Controllo della protezioneProtezione dell'accesso da postazioni remote

John Morello

Un'innegabile tendenza dell'attuale mercato tecnologico è il costante aumento della connettività e della mobilità della forza lavoro. Il personale di molte organizzazioni lavora in uffici dislocati, da casa o viaggia di frequente per incontrare i clienti. Una soluzione ottimale per aumentare la produttività consiste pertanto nel fornire agli utenti la possibilità di accedere ad applicazioni e dati in modo facile e

indipendentemente da dove si trovino. Tuttavia, fino a poco tempo fa, l'attivazione dell'accesso protetto da postazioni remote comportava l'installazione di software client, l'immissione di comandi sconosciuti e lunghi tempi di connessione.

Nel corso degli ultimi anni, sono stati sviluppati numerosi approcci per semplificare e rendere più accessibile la tecnologia per l'accesso remoto. Ad esempio, Outlook® Web Access (OWA) fornisce un metodo semplice e basato su browser per accedere alla posta elettronica, al calendario e ai contatti, senza le complessità associate a una rete privata virtuale (VPN) di livello 3. Anche se le tecnologie come OWA possono rappresentare un componente importante per soluzioni di "accesso da postazioni remote", la maggior parte delle organizzazioni dispone di molte applicazioni importanti che non consentono di utilizzare lo stesso tipo di browser integrato. In questi casi, soluzioni quali i Servizi terminal offrono un metodo efficace per consentire agli utenti di accedere alle applicazioni da qualsiasi luogo in cui si trovano.

In Microsoft Windows Server® 2008, sono stati apportati notevoli miglioramenti all'insieme di funzionalità incorporate nei Servizi terminal, che includono una finestra intuitiva, una funzionalità di pubblicazione per applicazione denominata RemoteApp, una funzionalità del driver di stampa universale denominata EasyPrint e un portale basato su browser denominato Accesso Web di Servizi terminal. Inoltre, Windows Server 2008 include il componente Gateway di Servizi terminal che, oltre a essere fondamentale per scenari di accesso da postazioni remote, fornisce l'incapsulamento SSL per il protocollo RDP (Remote Desktop Protocol), che potrà quindi attraversare in modo semplice e protetto i firewall e i dispositivi NAT (Network Address Translation). La funzionalità Gateway di Servizi terminal si integra anche con un'altra tecnologia innovativa di Windows Server 2008, ovvero Protezione accesso alla rete (NAP), per fornire il controllo dell'integrità dell'endpoint del client. Se vengono integrati tutti questi componenti, le organizzazioni potranno creare soluzioni che consentono agli utenti di accedere in modo semplice e protetto alle applicazioni e ai dati da postazioni remote.

Questo articolo è incentrato sugli aspetti relativi alla progettazione della protezione e della rete per una soluzione di accesso da postazioni remote e non sulla gestione dei componenti dei Servizi terminal. Verranno descritti i metodi e le procedure consigliate per creare tale soluzione utilizzando le tecnologie incluse in Windows Server 2008.

Il problema delle reti VPN di livello 3

Quando si valuta l'implementazione di una nuova tecnologia, è importante considerarne i vantaggi rispetto alle soluzioni correnti, in modo da poter determinare in modo accurato il valore reale del nuovo modello. Nel caso di una classica rete VPN di livello 3, in genere, è necessario risolvere due principali problemi: la protezione e la facilità di utilizzo.

Potrebbe sembrare illogico elencare la protezione tra i problemi di molte reti VPN di livello 3 attualmente in uso, considerando il fatto che lo scopo primario di una rete VPN consiste nel fornire un tunnel di rete protetto attraverso Internet. Per comprendere questo aspetto, occorre esaminare in modo più approfondito ciò che in genere viene considerata una minaccia VPN. I dati trasportati sulle reti VPN non sono necessariamente soggetti a intercettazioni o manomissioni. La maggior parte delle reti VPN moderne di livello 3 forniscono un eccellente meccanismo di crittografia del flusso di dati. Si considerino, ad esempio, le minacce rappresentate da computer remoti a cui viene fornito l'accesso completo a "tutte le porte e tutti i protocolli" sulla rete dell'organizzazione. Il problema non consiste nei flussi di dati sottoposti a crittografia e trasportati dalla rete VPN di livello 3, bensì nei client remoti che vengono connessi tramite questi tunnel aumentando i rischi per la rete interna. Si tenga presente che la maggior parte delle organizzazioni che ha subito attacchi di malware, ad esempio Slammer o Blaster, non è stata infettata dai computer della rete interna o da utenti malintenzionati che hanno violato i firewall. Al contrario, l'infezione è stata causata da lavoratori non in sede che si sono connessi alle reti tramite VPN da computer infetti. Se tali reti VPN creano connessioni completamente instradate di livello 3, il computer remoto potrà spesso accedere alle risorse interne come un normale computer del centro dati.

Inoltre, le reti VPN di livello 3 sono in genere piuttosto costose, poiché l'installazione e la configurazione del software vengono effettuate in computer che non sono gestiti dal gruppo IT dell'organizzazione. Ad esempio, l'installazione di un client VPN nel computer di casa di un utente può richiedere la creazione di pacchetti di installazione personalizzati e di istruzioni di installazione dettagliate, nonché la risoluzione dei conflitti con le applicazioni presenti sul computer dell'utente. Inoltre, i costi di gestione possono essere elevati se è necessario distribuire nuove versioni del client o se vengono modificati i dati di configurazione, ad esempio tramite l'aggiunta di un nuovo endpoint VPN. Per quanto riguarda l'utente, l'utilizzo di una rete VPN risulta spesso poco intuitivo. Poiché fornisce solo la connessione di livello 3, i dati e le applicazioni aziendali dell'utente non sono facilmente accessibili e visibili.

Risoluzione dei problemi tramite i Servizi terminal

I Servizi terminal e altre tecnologie VPN a livello di applicazione o livello 7 consentono di risolvere i due problemi menzionati in precedenza offrendo agli utenti un controllo di qualità superiore delle risorse e dei protocolli, nonché semplificando e rendendo estremamente intuitiva l'esperienza utente.

Dal punto di vista della protezione, la caratteristica più importante che distingue l'approccio di una VPN di livello 3 da quello in cui vengono utilizzati i Servizi terminal e il Gateway di Servizi terminal consiste nel fatto che, nel secondo caso, la connessione alla rete interna non è rappresentata da una pipeline completamente aperta. Nello specifico, mentre l'approccio della VPN di livello 3 consente di creare un'interfaccia virtuale sul computer locale con funzionalità di routing complete nella rete interna, l'approccio del Gateway di Servizi terminal consente solo l'accesso alla rete interna da parte di pacchetti basati su RDP. Pertanto, la superficie di attacco complessiva risulta estremamente ridotta ed è possibile applicare controlli più granulari all'interno del protocollo RDP. Ad esempio, mentre RDP fornisce il supporto nativo per il reindirizzamento delle unità, le organizzazioni potrebbero configurare i propri Gateway di Servizi terminal per l'integrazione di Protezione accesso alla rete e non abilitare il reindirizzamento a meno non venga dimostrato che il software antivirus del computer è aggiornato.

Per gli utenti finali, la differenza più evidente tra l'approccio della VPN di livello 3 e quello basato sui Servizi terminal è rappresentata da una procedura di installazione molto più semplice (se non del tutto assente) e da un accesso molto più facile e intuitivo alle applicazioni e ai dati. Poiché il client di Connessione desktop remoto è integrato in Windows (e viene aggiornato tramite tecnologie di manutenzione standard quali Windows® Update), in genere non è richiesta alcuna installazione di software. Inoltre, grazie ad Accesso Web di Servizi terminal, è possibile utilizzare un singolo URL per accedere ad applicazioni e dati. È sufficiente fare clic sull'applicazione appropriata per avviare il tunneling protetto della connessione su Internet tramite Gateway di Servizi terminal e per ottenere l'accesso all'applicazione dal proprio desktop. In altre parole, l'applicazione avrà lo stesso aspetto e comportamento che avrebbe se fosse installata localmente, incluse le funzionalità di copia e incolla e di riduzione a icona sulla barra delle applicazioni. Grazie a una maggiore facilità di individuazione di applicazioni e dati e a un'installazione più rapida, l'approccio basato sui Servizi terminal per l'accesso remoto consente di soddisfare le esigenze dell'utente e a ridurre i costi di supporto.

Opzioni per l'architettura di rete

Esistono due approcci di base alla progettazione della rete, che possono essere utilizzati per rendere accessibile il server Gateway di Servizi terminal tramite Internet. Il primo inserisce il Gateway di Servizi terminal nella rete perimetrale tra due firewall di livello 3/4. Il secondo mantiene il Gateway di Servizi terminal nella rete interna e utilizza un firewall a livello di applicazione (ad esempio Microsoft® ISA Server, Microsoft Intelligent Application Gateway o una soluzione di terzi) per accedere alla rete perimetrale e controllare i frame HTTPS in ingresso. Solo una volta terminata l'analisi delle sessioni in ingresso, i pacchetti vengono inoltrati al server Gateway di Servizi terminal.

Se un'organizzazione dispone unicamente di firewall di livello 3/4 con un controllo di base dello stato dei pacchetti, il dispositivo Gateway di Servizi terminal può essere posizionato direttamente sulla rete perimetrale, come illustrato nella Figura 1. In questo esempio di progettazione, il firewall Internet limita la connettività al Gateway di Servizi terminal per consentirne l'accesso solo al traffico HTTPS proveniente da Internet. Tuttavia, il firewall non esegue il controllo del traffico a livello di applicazione, ma inoltra semplicemente il traffico al Gateway di Servizi terminal, che estrae quindi i frame RDP dai pacchetti HTTPS e li inoltra al server back-end appropriato. Questi server back-end vengono spesso isolati dalla rete perimetrale tramite un ulteriore firewall, configurato per consentire ai frame RDP provenienti dal Gateway di Servizi terminal di raggiungere i server interni appropriati.

Figura 1** Con un firewall di livello 3/4, il Gateway di Servizi terminal viene posizionato sulla rete perimetrale **(Fare clic sull'immagine per ingrandirla)

Sebbene sia completamente supportato e possa risultare utile in molte organizzazioni, questo scenario presenta due principali svantaggi. Innanzitutto, poiché riceve il traffico direttamente da Internet, il Gateway di Servizi terminal è esposto a rischi maggiori di attacchi esterni da parte di utenti malintenzionati. Dal momento che il firewall front-end controlla solo le intestazioni e non i payload delle sessioni, tali utenti potrebbero facilmente accedere al gateway tramite una sessione SSL e queste sessioni potrebbero raggiungere il gateway. Ciò non significa che il Gateway di Servizi terminal sia un componente vulnerabile, poiché è stato sottoposto agli stessi rigorosi metodi di progettazione e test di protezione utilizzati per tutti i componenti di Windows Server 2008. Tuttavia, in questo scenario il rischio relativo è superiore perché verrebbe gestito traffico non filtrato che proviene direttamente da Internet. Il secondo svantaggio consiste nell'aumento di traffico richiesto tra il gateway e il firewall back-end. Per eseguire l'autenticazione degli utenti, è necessaria la comunicazione tra il Gateway di Servizi terminal e Active Directory®. A questo scopo, il firewall back-end deve disporre di eccezioni per una gamma molto più ampia di porte e protocolli, anziché semplicemente per il protocollo HTTPS. Anche in questo caso, l'aumento del livello di comunicazione implica un aumento del rischio relativo nella soluzione di progettazione.

Un approccio migliore per l'esposizione a Internet di un Gateway di Servizi terminal consiste nell'utilizzo di un firewall a livello di applicazione (livello 7) per gestire le sessioni HTTPS in ingresso prima che possano accedere al gateway (vedere la Figura 2). Anche questa soluzione di progettazione può includere i tradizionali firewall di livello 3/4 sulla rete perimetrale, con la differenza che il Gateway di Servizi terminal viene sostituito dal firewall di livello 7. Nel firewall esterno, vengono filtrati tutti gli elementi di traffico, eccetto i frame HTTPS, che vengono quindi inoltrati al firewall di livello 7. Quest'ultimo terminerà la sessione SSL, controllerà i contenuti non crittografati nel flusso di dati, bloccherà il traffico dannoso e invierà i frame RDP al Gateway di Servizi terminal attraverso il firewall back-end. Se lo si desidera, è possibile impostare il firewall di livello 7 in modo che i frame vengano nuovamente crittografati prima di essere inviati al Gateway di Servizi terminal. Questo approccio potrebbe non essere necessario nella rete privata di un'organizzazione, tuttavia può risultare molto utile nei centri dati ospitati o nelle reti condivise.

Figura 2** Utilizzo di un firewall a livello di applicazione con un dispositivo Gateway di Servizi terminal **(Fare clic sull'immagine per ingrandirla)

Questa soluzione di progettazione consente di eliminare entrambi gli svantaggi della soluzione precedente. Poiché il server Gateway di Servizi terminal riceve solo traffico controllato dal firewall di livello 7, il rischio di attacchi provenienti da Internet è minore. Il firewall di livello 7 dovrebbe infatti filtrare tali attacchi e inviare al gateway solo traffico controllato e ripulito.

Un ulteriore vantaggio di questa soluzione consiste nel posizionamento del gateway in base alla rete interna. Poiché il traffico proveniente da Internet viene controllato dal firewall di livello 7 prima di raggiungere il gateway, quest'ultimo può rimanere nella rete interna e accedere direttamente ai controller di dominio per l'autenticazione e agli host RDP per le sessioni dell'utente. Inoltre, è possibile impostare nel firewall back-end criteri più restrittivi. Invece di consentire sia il traffico di autenticazione delle directory che quello di RDP, è possibile semplicemente consentire il passaggio delle sessioni RDP dal firewall di livello 7 al Gateway di Servizi terminal. L'utilizzo di un firewall di livello 7 per la distribuzione del Gateway di Servizi terminal offre una soluzione più protetta e più semplice da gestire, senza richiedere una riprogettazione della rete perimetrale esistente.

Integrazione con NAP

Risorse dei Servizi terminal

• Servizi terminal in Windows Server 2008
• Forum di TechNet sui Servizi terminal in Windows Server 2008
• Blog del team sui Servizi terminal
• Microsoft Intelligent Application Gateway 2007
• Protezione accesso alla rete (NAP) per Windows Server 2008
• Blog sulla Protezione accesso alla rete
• Guide dettagliate su Windows Server 2008 Beta 3

Anche se una progettazione valida della rete perimetrale è un elemento importante per la soluzione di accesso da postazioni remote, è altrettanto importante garantire la conformità e la protezione dei dispositivi endpoint. Poiché RDP è un protocollo completo che consente il reindirizzamento di diversi tipi di dispositivi, ad esempio stampanti e sessioni RDP, è di importanza fondamentale che i client connessi alla rete soddisfino i criteri di protezione dell'organizzazione. Ad esempio, anche con una topologia di rete protetta, basata su procedure consigliate come quelle illustrate in precedenza, la connessione a un server terminal da un computer non protetto può comunque comportare la perdita di dati riservati o l'introduzione di file dannosi nel server terminal. Sebbene il livello di connettività e il potenziale di danneggiamento siano estremamente minori rispetto a una connessione tramite reti VPN di livello 3, è importante gestire il rischio associato alla perdita di dati e garantire la conformità con i criteri IT.

Protezione accesso alla rete è una nuova tecnologia di Windows Server 2008 che consente di controllare non solo gli utenti che possono connettersi alla rete, ma anche i tipi di sistemi da cui viene effettuata la connessione. Ad esempio, è possibile utilizzare Protezione accesso alla rete per garantire che le connessioni siano consentite solo da computer che dispongono di firewall e aggiornamenti antivirus. Protezione accesso alla rete è una soluzione estendibile non solo per la rete interna dell'organizzazione ma anche per gli utenti remoti, inclusi quelli connessi tramite VPN di livello 3 e quelli connessi tramite Gateway di Servizi terminal. Con l'integrazione di Protezione accesso alla rete nella soluzione di progettazione del Gateway di Servizi terminal, è possibile garantire che solo i sistemi che soddisfano i criteri di protezione specificati siano in grado di connettersi alla rete. Per ulteriori dettagli su Protezione accesso alla rete, è possibile consultare il mio articolo Controllo della protezione nel numero di maggio 2007 di TechNet Magazine, disponibile in linea all'indirizzo technetmagazine.com/issues/2007/05/SecurityWatch.

L'integrazione di Protezione accesso alla rete in una distribuzione di Gateway di Servizi terminal è un processo semplice che comporta l'aggiunta di un unico servizio alla soluzione di progettazione. Si tratta del servizio Server dei criteri di rete, che può essere installato nel server Gateway di Servizi terminal oppure in un'istanza separata del sistema operativo. Microsoft Management Console (MMC) del Gateway di Servizi terminal verrà quindi utilizzato per creare criteri di autorizzazione delle connessioni che definiscano le funzionalità RDP consentite per un determinato stato di integrità. Il server Gateway di Servizi terminal è configurato per verificare ogni tentativo di connessione e inoltrare il relativo rapporto di integrità al servizio Server dei criteri di rete, che confronterà il rapporto di integrità con i propri criteri e segnalerà al Gateway di Servizi terminal se la connessione è consentita o meno in base allo stato del client.

Come illustrato nella Figura 3, se un sistema non conforme non è configurato per utilizzare Windows Update, ma i criteri di protezione dell'organizzazione richiedono l'attivazione degli aggiornamenti automatici, se si esegue un tentativo di connessione al Gateway di Servizi terminal, verrà generato e inoltrato un rapporto di integrità. Tale rapporto potrebbe indicare, ad esempio, che il firewall è attivo, che l'antivirus è aggiornato ma che gli aggiornamenti automatici sono disabilitati. Non disponendo della logica per decodificare autonomamente il rapporto, il Gateway di Servizi terminal lo inoltrerebbe al servizio Server dei criteri di rete che lo confronterebbe con i criteri definiti dall'amministratore. Poiché gli aggiornamenti automatici risulterebbero disabilitati, il servizio Server dei criteri di rete rileverebbe lo stato di non conformità e segnalerebbe al Gateway Servizi terminal di non consentire la connessione. La connessione verrebbe annullata e all'utente verrebbe notificato che il computer non è conforme ai criteri di protezione dell'organizzazione. L'utente potrebbe quindi adottare tutte le azioni di correzione necessarie (in questo caso, abilitando gli aggiornamenti automatici) ed effettuare un altro tentativo di connessione. Di conseguenza, verrebbe generato un nuovo rapporto di integrità, il servizio Server dei criteri di rete rileverebbe lo stato di conformità e il Gateway di Servizi terminal consentirebbe la connessione.

Figura 3** La connessione può essere effettuata solo da sistemi conformi **(Fare clic sull'immagine per ingrandirla)

Conclusioni

Windows Server 2008 include gli elementi di base necessari per la creazione di una soluzione di accesso protetto da postazioni remote. Il Gateway di Servizi terminal offre un metodo protetto per eseguire il tunneling delle sessioni desktop remote su Internet e fornisce alle organizzazioni un'ampia gamma di opzioni di integrazione sulle reti esistenti. Tali opzioni includono il posizionamento del Gateway di Servizi terminal direttamente sulla rete perimetrale oppure l'utilizzo di un firewall di livello 7, ad esempio ISA Server o Intelligent Application Gateway, davanti al gateway. È possibile integrare Protezione accesso alla rete al Gateway di Servizi terminal per aggiungere alla soluzione funzionalità di controllo dell'integrità dell'endpoint. I controlli dell'endpoint consentono alle organizzazioni di verificare che le connessioni vengano effettuate non solo da utenti autorizzati, ma anche da computer conformi ai criteri di protezione IT. Se integrate, queste tecnologie forniscono alle organizzazioni funzionalità di accesso remoto più protette ed efficienti a livello operativo e che offrono un miglior servizio all'utente finale. Per ulteriori informazioni, è possibile consultare i siti elencati nell'intestazione laterale "Risorse dei Servizi terminal".

John Morello lavora in Microsoft dal 2000. Come consulente senior ha progettato soluzioni di protezione per le prime 100 aziende di Fortune nonché per clienti della difesa e civili. Attualmente è Senior Program Manager presso il gruppo Windows Server e si dedica alle tecnologie di accesso da postazioni remote. È possibile consultare il blog del suo team all'indirizzo blogs.technet.com/WinCAT.

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.