Configurazione di una VPN per accesso remoto con ISA Server 2006

  • Articolo

(a cura di Ermanno Goletto - SysAdmin.it)

Introduzione

Una Virtual Private Network (VPN) per accesso remoto consente di creare una connessione protetta attraverso una rete non attendibile, come ad esempio Internet, tra un utente mobile e la rete aziendale. L'utilizzo di ISA Server 2006 per implementare una rete VPN offre diversi vantaggi rispetto al servizio Routing and Remote Access (RRAS) su cui si appoggia primo fra tutti la sinergia con cui operano le funzionalità VPN e firewall. Inoltre ISA Server offre funzionalità per la gestione centralizzata dei criteri e il monitoraggio delle connessioni e il traffico di rete.

In questa pagina

Introduzione Introduzione
Concetti relativi alle reti VPN Concetti relativi alle reti VPN
Configurazione di una VPN per accesso remoto su ISA Server 2006 Configurazione di una VPN per accesso remoto su ISA Server 2006
Configurazione degli account utente Configurazione degli account utente
Creazione di una connessione VPN su un client Window XP SP2 Creazione di una connessione VPN su un client Window XP SP2
Conclusioni Conclusioni

Concetti relativi alle reti VPN

L'utilizzo di VPN consente a professionisti e a dipendenti che lavorano fuori sede di accedere alla rete locale (LAN) dell'organizzazione tramite Internet con costi contenuti. È infatti più vantaggioso utilizzare l'infrastruttura messa a disposizione dalla società telefonica anziché investire in un sistema di commutazione da collegare alle linee telefoniche private. Inoltre una connessione all'indirizzo IP o al nome DNS del server VPN abilitato per PPTP (Point-to-Point Tunneling Protocol) utilizza i router Internet, i commutatori ATM (Asynchronous Transfer Mode) e le linee analogiche e digitali, senza alcun rischio per la protezione.

Per instaurare un link VPN è possibile utilizzare una scheda di rete o un modem per connettersi a un normale server di accesso remoto. Grazie alle VPN, le organizzazioni non devono sostenere oneri di acquisto e manutenzione di componenti hardware quali modem bank e linee telefoniche analogiche dedicate in quando vengono utilizzate le infrastrutture del provider di servizi Internet, ma in ogni caso sarà possibile avere funzionalità di protezione e controllo delle connessioni remote.

Una connessione VPN è formata da due componenti:

  • Il virtual networking (o “tunneling”) protocol che crea una connessione point-to-point tra due computer che partecipano ad un link VPN. Grazie a questa connessione i due computer si comportano come se fossero sullo stesso segmento di rete Ethernet aziendale.

  • L’encription protocol che rende sicura la comunicazione per impedire, a seconda del protocollo utilizzato, l’intercettazione dei dati e la possibilità che questi vengano modificati durante il transito (attacchi “man in the middle”).

Per ulteriori informazioni si vedano i seguenti link:

Protocolli di tunneling VPN

I protocolli supportati per le connessioni VPN sono:

  • Point-to-Point Tunneling Protocol (PPTP) supportato da tutti i sistemi operativi Microsoft a partire da Windows NT 4.0 utilizza Microsoft Point-to-Point Encryption (MPPE) per crittografare i dati usando una chiave a 40 bit, 56 bit o 128 bit, ma non assicura l’integrità dei dati. Viene spesso utilizzato perché supporta client predenti e perché può attraversare la maggior parte dei dispositivi NAT (Network Address Translation).

  • Layer Two Tunneling Protocol (L2TP) supportato a partire da Windows 2000 in modo nativo e da Windows 98, Windows ME e Windows NT 4.0 tramite l'installazione del client Microsoft L2TP/IPSec VPN. L2TP dispone di meccanismi per implementare la crittografia dei dati ed è per questa ragione che viene utilizzato in combinazione con IPSec, il quale tramite la protezione ESP (Encapsulating Security Payload) può utilizzare crittografia Data Encryption Standard (DES) con chiave a 56 bit o 3DES con tre chiavi a 56 bit. Affinché possa essere utilizzato da client o server dietro un NAT entrambi devono supportare IPSec NAT-T.

Per maggiori informazioni si veda il seguente link VPN tunneling protocols.

Protocolli di autenticazione VPN

Quando un client remoto si collega alla rete si autentica al server fornendo le credenziali tramite uno dei seguenti metodi di autenticazione PPP (Point-to-Point Protocol):

  • PAP (Password Athentication Protocol) è supportato da quasi tutti i servizi di connessione remota, ma è il meno sicuro perché trasmette le credenziali come testo in chiaro non offrendo crittografia dei dati e protezione contro la determinazione di password e attacchi di risposta.

  • SPAP (Shiva Password Authentication Protocol) usa un meccanismo di crittografia reversibile sviluppato da Shiva chiamato base64. Fornisce supporto ai client di accesso remoto Shiva e offre una protezione migliore di PAP, ma è suscettibile agli attacchi di risposta e non cripta i dati.

  • CHAP (Challenge Handshake Authentication Protocol) utilizza password salvate usando un formato con crittografia reversibile per scopi di confronto. E’ compatibile con client di accesso remoto Macintosh e UNIX, offre protezione contro gli attacchi di risposta, ma non cripta i dati. La memorizzazione delle password tramite crittografia reversibile ne indebolisce la protezione richiedendo una maggior protezione fisica del controller di dominio.

  • MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) cripta i dati e utilizza password salvate usando una crittografia non reversibile in formato hash MD4.

  • MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol) esegue la mutua autenticazione client/server e i dati sono criptati usando chiavi di sessione diverse per la ricezione e la trasmissione.

  • EAP-TLS (Extensible Autentication Protocol) è il protocollo di autenticazione remota più sicuro e fornisce un'architettura estendibile a metodi di autenticazione PPP (Point-to-Point) avanzati come ad esempio l'autenticazione a due fattori. EAP-MD5 CHAP è il metodo di autenticazione CHAP che utilizza EAP, mentre EAP-TLS (Extensible Autentication Protocol-Transport Layer Security) viene utilizzato per l'autenticazione basata sul certificato digitale.

Per maggiori informazioni si veda il seguente link VPN Authentication.

Implicazioni dell'utilizzo di NAT sulle VPN

NAT è una tecnologia che consente a più un computer di condividere un singolo indirizzo IP pubblico eseguendo il mapping di indirizzi privati (10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16) in indirizzi IP pubblici utilizzati su Internet.

Gli host dietro un router (o un firewall) che effettua operazioni di NAT non godono di connettività end-to-end in quanto NAT altera gli header del pacchetto e questo è in netto contrasto con IPSec che ha tra i suoi obiettivi il controllo dell'integrità del pacchetto. L'alterazione dell'indirizzo da parte di un apparecchiatura di NAT provoca il fallimento dell'autenticazione nelle VPN che utilizzano L2TP/IPSec come protocollo di tunneling.

Per risolvere questa problematica occorre utilizzare NAT-T (NAT Traversal) un protocollo facente parte della suite IPSec e standardizzato con la RFC 3947. Questo protocollo si basa sul fatto che una volta stabilito che entrambi i peer supportano il NAT-T e verificato chi dei due subisce il NAT, o al limite se lo subiscono entrambi, la comunicazione si sposta su una nuova coppia di porte UDP e l'entità che subisce NAT comincia a inviare delle frame keepalive; queste frame servono a mantenere fisse le porte di comunicazione sul router e ad impedirgli di riassegnarle ad una nuova comunicazione. In generale il NAT-T nei dispositivi preposti alla gestione dei tunnel IPSec e nei client VPN non è abilitato di default ma deve essere impostato a mano.

NAT-T è supportato da Windows Server 2003, Windows XP SP2 e dal client Microsoft VPN L2TP/IPSec. Il supporto a NAT-T per Windows XP pre-SP2 e Windows 2000 è garantito tramite l'aggiornamento 818043 ed è configurabile tramite il valore DWORD AssumeUDPEncapsulationContextOnSendRule della registry key HLM\System\CurrentControlSet\Services\IpSec che può assumere i seguenti valori:

  • 0 (default) configura il client in modo che non venga avviata una comunicazione IPSec con responders che subiscono NAT.

  • 1 configura il client in modo che venga avviata una comunicazione IPSec con responders che subiscono NAT.

  • 2 configura il client in modo che venga avviata una comunicazione IPSec quando sia initiators che responders subiscono NAT (questo è il valore di default in Windows XP pre-SP2).

Se il client VPN è dietro un router (o un firewall) oltre a gestire la problematica introdotta dall'uso del NAT occorre anche assicurarsi che sia consentito il traffico per instaurare la connessione VPN:

  • Nel caso si utilizzi il protocollo di tunneling L2TP occorrerà consentire il traffico per i protocolli L2TP (UDP 1701), IKE (UDP 500) e IPSec NAT-T (UDP 4500).

  • Nel caso si utilizzi il protocollo di tunneling PPTP occorrerà consentire il traffico per i protocolli PPTP (TCP 1723) e GRE (TCP 47).

Per ulteriori informazioni si vedano i seguenti link:

Considerazioni sull'implementazione delle VPN in ambiente Windows Server 2003 e ISA Server 2006

Dall'analisi dei protocolli di tunneling e di autenticazione appare evidente che la scelta dipende dal livello di sicurezza che si vuole implementare, dalla versione del sistema operativo dei client VPN che si indende supportare e dalla struttura della propria rete aziendale.

In questo articolo prenderemo in esame uno scenario ipotetica basato su Windows Server 2003 SP2 lato server e Windows XP SP2 lato client. Il server VPN sarà implementato tramite ISA Server 2006 configurato come Edge Firewall come mostrato in figura.

In uno scenario di questo tipo appare evidente che la configurazione più protetta che è possibile implementare è L2TP/IPSec con autenticazione EAP-TSL, ma questo implica l'acquisto di certificati digitali o l'implementazione di un'infrastruttura a chiave pubblica (PKI) che consenta l’utilizzo di certificati EAP.

Se però non si ha a disposizione un'infrastruttura a chiave pubblica è possibile implementare L2TP/IPSec tramite l'utilizzo di una pre-shared key, ma va detto che questa soluzione è meno sicura. I certificati digitali infatti sono più difficili da compromettere e tramite la Certificate Revocation List (CRL) è possibile revocare immediatamente i certificati compromessi, a pre-shared key è quindi da utilizzare solo quando non vi sia o non vi sia ancora un' infrastruttura a chiave pubblica. La pre-shared key può essere una stringa composta da una qualunque combinazione di un massimo di 256 caratteri Unicode. Per non essere vulnerabile agli attacchi a dizionario e a forza bruta la pre-shared key non deve avere alcun senso, essere  estremamente complessa contenendo lettere maiuscole e minuscole, numeri e simboli ed essere lunga almeno 30 caratteri. Per generare pre-shared key casuali è possibile utilizzare tool online come ad esempio Ultra High Security Password Generator, per ulteriore sicurezza si consiglia di modificare la sequenza di caratteri generata per scongiurare la possibilità che le stringe siano riproposte più volte e quindi potenzialmente sfruttabili da attacco a dizionario.

In questo articolo vedremo quindi i passaggi necessari per implementare una VPN per acceso remoto basata sul protocollo di tunneling L2TP/IPSec con pre-shared key che utilizza il protocollo di autenticazione MS-CHAPv2, questa soluzione rappresenta buon compromesso tra sicurezza ottenuta e carico amministrativo necessario.

Per quando riguarda le problematiche introdotte dal NAT l'implementazione del server VPN tramite ISA Server 2006 in configurazione Edge Firewall garantirà un funzionamento trasparente in quanto i client XP SP2 utilizzano per default NAT-T nel caso di trovino dietro un NAT (ad esempio un router ADSL), mentre il terminatore VPN non subisce NAT.

Affinchè sia possibile implementare una VPN è anche necessario assicurarsi che i router o firewall hardware tramite cui si accede ad Internet consentano il transito dei protocolli L2TP (UDP 1701), IKE (UDP 500) e IPSec NAT-T (UDP 4500).

Tramite Windows Server 2003 Standard Edition è possibile creare fino a 1.000 porte PPTP (Point-to-Point Tunneling Protocol) e fino a 1.000 porte L2TP (Layer Two Tunneling Protocol) e vengono supportate fino a 1.000 connessioni VPN simultanee.

Installando ISA Server in un server VPN è possibile ottenere le funzionalità offerte sia dal servizio Routing e Accesso Remoto di Windows Server 2003 che da ISA Server. Dopo l'installazione di ISA Server verranno ignorati tutti i filtri di pacchetti configurati nel server VPN in quanto ISA crea propri filtri di pacchetti quando viene configurato per consentire connessioni VPN, ciò implica che per configurare filtri aggiuntivi è necessario utilizzare la console amministrativa di ISA Server anziché quella di Routing e Accesso Remoto.

Per ulteriori informazioni si vedano i seguenti link:

Configurazione di una VPN per accesso remoto su ISA Server 2006

Di seguito verranno illustrati i passaggi necessari alla configurazione di ISA Server 2006 come server VPN di accesso remoto ipotizzando che ISA Server 2006 sia installato installato su Windows Server 2003 SP2 e configurato come membro di dominio ed appartenga al security group RAS and IAS Servers. Per ulteriori informazioni sull'installazione di ISA Server 2006 si veda il seguente articolo Installazione e hardening di ISA Server2006 SE.

Selezione delle reti di accesso

Per impostazione predefinita i client VPN possono connettersi solo dalla rete External, ma potrebbe essere necessario, ad esempio, configurare una rete protetta specifica per gli utenti wireless per consentire l’accesso a Internet e tramite VPN alla rete interna. Per definire le reti di accesso utilizzare la seguente procedura:

  1. Selezionare nella ISA Server Management console il nodo VPN (Virtual Private Networks).

  2. Selezionare il Tab VPN Clients.

  3. Selezionare Tasks / Access Networks.

  4. Nel Tab Access Networks selezionare le reti da cui si desidera consentire la connessione ai client VPN.

  5. Selezionare Apply.

  6. Selezionare OK.

  7. Selezionare Apply per confermare le modifiche.

Per ulteriori informazioni si veda il seguente link Configure VPN access networks.

Definizione delle assegnazioni degli indirizzi IP

ISA Server deve assegnare gli indirizzi IP del client VPN per consentirne l’accesso alle reti protette. E’ possibile assegnare gli indirizzi IP da un pool statico oppure in modo dinamico tramite un server DHCP esistente.

Nel caso si intenda utilizzare un pool statico questo range non dovrà essere utilizzato in un’altra definizione di rete di ISA Firewall, in particolare dal momento che i client VPN dovranno avere un indirizzo IP appartenente alla subnet della rete interna lo static pool address dovrà essere escluso dalla definizione della Network Internal tramite la seguente procedura:

  1. Selezionare nella ISA Server Management console il nodo Configuration / Networks.

  2. Selezionare il Tab Networks.

  3. Selezionare la network Internal.

  4. Selezionare Tasks / Edit Selected Network.

  5. Selezionare il Tab Adresses.

  6. Configurare il range di indirizzi IP per escludere lo static pool.

  7. Selezionare Apply.

  8. Selezionare OK.

  9. Selezionare Apply per confermare le modifiche.

Per definire le assegnazioni degli indirizzi IP utilizzare la seguente procedura:

  1. Selezionare nella ISA Server Management console il nodo VPN (Virtual Private Networks).

  2. Selezionare il Tab VPN Clients.

  3. Selezionare Tasks / Define Address Assignements.

  4. Nel Tab Address Assignement configurare l’assegnazione degli indirizzi IP.

  5. Selezionare Static Address Pool se si intende utilizzare un pool di indirizzi statici.

  6. Selezionare Add per specificare un intervallo di indirizzi IP.

  7. Selezionare Dynamic Host Configuration Protocol (DHCP) per utilizzare un server DHCP disponibile sulla rete.

  8. Tramite il combobox Use the following network to obtain DHCP, DNS e WINS services è possibile specificare la rete su cui i servizi DHCP, DNS e WINS sono attivi (per default viene utilizzata Internal).

  9. Tramite il pulsante Advanced è possibile specificare server DNS e WINS per i cliente VPN, infatti a meno che su ISA Server non sia installato un agente di inoltro DHCP, per impostazione predefinita le impostazioni relative al DHCP non sono specificate.

  10. Selezionare Apply.

  11. Selezionare OK.

  12. Selezionare Apply per confermare le modifiche.

Per ulteriori informazioni si vedano i seguenti link:

Configurazione dell’autenticazione

Per impostazione predefinita ISA Server utilizza l’autenticazione MSCHAPv2 per i client VPN, ma è possibile abilitare autenticazione tramite smart card, certificato digitale e impostare una pre-shared key L2TP. Per configurare l’autenticazione utilizzare la seguente procedura:

  1. Selezionare nella ISA Server Management console il nodo VPN (Virtual Private Networks).

  2. Selezionare il Tab VPN Clients.

  3. Selezionare Tasks / Select Authentication Methods.

  4. Nel Tab Autentication selezionare i metodi di autenticazione che si desidera supportare.

  5. Selezionare Allow custom IPsec policy for L2TP connection e digitare la pre-shared key.

  6. Selezionare Apply.

  7. Confermare il messaggio che sarà necessario riavviare il servizio Routine and Remote Access.

  8. Selezionare OK.

  9. Selezionare Apply per confermare le modifiche.

Per ulteriori informazioni si vedano i seguenti link:

Abilitazione e configurazione dell’accesso client VPN su ISA Server

Per configurare e abilitare l’accesso client VPN utilizzare la seguente procedura:

  1. Selezionare nella ISA Server Management console il nodo VPN (Virtual Private Networks).

  2. Selezionare il Tab VPN Clients.

  3. Selezionare Tasks / Configure VPN Client Access.

  4. Nel Tab General abilitare l'accesso ai client VPN selezionando Enable VPN Client Access e impostarne il numero.

  5. Digitare in Maximum number of VPN clients allowed il numero di client VPN che non dovrà superare il numero di indirizzi IP disponibili tramite DHCP o static pool address.


     

  6. Selezionare il Tab Groups per specificare i gruppi di Active Directory a cui è consentito l’accesso a ISA Server mediante VPN (per impostazione predefinita l’accesso a ISA Server non è concesso ad alcun gruppo).


     

  7. Selezionare il Tab Protocols per selezionare quali protocolli di tunneling abilitare.
    Deselezionare Enable PPTP e selezionare Enable L2TP/IPsec per consentire l'utilizzo del solo protocollo L2TP/IPSec.


     

  8. Selezionare Apply.

  9. Confermare il messaggio che potrebbe essere necessario riavviare alcuni computer ISA Server nell’array e in questo caso su tali computer verrà notificato un avviso.

  10. Confermare il messaggio che il computer non può essere aggiunto all’elenco dei remote access server in Active Directory e che questa operazione dovrà essere fatta dal domain administrator.

  11. Selezionare No al messaggio di abilitare la system policy rule Allow all http traffic from ISA Server to all networks (for CLR downloads) questa rule consente di eseguire il download dell’ultima Certificate Revocation List (CLR) per la verifica dei certificati. Utilizzando una pre-shared key la CLR non è necessaria

  12. Selezionare OK.

  13. Selezionare Apply per confermare le modifiche.

Per ulteriori informazioni si vedano i seguenti link:

Creazione delle Access Rule per i client VPN

Per consentire l’accesso alla rete interna ai client VPN occorre creare un’Access Rule utilizzando la seguente procedura:

  1. Selezionare nella ISA Server Management console il nodo Firewall Policy.

  2. Selezionare Tasks / Create Access Rule.

  3. Nella pagina Welcome to the New Access Rule Wizard digitare Accesso VPN Client a Rete Interna in Access rule name.

  4. Nella pagina Rule Action selezionare Allow nella pagina Rule Action.

  5. Nella pagina Protocols selezionare i protocolli e/o le porte su cui si intende consentire il traffico mentre tramite Ports è possibile configurare il transito su porte specifiche.
    Se si intende ad esempio consentire l'esecuzione di query DNS, l'accesso a condivisioni di rete, a server SQL Server e terminal server sulla rete aziendale aggiungere i seguenti protocolli:

  6. DNS (TCP 53 UDP 53) per risolvere i nomi FQDN tramite i DNS della rete aziendale.

  7. Microsoft SQL Server (TCP) (TCP 1433) per accedere a server SQL Server.

  8. Microsoft SQL Server (UDP) (TCP 1434) per fare il browsing dei server SQL Server.

  9. Microsoft CIFS (TCP) (TCP 445) per accedere alle share di rete.

  10. RDP (Terminal Services) (TCP 3389) per accesso a server Terminal.

  11. Nella pagina Access Rule Sources selezionare VPN Clients come network entity sorgente.

  12. Nella pagina Access Rule Destinations selezionare Internal come network entity destinazione.

  13. Nella pagina User Sets selezionare gli utenti a cui verrà applicata la rule (per default All Users):

  14. Rimuovere All Users.

  15. Aggiungere All Authenticated Users per consentire il traffico solo agli utenti autenticati, volendo è possibile anche essere più stringenti e creare uno User Set che includa solo i gruppi di Active Directory a cui gli utenti VPN appartengono o addirittura specificare i singoli utenti.

  16. Nella pagina Completing the New Access Rule Wizard selezionare Finish.

  17. Selezionare Apply per confermare le modifiche.

Per ulteriori informazioni si veda il seguente link Access rules.

Configurazione degli account utente

Affinché gli utenti possano connettersi tramite connessioni VPN occorre impostare sugli account Active Directory le autorizzazioni necessarie per consentire l’accesso remoto tramite la seguente procedura:

  1. Aprire la console Utenti e computers di Active Directory.

  2. Selezionare l’account utente.

  3. Selezionare Azione / Proprietà.

  4. Selezionare il Tab Chiamate in ingresso.

  5. Selezionare Consenti accesso in Autorizzazione di accesso remoto (chiamata in ingresso o VPN).

  6. Selezionare Applica.

  7. Selezionare OK.

Per ulteriori informazioni si veda il seguente link Proprietà delle chiamate in ingresso di un account utente.

Creazione di una connessione VPN su un client Window XP SP2

Per configurare una connessione VPN utilizzare la seguente procedura:

  1. Selezionare Avvio / Esegui.

  2. Digitare ncpa.cpl per aprire Connessioni di rete.

  3. Selezionare Crea nuova connessione.

  4. Nella pagina Creazione guidata nuova connessione selezionare Avanti.

  5. Nella pagina Tipo di connessione di rete selezionare Connessione alla rete aziendale.

  6. Nella pagina Connessione di rete selezionare Connessione VPN.

  7. Nella pagina Nome connessione digitare il nome della connessione VPN.

  8. Nella pagina Selezionare server VPN digitare il nome FQDN o l’indirizzo IP esterno del server VPN ISA.

  9. Nella pagina Disponibilità connessione scegliere L’uso da parte di tutti per consentire l’utilizzo della connessione da parte di tutti gli utenti del computer, per consentirne l’uso solo all’utente corrente selezionare Solo uso personale.

  10. Nella pagina Completamento della Creazione guidata nuova connessione selezionare Fine.

  11. Nella dialog di connessione selezionare Proprietà per configurare la connessione.

  12. Selezionare il Tab Protezione.

  13. Selezionare Avanzate (impostazioni personalizzate) in Opzioni di protezione.


     

  14. Selezionare Impostazioni.

  15. Deselezionare Microsoft CHAP (MS-CHAP) per consentire l’autenticazione solo con il protocollo Microsoft CHAP Versione 2 (MS-CHAPV2).

  16. Selezionare OK.


     

  17. Selezionare Impostazioni IPSec.

  18. Selezionare Usa chiave già condivisa per l’autenticazione.

  19. Digitare in Chiave la pre-shared key.

  20. Selezionare OK.

  21. Selezionare il Tab Rete.

  22. Selezionare L2TP IPSEC VPN in Tipo di VPN.

  23. Selezionare OK.


     

  24. Per default viene impostato come gateway predefinito quello sulla rete remota, ciò può creare problemi ad esempio se il client VPN deve accedere ad Internet tramite un altro gateway, ad esempio un modem/router ADSL. E' possibile modificare questa impostazione configurando il Protocollo Internet (TCP/IP):

  25. Selezionare il Protocollo Internet (TCP/IP) e quindi Proprietà.

  26. Selezionare Avanzate.

  27. Nel Tab Generale deselezionare Usa gateway predefinito sulla rete remota.

  28. Selezionare OK.

  29. Selezionare OK.


     

  30. Selezionare OK.

Se necessario è possibile avviare la connessione VPN tramite script tramite il comando rasdial tramite la seguente sintassi:
rasdial " Nome Connessione " domainname/usernameuserpassword.

Nel caso si debbano configurare la connessione VPN su un numero considerevole di client è possibile utilizzare Connection Manager Administration Kit (CMAK) che consente di creare un pacchetto di installazione personalizzato per l'aggiunta di un profilo del servizio Connection Manager 1.3 (il componente di Windows XP per la gestione delle connessioni remote). CMAK tramite un comodo wizard consente infatti di personalizzare la connessione VPN nei minimi dettagli permettendo anche l'esecuzione di azioni personalizzate, l'inclusione di file di help, licenza d'uso, immagini e icone. CMAK fa parte dei componenti aggiuntivi di Windows Server 2003 e può essere trovato nella raccolta degli Strumenti di Gestione e controllo.

Per ulteriori informazioni si vedano i seguenti link:

Conclusioni

ISA Server consente di semplificare notevolmente il deploy di connessioni VPN ed offre anche funzionalità avanzate quali i servizi di quarantena che consentono di verificare se su un computer remoto sono disponibili gli aggiornamenti di protezione o le impronte digitali dei virus più recenti prima della connessione alla rete aziendale.

Per ulteriori approfondimenti si vedano i seguenti link: