva **(Fare clic sull'immagine per ingrandirla)

Avviare la procedura guidata per le reti VPN da sito a sito facendo clic sull'attività Crea connessione VPN da sito a sito nel riquadro a destra. Verrà richiesto di immettere il nome che si desidera assegnare alla rete; tale nome deve corrispondere a quello dell'account utente creato precedentemente. Dopo aver inserito il nome, fare clic sul pulsante Avanti. Nella schermata successiva (vedere la Figura 2), selezionare il protocollo VPN da utilizzare, che nel mio esempio è L2TP su IPsec, quindi fare clic su Avanti. Al termine, verrà visualizzato un messaggio in cui si avvisa che l'account utente corrispondente al nome della rete deve essere disponibile. Se si è seguito con attenzione quanto su esposto e si è creato l'account nel modo suggerito, sarà sufficiente fare clic su OK per accedere alla schermata successiva.

Figura 2 Selezione del protocollo VPN da utilizzare

Figura 2** Selezione del protocollo VPN da utilizzare **(Fare clic sull'immagine per ingrandirla)

A questo punto è necessario creare un pool di indirizzi IP. Le possibilità a disposizione sono due: creare un pool di indirizzi statici sul server ISA oppure utilizzare il server DHCP esistente per gestire l'assegnazione degli indirizzi. Poiché entrambi i metodi sono accettabili, la scelta della soluzione più appropriata deve tener conto delle specifiche procedure aziendali in materia. All'utente verrà richiesto di immettere il nome del server remoto. Specificare il nome di dominio completo (FQDN) del server e, successivamente, le credenziali utente per la connessione. Si ricordi che è necessario immettere in questo passaggio le informazioni sull'account utente create nel server ISA remoto. Nell'esempio in esame, l'account utente in questione è HQ VPN, come illustrato nella Figura 3.

Figura 3 Immissione del nome FQDN del server remoto

Figura 3** Immissione del nome FQDN del server remoto **(Fare clic sull'immagine per ingrandirla)

Nella schermata successiva, selezionare il metodo di autenticazione in uscita (come detto in precedenza, è sempre preferibile scegliere un certificato). Immettere quindi l'intervallo di indirizzi IP utilizzato nella rete interna presso il sito remoto.

Al termine, se si sta utilizzando ISA Server 2006 Enterprise Edition, sarà possibile configurare gli indirizzi IP dedicati relativi al bilanciamento carico di rete per il sito remoto. Se invece si sta utilizzando ISA Server 2006 Standard Edition, ignorare il passaggio riguardante il bilanciamento del carico di rete e accedere direttamente alla schermata successiva (vedere la Figura 4), in cui è possibile creare la regola di rete per l'instradamento del traffico dal sito remoto alla rete locale.

Figura 4 Creazione della regola di rete per l'instradamento del traffico

Figura 4** Creazione della regola di rete per l'instradamento del traffico **(Fare clic sull'immagine per ingrandirla)

È necessario creare anche una regola di accesso ed è questo il passaggio successivo della procedura. Quando si configura la regola di accesso, sono disponibili tre opzioni per l'utilizzo dei protocolli: è possibile consentire tutto il traffico in uscita oppure tutto il traffico in uscita ad eccezione di alcuni protocolli o infine consentire solo alcuni protocolli. Nella maggior parte delle situazioni è preferibile selezionare l'opzione per consentire tutto il traffico in uscita.

La procedura è quasi terminata. A questo punto, verrà mostrato un riepilogo della configurazione definita e, non appena l'utente avrà fatto clic sul pulsante Fine, verrà creata la connessione VPN da sito a sito. Successivamente verrà visualizzata una nuova finestra di dialogo per segnalare che è necessario attivare una regola dei criteri di sistema per i download di Certificate Revocation List: fare clic su Sì per attivare la regola. La procedura guidata fornirà quindi informazioni su eventuali altri passaggi di configurazione che potrebbe essere necessario implementare. Una volta completata la configurazione di ISA Server presso il sito principale, occorrerà seguire la stessa procedura per configurare il sito remoto. Quando entrambe le procedure saranno completate, gli utenti di entrambi i siti saranno in grado di comunicare attraverso la rete VPN.

Connessione VPN di accesso remoto

La configurazione di una connessione VPN di accesso remoto per l'accesso client è decisamente più semplice (vedere la Figura 5). Il primo passaggio consiste nel selezionare VPN nel riquadro a sinistra della console di amministrazione di ISA Server. Successivamente è necessario selezionare nel riquadro a destra l'attività denominata Attiva accesso client VPN. A questo punto, verrà visualizzato un avviso in cui si segnala che tale operazione può causare il riavvio del servizio Routing e Accesso remoto. Poiché possono verificarsi problemi di connessione, è consigliabile implementare questa modifica durante un processo di manutenzione pianificato. Fare clic su OK per chiudere l'avviso; ISA Server attiva un criterio di sistema che consente l'accesso del traffico client VPN al server ISA. È possibile visualizzare questa regola selezionando prima Criterio firewall nella console di amministrazione di ISA Server e successivamente l'attività Mostra regole criteri di sistema.

Figura 5 Configurazione di una connessione VPN di accesso remoto

Figura 5** Configurazione di una connessione VPN di accesso remoto **(Fare clic sull'immagine per ingrandirla)

Viene inoltre attivata una regola di rete predefinita per consentire l'instradamento del traffico tra la rete interna e le due reti VPN (Client VPN e Client VPN in quarantena). Tale regola può essere visualizzata o modificata selezionando Reti nel riquadro sinistro e quindi aprendo la scheda Regole rete nel riquadro centrale.

Il passaggio successivo è la configurazione dell'accesso client VPN. In particolare, è necessario configurare tre parametri aggiuntivi: i gruppi di protezione di Windows cui è permesso l'accesso, i protocolli che possono essere utilizzati dai client e il mapping utente. La finestra di dialogo per la configurazione di questi parametri viene mostrata nella Figura 6.

Figura 6 Configurazione dell'accesso client VPN

Figura 6** Configurazione dell'accesso client VPN **

Nella scheda Gruppi è necessario semplicemente selezionare i gruppi di Windows a cui si desidera consentire l'accesso remoto tramite VPN. Da un punto di vista amministrativo, ritengo sia una buona idea creare un unico gruppo cui concedere l'autorizzazione. In tal modo infatti si semplifica considerevolmente la gestione dell'accesso remoto.

Nella scheda Protocolli risulta abilitato per impostazione predefinita solo PPTP. È senz'altro consigliabile abilitare L2TP su IPsec, se compatibile con l'ambiente in uso.

La scheda Mapping utente consente di eseguire il mapping degli account utente dagli spazi dei nomi, ad esempio RADIUS (Remote Authentication Dial-In User Service), agli account Windows, in modo da garantire che i criteri di accesso vengano applicati correttamente. Una volta completata l'impostazione di queste opzioni di configurazione e applicate le modifiche necessarie a ISA Server, la procedura è terminata. A questo punto i client dovrebbero essere in grado di accedere facilmente ai dati e alle applicazioni della rete interna utilizzando una connessione VPN.

Novità e miglioramenti di ISA Server 2006

In ISA Server 2006 sono stati introdotti numerosi e significativi miglioramenti che ne incrementano l'efficienza e le prestazioni rispetto alle versioni precedenti. Le nuove funzionalità, tra cui la compressione HTTP, il servizio di trasferimento intelligente in background (BITS, Background Intelligent Transfer Service) e la qualità del servizio (QoS, Quality of Service), offrono svariate tecniche per ottimizzare l'uso della rete. Naturalmente, anche sfruttando questo ulteriore supporto, è necessario continuare a utilizzare le tecnologie comuni per l'ottimizzazione della larghezza di banda che sono integrate in ISA Server, come la memorizzazione nella cache.

La compressione HTTP è supportata in numerosi prodotti Microsoft già da qualche tempo, ad esempio in Internet Explorer® a partire dalla versione 4 e in Windows Server a partire da Windows® 2000. Questa è, tuttavia, la prima versione di ISA Server che offre supporto per tale tipo di compressione, nonché per gli algoritmi standard del settore GZIP e Deflate.

Cosa significa tutto ciò? Grazie al supporto per la compressione HTTP, un browser Web compatibile con HTTP 1.1 può richiedere contenuto compresso da qualsiasi sito Web. Si ricordi, tuttavia, che solo le risposte vengono compresse, non le connessioni iniziali in uscita dal client.

La compressione HTTP rientra tra le impostazioni dei criteri HTTP globali e si applica a tutto il traffico HTTP che passa attraverso ISA Server, anziché essere associato a una regola di rete specifica. È possibile, tuttavia, implementarla per singolo listener, eseguendo tale configurazione mediante la Creazione guidata listener Web.

La compressione HTTP, a cui è possibile accedere mediante l'opzione Generale nel riquadro a sinistra, è attivata per impostazione predefinita. Come mostra la Figura 7, per poterla utilizzare è necessario però configurare gli elementi di rete cui si desidera applicarla. Nell'esempio della rete VPN da sito a sito, è necessario selezionare la scheda Restituisci dati compressi e aggiungere l'elemento di rete Site VPN precedentemente creato. A questo punto è possibile anche configurare i tipi di contenuto da comprimere. In ISA Server 2006 è già disponibile un elenco di tipi standard, ma si possono aggiungere altri tipi di contenuto personalizzati mediante il riquadro attività Criterio firewall nella scheda Casella degli strumenti. Si tenga presente la scheda Restituisci dati compressi va selezionata se si desidera che ISA Server comprima i dati prima che vengano restituiti al client. Per richiedere invece che un server Web gestisca la compressione dei dati prima che questi vengano inviati a ISA Server, è necessario utilizzare la scheda Richiedi dati compressi.

Figura 7 Configurazione della compressione HTTP

Figura 7** Configurazione della compressione HTTP **(Fare clic sull'immagine per ingrandirla)

BITS è un servizio di trasferimento file asincrono per la gestione del traffico HTTP e HTTPS. Windows Server 2003 include la versione 1.5 di tale servizio, che supporta le operazioni sia di download che di caricamento dei file, sebbene il caricamento richieda anche la disponibilità di Internet Information Services (IIS) versione 5.0 o superiore. Trattandosi di un servizio di trasferimento file intelligente, BITS è in grado di esaminare il traffico di rete e utilizzare unicamente la larghezza di banda inattiva. Inoltre, il trasferimento dei file è dinamico e BITS reagirà a eventuali picchi del traffico normale limitando l'utilizzo della rete. Il vantaggio è che BITS assicura che le operazioni di download e caricamento dei file non influiranno negativamente sull'utilizzo della rete. Dal punto di vista amministrativo, ciò significa che si dovrebbero ricevere meno chiamate di reclamo da parte di utenti che registrano un calo delle prestazioni di rete. Un ottimo risultato, direi!

BITS offre anche altri vantaggi che consentono di migliorare l'esperienza utente e di ottimizzare le prestazioni di rete. Ad esempio, un trasferimento file che utilizza questo servizio è binario, vale a dire che BITS è in grado di riprendere operazioni di trasferimento che sono state interrotte in seguito a problemi di varia natura, come un'interruzione della connettività, senza che sia necessario riavviare il processo dall'inizio. Inoltre, ISA Server 2006 include supporto incorporato per una funzionalità di memorizzazione nella cache di Microsoft Update che utilizza la memorizzazione nella cache del servizio BITS per ottimizzare gli aggiornamenti.

Il protocollo DiffServ (Differentiated Services) consente l'impostazione della priorità dei pacchetti (o QoS) per il traffico HTTP e HTTPS. In altre parole, a seconda della configurazione di ISA Server, verrà assegnata la priorità a un tipo di traffico specifico. Ciò risulta particolarmente utile nel caso di reti che dispongono di una larghezza di banda limitata, a causa del volume del traffico o della velocità di connessione. Secondo l'Internet Engineering Task Force (IETF), DiffServ è un meccanismo di gestione del traffico basato su classi. Pertanto, è in grado di distinguere tra i diversi tipi di traffico e gestirli di conseguenza, assicurando sempre la precedenza al traffico ad alta priorità.

Per offrire tale funzionalità, ISA Server collabora con i router che supportano QoS. È importante assicurarsi che i bit DiffServ di ISA Server corrispondano alle priorità definite nei router in uso se si desidera che i pacchetti vengano instradati con la stessa impostazione della priorità.

In ISA Server, questo tipo di impostazione della priorità dei pacchetti rientra tra le impostazioni dei criteri HTTP globali e si applica a tutto il traffico HTTP che passa attraverso ISA Server 2006 mediante un filtro Web DiffServ. Ciò significa che ISA Server non supporta DiffServ per altri protocolli e può, in effetti, eliminare bit DiffServ esistenti nel traffico non HTTP.

Come illustrato nella Figura 8, DiffServ viene implementato come filtro Web ed è possibile accedervi selezionando Componenti aggiuntivi nel riquadro sinistro. È importante non modificare le impostazioni predefinite o l'ordine di priorità del filtro DiffServ data la necessità per ISA Server di controllare le dimensioni della richiesta/risposta nel momento in cui viene elaborata.

Figura 8 Visualizzazione del filtro Web DiffServ

Figura 8** Visualizzazione del filtro Web DiffServ **(Fare clic sull'immagine per ingrandirla)

Se si osserva attentamente la Figura 8, si noterà che il filtro DiffServ non è attivato per impostazione predefinita. Per attivare il filtro, selezionare l'opzione che consente di attivare i filtri selezionati nel riquadro Attività, quindi configurare il filtro. Dal momento che l'impostazione della priorità dei pacchetti DiffServ in ISA Server è basata su URL o domini specifici, è necessario immettere gli URL o i domini in questione nelle preferenze DiffServ. A tale scopo, selezionare Generale nel riquadro sinistro della console di gestione e quindi, in Impostazioni dei criteri HTTP globali, scegliere Specifica preferenze Diffserv. Quando si impostano tali preferenze, è necessario definire le priorità e gli URL e i domini a cui si desidera applicarle. ISA Server 2006 offre un'ampia gamma di nuove, potenti funzionalità per la configurazione dell'accesso remoto per i client VPN o la creazione di reti VPN da sito a sito e rappresenta pertanto la scelta ideale per chi desidera implementare una soluzione VPN.

Alan Maddison è consulente senior del reparto Microsoft Technology Practice di MTI Technology Corporation. Il principale centro di interesse della sua attività è rappresentato da Active Directory, Server Exchange e dalla virtualizzazione.

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.