Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Capitolo 2: Pianificazione dell'implementazione della protezione di reti LAN senza fili
Aggiornato: 3 aprile 2004
In questa pagina
Cenni preliminari Prima di iniziare Funzionamento della protezione di reti LAN senza fili Profilo dell'organizzazione di destinazione Criteri di progettazione Architettura WLAN Scalabilità per organizzazioni di maggiori dimensioni Variazioni nell'architettura della soluzione Riepilogo Riferimenti
Cenni preliminari
In questo capitolo viene descritta la progettazione complessiva della soluzione per reti WLAN (Wireless Local Area Network) protette. Lo scopo è quello di offrire una descrizione approfondita relativa alla progettazione della soluzione, illustrando i motivi delle scelte effettuate. Vengono inoltre riportate le informazioni necessarie per adattare la progettazione alle esigenze specifiche della propria organizzazione.
Il capitolo inizia con una descrizione della modalità di funzionamento dell'autenticazione 802.1X e del protocollo PEAP (Protected Extensible Authentication Protocol) per la protezione dell'accesso alla rete, seguita dalla descrizione dell'organizzazione di destinazione della soluzione e dai relativi requisiti fondamentali.
Nella parte centrale del capitolo viene descritta la progettazione della soluzione per reti WLAN, che include: la struttura della rete; il posizionamento del server IAS (Internet Authentication Service, Servizio di autenticazione Internet); la scelta di hardware e software; la procedura per ottenere i certificati; la configurazione dei client. Viene inoltre illustrato come eseguire la migrazione da una rete WLAN non protetta all'autenticazione 802.1X e al protocollo PEAP.
Nelle sezioni finali del capitolo vengono presentate possibili variazioni alla progettazione di base della soluzione. La più importante di tali variazioni riguarda la scalabilità della soluzione per l'utilizzo in organizzazioni di maggiori dimensioni, che viene illustrata in dettaglio. Tra le altre opzioni di progettazione indicate rientrano:
Riutilizzo dell'infrastruttura IAS per la protezione di reti LAN cablate
Utilizzo di IAS per l'autenticazione dell'accesso remoto
Distribuzione di reti WLAN in ambienti SOHO
Prima di iniziare
Durante la pianificazione dell'implementazione di reti WLAN protette è necessario verificare che nell'organizzazione siano disponibili le competenze appropriate e che le decisioni relative alla distribuzione vengano affidate a persone qualificate.
Per trarre il massimo vantaggio da questo capitolo, è consigliabile approfondire i seguenti argomenti:
Concetti relativi alla rete, in particolare a reti LAN senza fili
Microsoft® Windows® 2000 o Windows Server™ 2003
Concetti relativi al servizio Microsoft Active Directory®, inclusi i domini e gli insiemi di strutture di Active Directory, gli strumenti di gestione, l'utilizzo dei criteri di gruppo e la manipolazione di utenti, di gruppi e di altri oggetti di Active Directory
Concetti relativi a Servizi certificati e all'infrastruttura a chiave pubblica (PKI)
Concetti relativi alla protezione generale, quali l'autenticazione, l'autorizzazione e la crittografia
Funzionalità di protezione di Windows, quali utenti, gruppi, controllo ed elenchi di controllo di accesso (ACL)
Applicazione delle impostazioni di protezione mediante i criteri di gruppo.
Nota: sebbene sia possibile implementare questa soluzione senza una conoscenza tecnica approfondita, è consigliabile acquisire una certificazione Microsoft Certified Systems Engineer (MSCE) o una conoscenza e un'esperienza equivalenti.
Funzionamento della protezione di reti LAN senza fili
Nel documento introduttivo "Scelta di una strategia per la protezione di reti LAN senza fili" sono stati descritti in dettaglio diversi metodi per la protezione di reti WLAN. In particolare è stato illustrato l'utilizzo dell'autenticazione avanzata di reti WLAN tramite lo standard 802.1X e la crittografia del traffico di rete basata sul WEP (Wired Equivalent Privacy) dinamico o su WPA (WiFi Protected Access). I punti principali di tale descrizione sono i seguenti:
Lo schema di protezione originale per reti WLAN basate sulla tecnologia 802.11, noto come WEP (Wired Equivalent Privacy), presenta gravi lacune che consentono a un pirata informatico di decifrare la chiave di rete e quindi di violare la rete. Questo schema è conosciuto come "WEP statico", in quanto utilizza una chiave fissa di accesso alla rete e di crittografia condivisa tra tutti i membri della rete WLAN.
L'utilizzo dell'autenticazione IEEE 802.1X garantisce un meccanismo di controllo dell'accesso avanzato per la rete WLAN. Tale meccanismo deve essere combinato con un metodo EAP (Extensible Authentication Protocol) protetto. La scelta del metodo EAP determina il tipo di credenziali che è possibile utilizzare per l'autenticazione di utenti e computer nella rete WLAN.
Microsoft supporta e consiglia l'utilizzo di PEAP con MS-CHAP v2 per l'autenticazione tramite password e EAP-TLS per l'autenticazione con certificato.
PEAP consente di proteggere un altro metodo EAP, ad esempio MS-CHAP v2, all'interno di un canale protetto. L'utilizzo di PEAP è indispensabile per impedire attacchi ai metodi EAP basati su password.
È possibile garantire la protezione avanzata dei dati del traffico di rete WLAN tramite WEP dinamico o WPA. Le chiavi di crittografia principali per la protezione dei dati vengono generate durante il processo di autenticazione 802.1X, anche se il WEP dinamico e WPA utilizzano in modo diverso questo chiavi.
La differenza tra WEP statico e WEP dinamico è fondamentale. Il WEP dinamico utilizza gli stessi algoritmi di crittografia del WEP statico ma aggiorna continuamente le chiavi di crittografia, impedendo pertanto gli attacchi noti al WEP statico. Il WEP dinamico include soltanto il meccanismo di protezione dei dati di rete, in quanto l'autenticazione di rete viene gestita separatamente dalla tecnologia 802.1X.
Funzionamento dell'autenticazione 802.1X con PEAP e password
Per l'autenticazione di reti WLAN basata su password, Microsoft supporta l'utilizzo di PEAP con MS-CHAP v2. Nella figura 2.2 è illustrato il funzionamento dell'autenticazione 802.1X con PEAP e MS-CHAP v2.
Figura 2.1 Autenticazione 802.1X e PEAP per la rete LAN senza fili
Nella figura sono illustrati i seguenti quattro componenti principali:
Client senza fili: si tratta di un computer o di un dispositivo in cui viene eseguita un'applicazione che richiede l'accesso alle risorse di rete. Il proprietario delle credenziali utilizzate per l'autenticazione del client nella rete può essere un utente o un computer. Il client deve disporre di una scheda di rete WLAN in grado di supportare l'autenticazione 802.1X e il WEP dinamico o la crittografia WPA. In vari documenti relativi agli standard di rete si fa riferimento al client con il termine "stazione" (STA).
Prima che al client venga consentito l'accesso alla rete WLAN, il client deve concordare fuori banda un insieme di credenziali con il servizio di autenticazione (il server RADIUS e la directory). In questo caso, gli account di dominio dell'utente e del computer vengono creati prima della connessione alla rete WLAN. Il client conosce la password e il controller di dominio (la directory) è in grado di verificarla. È necessario inoltre preconfigurare il client con le impostazioni corrette della rete WLAN, inclusi il nome della rete WLAN e il metodo di autenticazione da utilizzare.
Nota: a rigore, è necessario concordare fuori banda un unico insieme di credenziali, ovvero quelle dell'utente o quelle del computer. Ad esempio, è possibile connettersi alla rete WLAN utilizzando le credenziali utente e quindi aggiungere il computer al dominio. Tuttavia questa soluzione presuppone che gli account dell'utente e del computer siano già disponibili prima dell'accesso alla rete WLAN.
Punto di accesso senza fili: il punto di accesso senza fili è responsabile del controllo dell'accesso alla rete WLAN e del bridging di una connessione client alla rete LAN interna. Deve supportare l'autenticazione 802.1X e il WEP dinamico o la crittografia WPA. In termini di standard di rete, il punto di accesso svolge il ruolo del servizio NAS (Network Access Service).
Il punto di accesso senza fili e il server RADIUS dispongono inoltre di un segreto condiviso per identificarsi reciprocamente in modo sicuro.
Server RADIUS e directory: il server RADIUS utilizza la directory per verificare le credenziali dei client WLAN. Prende decisioni sulle autorizzazioni in base a un criterio di accesso alla rete. Inoltre consente di raccogliere le informazioni di accounting e di controllo sull'accesso client alla rete. Nella terminologia degli standard di rete si fa riferimento a questo server con l'espressione "servizio di autenticazione" (AS, Authentication Service).
Rete interna: rete protetta necessaria per l'applicazione client senza fili al fine di ottenere l'accesso.
Nella procedura seguente vengono descritte le modalità con cui il client effettua una richiesta, ottenendo l'accesso alla rete WLAN e quindi alla rete interna. Il numero dei passaggi corrisponde ai numeri indicati nella figura 2.1.
Se il computer client è compreso nell'intervallo del punto di accesso senza fili, tenta di connettersi alla rete WLAN attiva su tale punto di accesso e individuata in base al relativo identificatore del set di servizi (SSID). Il SSID rappresenta il nome della rete WLAN e viene utilizzato dal client per identificare le impostazioni corrette e il tipo di credenziali appropriato per questa rete.
Il punto di accesso senza fili viene configurato in modo da consentire solo connessioni protette con l'autenticazione 802.1X. Quando il client tenta di connettersi al punto di accesso senza fili, quest'ultimo invia una richiesta al client, quindi imposta un canale con restrizioni che consente al client di comunicare solo con il server RADIUS, bloccando l'accesso al resto della rete. Il server RADIUS accetterà una connessione solo da un punto di accesso senza fili attendibile, ovvero configurato come client RADIUS nel server IAS e in grado di fornire il segreto condiviso per tale client RADIUS.
Il client tenta di eseguire l'autenticazione nel server RADIUS tramite il canale con restrizioni utilizzando l'autenticazione 802.1X. Durante la negoziazione PEAP, il client stabilisce una sessione TLS (Transport Layer Security) con il server RADIUS. L'utilizzo di una sessione TLS durante la negoziazione PEAP è finalizzato a diversi scopi:
Consente al client di eseguire l'autenticazione del server RADIUS; pertanto il client stabilirà la sessione esclusivamente con un server in possesso di un certificato ritenuto attendibile dal client stesso.
Protegge il protocollo di autenticazione MS-CHAP v2 dall'analisi del pacchetto.
La negoziazione della sessione TLS genera una chiave che può essere utilizzata dal client e dal server RADIUS per stabilire chiavi principali comuni, le quali consentono di ricavare le chiavi utilizzate per la crittografia del traffico di rete WLAN.
Il client, protetto all'interno del canale PEAP, esegue l'autenticazione nel server RADIUS tramite il protocollo MS-CHAP v2 EAP. Durante questo scambio, il traffico all'interno del tunnel TLS è visibile solo al client e al server RADIUS e non viene mai esposto al punto di accesso senza fili.
Il server RADIUS controlla le credenziali del client in base alla directory. Se il client viene autenticato, il server RADIUS raccoglie le informazioni che gli consentono di decidere se autorizzare o meno il client a utilizzare la rete WLAN. Il server utilizza le informazioni della directory (ad esempio, l'appartenenza ai gruppi) e le limitazioni definite nel relativo criterio di accesso (ad esempio, l'orario in cui è consentito l'accesso alla rete WLAN) per consentire o negare l'accesso al client. Il server RADIUS inoltra tale decisione al punto di accesso.
Se è stato consentito l'accesso al client, il server RADIUS trasmette la chiave principale del client al punto di accesso senza fili. A questo punto, il client e il punto di accesso condividono i dati della chiave comune, che possono utilizzare per crittografare e decrittografare il traffico WLAN che si scambiano.
Se si utilizza il WEP dinamico per crittografare il traffico, le chiavi principali vengono utilizzate direttamente come chiavi di crittografia. È necessario modificare periodicamente tali chiavi per impedire attacchi di recupero delle chiavi WEP. Questa operazione viene eseguita dal server RADIUS forzando regolarmente il client a eseguire una nuova autenticazione e a generare un nuovo set di chiavi.
Se le comunicazioni vengono protette tramite WPA, i dati della chiave principale vengono utilizzati per ricavare le chiavi di crittografia dei dati, che vengono modificate per ogni pacchetto trasmesso. Per garantire la protezione delle chiavi, non è necessario che WPA forzi una nuova autenticazione periodica.
Il punto di accesso esegue quindi il bridging della connessione WLAN client alla rete LAN interna, consentendo al client di comunicare liberamente con i sistemi della rete interna. A questo punto, il traffico inviato tra il client e il punto di accesso viene crittografato.
Se è necessario un indirizzo IP per il client, quest'ultimo può richiedere un lease DHCP (Dynamic Host Configuration Protocol) a un server della rete LAN. Dopo l'assegnazione dell'indirizzo IP, il client può iniziare a comunicare normalmente con i sistemi presenti sul resto della rete.
Autenticazione di computer e utenti nella rete WLAN
Il processo appena descritto illustra le modalità con cui un client (un utente o un computer) si connette alla rete WLAN. Windows XP autentica separatamente sia l'utente che il computer. All'avvio del computer, vengono utilizzati il relativo account di dominio e la password per eseguire l'autenticazione alla rete WLAN. Dopo tutte le operazioni descritte nella sezione precedente, segue l'autorizzazione del computer nella rete WLAN. Poiché il computer si connette alla rete WLAN tramite le relative credenziali, è possibile effettuare operazioni di gestione anche quando non è collegato alcun utente. Ad esempio, è possibile applicare le impostazioni dei criteri di gruppo e distribuire il software e le patch al computer.
Quando un utente accede al computer, viene ripetuto lo stesso processo di autenticazione e autorizzazione ma in questo caso vengono utilizzati il nome e la password dell'utente. La sessione dell'utente sostituisce la sessione WLAN del computer; pertanto le due sessioni non possono essere attive contemporaneamente e un utente non autorizzato non può utilizzare un computer autorizzato per accedere alla rete WLAN.
Nota: Windows XP consente di ignorare questo funzionamento e di specificare che vengano utilizzate solo le credenziali del computer oppure solo le credenziali dell'utente. Queste configurazioni non sono quelle consigliate. Le prime consentono agli utenti di connettersi alla rete WLAN senza autorizzazione, mentre le seconde impediscono al computer di connettersi alla rete WLAN fino a quando esiste un utente collegato, che interferisce con varie funzioni di gestione del computer.
Profilo dell'organizzazione di destinazione
Questa soluzione è stata progettata per piccole imprese con un numero di dipendenti variabile da 100 a 200 dipendenti. Anche se l'organizzazione di riferimento è fittizia, le caratteristiche e i requisiti corrispondenti sono il frutto di una ricerca approfondita nel mondo reale. Lo stile e lo scopo di questa guida, insieme alla scelte relative alla progettazione, sono stati definiti in base a tali requisiti.
È importante comprendere che questa soluzione non è valida solo per le organizzazioni di piccole dimensioni. La semplicità della progettazione e la scalabilità dei componenti utilizzati consentono infatti di adattare facilmente la stessa soluzione per reti WLAN basata su PEAP per organizzazioni di dimensioni maggiori (con migliaia di utenti) o minori. In base alle caratteristiche dell'organizzazione di destinazione fittizia, sarà possibile comprendere i presupposti di base della progettazione e adattarli alla propria organizzazione.
L'utilizzo della soluzione in organizzazioni più grandi è illustrato nella sezione "Scalabilità per organizzazioni di maggiori dimensioni" di questo capitolo. Per organizzazioni di minori dimensioni, è possibile installare tutti i componenti necessari in un singolo server disponibile.
Layout dell'organizzazione
Il layout fisico e IT dell'organizzazione è illustrato nella figura seguente.
Figura 2.2 Layout fisico e IT dell'organizzazione di destinazione
Esiste un'unica sede centrale di grandi dimensioni, che ospita la maggior parte dei sistemi IT e degli utenti. Tutti i controller di dominio di Active Directory si trovano in tale sede. Nella sede centrale è disponibile una connessione a Internet tramite un server firewall. Alcuni client WLAN e punti di accesso senza fili sono connessi alla rete interna.
Esistono inoltre uno o più uffici periferici con un numero estremamente ridotto di servizi IT locali oltre alla connettività di rete alla sede centrale. In questi uffici è disponibile un numero limitato di client, possibilmente tutti senza fili, e spesso vengono ospitati visitatori provenienti dalla sede centrale che portano i propri clienti WLAN per connettersi ai dati e alle applicazioni residenti in tale sede.
La connettività WAN (Wide Area Network) tra gli uffici viene garantita tramite linee private(ad esempio, una linea T1 da 1,5 Mbps) o mediante connessioni Internet DSL e un collegamento VPN da router a router attraverso Internet. In genere, la connessione WAN non prevede capacità di recupero dagli errori.
Nota: se la connessione WAN tra gli uffici viene assicurata mediante una connessione VPN attraverso Internet, ogni ufficio disporrà generalmente di un firewall per la protezione dai pericoli presenti su Internet. Poiché il firewall eventualmente esistente non è rilevante per la descrizione della rete WLAN, è stato omesso in modo da semplificare l'argomento.
Ambiente IT
In questa organizzazione, Active Directory consiste in un singolo insieme di strutture di dominio con almeno due controller di dominio. Esegue l'autenticazione degli utenti nel dominio e offre servizi directory e di autenticazione per varie applicazioni, ad esempio Microsoft Exchange Server e Outlook® per la posta elettronica. I controller di dominio sono stati aggiornati recentemente da Windows 2000 Server a Windows Server 2003, Standard Edition. I controller di dominio eseguono anche servizi aggiuntivi, quali il sistema DNS (Domain Name System), DHCP e WINS (Windows Internet Name Service), per alcune applicazioni ereditate.
I sistemi IT sono rappresentati prevalentemente da tecnologie Microsoft, con Windows XP nei computer client e Windows Server 2003 nei sistemi server. Inoltre sono disponibili alcuni server Windows 2000, che la società intende aggiornare in base a quanto consentito dal testing delle applicazioni e dal supporto. L'organizzazione ha iniziato a investire in sistemi portatili quali Windows XP, Tablet Edition e Pocket PC 2003, specialmente per il personale addetto alle vendite, alla distribuzione e al magazzino.
Tra le principali applicazioni server sono inclusi Microsoft Exchange Server, SQL Server (che esegue diverse applicazioni line-of-business), Internet Information Services (IIS) e Windows SharePoint™ Team Services.
Le applicazioni vengono distribuite nei computer client mediante i criteri di gruppo di Active Directory. Le patch dei sistemi operativi vengono distribuite mediante Microsoft Software Update Service (SUS) e il servizio di aggiornamento automatico di Windows.
Il monitoraggio del sistema viene eseguito direttamente nei sistemi server esaminando ogni giorno i registri eventi di Windows, i registri prestazioni e i registri applicazioni. Gli avvisi critici relativi ad hardware e software vengono inviati all'amministratore IT tramite messaggi di posta elettronica e avvisi sulle console di sistema.
L'organizzazione dispone di due esperti IT a tempo pieno che si occupano della pianificazione IT, della fornitura dei servizi e del supporto tecnico quotidiano. Sia il responsabile IT che l'addetto al supporto tecnico IT hanno acquisito le certificazioni MCSE più recenti e alcuni anni di esperienza nel settore IT.
Criteri di progettazione
L'organizzazione descritta nella sezione precedente applicherà generalmente a una soluzione per reti WLAN i tipi di criteri riportati di seguito. Tali criteri sono stati estesi a una vasta categoria di organizzazioni. La progettazione presentata nel resto del capitolo è basata esplicitamente su tali criteri.
Tabella 2.1: Criteri di progettazione della soluzione per reti WLAN
Fattore di progettazione | Criteri |
---|---|
Requisiti di protezione | - Autenticazione e autorizzazione affidabile dei client senza fili - Controllo dell'accesso affidabile per consentire l'accesso di rete ai client autorizzati e negare l'accesso non autorizzato - Crittografia di alto livello (128 bit) del traffico di rete senza fili - Gestione protetta delle chiavi di crittografia |
Scalabilità - Numero min/max di utenti supportati | Da 25 a 5.000 utenti WLAN e oltre Per reti WLAN di dimensioni differenti, vedere la tabella 2.2. |
Scalabilità - Numero di sedi supportate | Base: sede singola di grandi dimensioni con controller di dominio e servizi IT locali; uno o più uffici di minori dimensioni senza controller di dominio. È richiesto un numero minimo di 25 utenti. Fascia alta: singola sede centrale con più controller di dominio; grandi uffici con un singolo controller di dominio e/o connettività WAN con capacità di recupero alla sede centrale; più uffici di piccole dimensioni senza controller di dominio, probabilmente senza capacità di recupero della rete WAN. Il numero massimo di utenti consentito è 5000. Per organizzazioni di maggiori dimensioni, fare riferimento all'appendice A, "Utilizzo di PEAP nell'impresa". |
Requisiti di disponibilità | L'utilizzo di più punti di accesso senza fili, server IAS o controller di dominio determina capacità di recupero della rete WLAN in caso di errori dei singoli componenti negli uffici di maggiori dimensioni. Le reti WLAN degli uffici di piccole dimensioni sono soggette a guasti, a meno che venga installata una connettività ridondante. |
Supporto di piattaforme | Piattaforme server: Windows Server 2003, Standard Edition o Enterprise Edition (per l'installazione di IAS e di autorità di certificazione). Standard Edition supporta un massimo di 50 punti di accesso senza fili (client RADIUS) per ogni server. Piattaforme client: Windows XP Professional o Tablet Edition; Pocket PC 2003. |
Estensibilità (riutilizzo dei componenti della soluzione per altre applicazioni) | Altre applicazioni di accesso alla rete (VPN di accesso remoto, accesso alla rete cablata 802.1X e autenticazione firewall) possono essere supportate dalla stessa infrastruttura di autenticazione. |
Requisiti dell'organizzazione IT | Per l'installazione e la gestione della soluzione sono necessari professionisti IT con la certificazione MSCE più recente o una conoscenza equivalente e da 2 a 3 anni di esperienza nel settore IT. |
Requisiti di gestibilità | Per mantenere il corretto funzionamento della soluzione sono necessarie operazioni minime di gestione. Gli avvisi vengono inviati tramite posta elettronica e/o il registro eventi di Windows oppure vengono modificati per segnalare altri tipi di alterazioni. È possibile controllare il componente IAS mediante la soluzione di monitoraggio di Windows utilizzando registri eventi e contatori delle prestazioni, mediante la registrazione RADIUS e tramite il sistema di gestione SNMP (Simple Network Management Protocol). |
Conformità agli standard | La soluzione supporta i seguenti standard: - Standard di rete IEEE 802.11 (a, b, o g) - Autenticazione IEEE 802.1X con PEAP e MS-CHAP v2 (può essere utilizzata con altri metodi EAP, ad esempio il protocollo EAP-TLS basato su certificati e PEAP-EAP-TLS). - Protezione della rete WLAN con WEP a chiave dinamica e WPA - Funzionalità e standard futuri (ad esempio, 802.11i). - Supporto RADIUS per RFC 2865 e 2866. |
Nella tabella seguente sono riportati i requisiti per l'autenticazione WLAN in organizzazioni di varie dimensioni. Nella colonna "Nuove autenticazioni al secondo" viene indicata una parte del carico costante in base a una media delle quattro nuove autenticazioni quotidiane per ogni utente mobile che si sposta tra punti di accesso senza fili. Nella colonna "Numero massimo nuove autenticazioni al secondo" viene indicato il tipo di carico previsto quando tutti gli utenti eseguono l'autenticazione in un periodo di 30 minuti, ad esempio all'inizio della giornata. Nella colonna "Riautenticazioni al secondo" viene indicato il numero di riautenticazioni periodiche per forzare il rinnovo delle chiavi WEP dinamiche.
Tabella 2.2: Requisiti per l'autenticazione WLAN
Numero di utenti WLAN | Nuove autenticazioni al secondo | Numero massimo nuove autenticazioni al secondo | Riautenticazioni al secondo |
---|---|---|---|
100 | > 0,1 | 0,1 | 0,1 |
1000 | 0,1 | 0,6 | 1,1 |
10.000 | 1,4 | 5,6 | 11,1 |
Tipo di autenticazione | Nuove autenticazioni | Autenticazioni con riconnessione rapida |
---|---|---|
Autenticazioni PEAP al secondo | 36 | 166 |
Tempo per l'autenticazione di 200 utenti | 6 sec | 2 sec |
Tempo per l'autenticazione di 1000 utenti | 30 sec | 7 sec |
Elemento di configurazione | Impostazione |
---|---|
Nome criterio | Consenti accesso LAN senza fili |
Tipo di criterio | Consenti |
Condizioni criteri di accesso remoto | |
Tipo - porta - NAS corrispondente | Senza fili - IEEE 802.11 Senza fili - Altro |
Gruppo di Windows corrispondente | Accesso LAN senza fili |
Profilo criteri di accesso remoto | |
Limitazioni chiamate in ingresso - Timeout client | 60 minuti (WEP dinamico) 8 ore (WPA) |
Assegnazione indirizzo IP | L'assegnazione dell'indirizzo IP è determinata dalle impostazioni del server. |
Filtro IP | Nessuno |
Autenticazione | Tutto disattivato ad eccezione di EAP |
Autenticazione - Tipo di EAP utilizzato | PEAP (Protected EAP) |
Autenticazione - Tipo di EAP PEAP utilizzato | EAP MS-CHAP v2 |
Autenticazione - Riconnessione rapida | Abilitato |
Attributi RADIUS | Ignore-User-Dialin-Properties = "True" Termination Action = "RADIUS-Request" |
Il filtro della condizione corrisponde a tutti i client senza fili e a tutti i membri del gruppo di dominio Accesso LAN senza fili. I parametri che non sono rilevanti per l'accesso WLAN, quali le impostazioni di crittografia Connessione multipla e Microsoft Point-to-Point Encryption (MPPE), non sono inclusi nella tabella. Per ulteriori dettagli sull'utilizzo dei gruppi di protezione con i criteri di accesso remoto, fare riferimento alla sezione "Modello di amministrazione per utenti e computer di reti WLAN" più avanti in questo capitolo.
L'impostazione Limitazioni chiamate in ingresso - Timeout client può influire sulla protezione e sull'affidabilità della soluzione. Le ragioni per cui talvolta è necessario utilizzare valori diversi da quelli indicati nella tabella sono illustrate nella sezione "Opzioni di protezione per il WEP dinamico" più avanti nel capitolo.
L'attributo RADIUS "Ignore-User-Dialin-Properties" viene utilizzato per ignorare il controllo per utente delle autorizzazioni di accesso alla rete. Per la descrizione del controllo dell'accesso per utente e per gruppo, vedere la sezione "Modello di amministrazione per utenti e computer di reti WLAN".
Un criterio di richiesta di connessione controlla se elaborare la richiesta in un server RADIUS specifico oppure inviarla a un altro server RADIUS, denominato proxy RADIUS. In genere, i proxy RADIUS vengono utilizzati nei casi in cui il server RADIUS non dispone delle informazioni per elaborare direttamente la richiesta e deve quindi inoltrarla a un server RADIUS autorevole, ad esempio a un server di un altro insieme di strutture di Active Directory. I proxy RADIUS non vengono utilizzati in questa soluzione ed esulano dagli argomenti trattati in questa guida.
Per ulteriori informazioni sui criteri di accesso remoto e di richiesta di connessione e sull'utilizzo dei proxy RADIUS, vedere la sezione "Riferimenti" alla fine del capitolo.
Registrazione RADIUS
È possibile configurare i server IAS in modo che registrino due tipi di informazioni facoltative:
Eventi di autenticazione riusciti e rifiutati
Informazioni di autenticazione e di accounting RADIUS.
Gli eventi di autenticazione riusciti e rifiutati generati da dispositivi e utenti WLAN possono essere memorizzati nel registro eventi di sistema di Windows Server 2003 sul server IAS. Le informazioni del registro eventi di autenticazione sono particolarmente utili per la risoluzione dei problemi di autenticazione, sebbene possano essere utilizzate anche per il controllo della protezione e la segnalazione di avvisi.
Inizialmente è consigliabile lasciare attivata la registrazione degli eventi riusciti e rifiutati, ma è possibile disattivarla una volta che il sistema è diventato stabile. Gli eventi di accesso alla rete WLAN riusciti riempiranno il registro eventi di sistema ma potrebbero essere necessari per attività di controllo.
Se si utilizza uno strumento di monitoraggio e segnalazione di avvisi quale Microsoft Operations Manager (MOM), è consigliabile valutare l'opportunità di aggiungere una regola per segnalare gli eventi non riusciti di autenticazione IAS nel registro eventi di sistema. In alternativa, è possibile utilizzare uno strumento per le query al registro eventi, ad esempio eventquery.vbs, per controllare in tale registro la presenza di errori di autenticazione (vedere la voce "Eventquery.vbs" nella Guida in linea). In genere, gli eventi singoli non sono significativi ma una serie di eventi può indicare un tentativo di violazione.
IAS consente inoltre di registrare le informazioni sulle sessioni di autenticazione e di accesso alla rete sotto forma di registri delle richieste RADIUS. Normalmente si utilizza la registrazione RADIUS quando è necessario addebitare l'utilizzo della rete (ad esempio, un provider di servizi Internet deve addebitare la tariffa in base al tempo di connessione) oppure occorrono informazioni speciali di controllo della protezione, anche se nella maggior parte dei casi tali informazioni vengono ricavate dagli eventi di autenticazione memorizzati nel registro eventi.
Per ulteriori informazioni sulla registrazione RADIUS, vedere la sezione "Riferimenti" alla fine del capitolo.
Protezione di IAS
È consigliabile applicare a IAS precauzioni di protezione analoghe a quelle utilizzate per un controller di dominio. Il controllo sicuro della rete dipende dalla protezione dell'infrastruttura IAS. Esistono alcune semplici misure che è possibile implementare al fine di migliorare la protezione di IAS:
Utilizzare password complesse per i client RADIUS (punti di accesso senza fili). La soluzione include script per generare vere e proprie password casuali in modo da ostacolare gli attacchi del dizionario.
Attivare l'autenticatore del messaggio RADIUS per tutti i client RADIUS al fine di impedire lo spoofing degli indirizzi IP dei punti di accesso senza fili. In questa soluzione, l'autenticatore è attivato.
Verificare che le impostazioni di protezione del server siano appropriate. Tale procedura è descritta nel capitolo 3, "Predisposizione dell'ambiente".
Verificare che i server siano stati corretti con gli ultimi aggiornamenti rapidi per la protezione e che le patch siano mantenute regolarmente aggiornate. Anche questa procedura è descritta nel capitolo 3, "Predisposizione dell'ambiente".
Verificare che vengano utilizzate impostazioni avanzate per l'account di dominio. In particolare, è consigliabile controllare che vengano applicate password complesse e che le password vengano modificate regolarmente. È inoltre possibile valutare l'opportunità di attivare il blocco degli account di dominio per impedire gli attacchi di determinazione della password. Tuttavia è consigliabile attivare il blocco degli account solo se si dispone di risorse di supporto per sbloccare in tempo utile gli account degli utenti.
È possibile valutare l'opportunità di utilizzare IPSec per proteggere il traffico RADIUS e rafforzare l'autenticazione reciproca tra i punti di accesso senza fili e i server IAS. Tuttavia, non tutti i punti di accesso senza fili supportano l'utilizzo di IPSec per tale scopo.
Per ulteriori informazioni sulle misure di protezione relative a IAS, vedere la sezione "Riferimenti" alla fine di questo capitolo.
Modello di amministrazione per utenti e computer di reti WLAN
In questa soluzione, l'accesso alla rete WLAN viene controllato tramite i gruppi di protezione del dominio. Sebbene sia possibile utilizzare le proprietà delle chiamate in ingresso degli oggetti utente del dominio per consentire e negare l'accesso a singoli utenti, l'amministrazione di molti utenti con questo metodo richiede tempo.
Questa soluzione utilizza uno schema estremamente semplice, in base al quale si consente a tutti gli utenti e i computer del dominio di accedere alla rete WLAN. Per molte organizzazioni, il controllo dell'accesso tramite l'appartenenza al dominio è sufficientemente sicuro e riduce al minimo il sovraccarico di gestione aggiuntivo associato alla rete WLAN. Per garantire un maggiore controllo alle organizzazioni che lo richiedono, tuttavia, è possibile utilizzare i gruppi di protezione al fine di definire gli utenti e i computer a cui è consentito l'accesso alla rete WLAN.
Come descritto nella sezione "Criteri RADIUS", i criteri di accesso remoto IAS utilizzano una condizione filtro che concede l'accesso alla rete WLAN a tutti i membri del gruppo Accesso LAN senza fili. Nella tabella seguente è illustrata l'appartenenza al gruppo Accesso LAN senza fili.
Tabella 2.5: Gruppi di accesso senza fili per consentire l'accesso a tutti gli utenti e i computer
Gruppo universale di livello superiore (accesso concesso nel criterio di accesso remoto) | Membri di primo livello (Gruppi globali di dominio) | Membri di secondo livello (Gruppi globali di dominio) |
---|---|---|
Accesso LAN senza fili | Utenti LAN senza fili | Domain Users |
Accesso LAN senza fili | Computer LAN senza fili | Computer del dominio |
Gruppo universale di livello superiore (accesso concesso nel criterio di accesso remoto) | Membri di primo livello (Gruppi globali di dominio) | Membri di secondo livello (Gruppi globali di dominio) |
---|---|---|
Accesso LAN senza fili | Utenti LAN senza fili | Utente1 Utente2 Utente3 |
Accesso LAN senza fili | Computer LAN senza fili | Computer1 Computer2 Computer3 |
Per ulteriori informazioni sull'utilizzo di questi gruppi di protezione in un insieme di strutture multidominio, fare riferimento alla sezione "Scalabilità per organizzazioni di maggiori dimensioni" più avanti in questo capitolo.
Come ottenere i certificati per i server IAS
I server IAS devono disporre di certificati per l'autenticazione dei client WLAN. I certificati server sono necessari per creare il tunnel crittografato TLS tra i server IAS e i client. TLS consente di proteggere lo scambio di autenticazione tra il server e i client.
Nota: TLS è uno standard RFC basato sullo standard analogo Secure Sockets Layer versione 3.0 (SSL 3.0). Entrambi vengono utilizzati generalmente per proteggere il traffico Web come parte di HTTPS (Hypertext Transfer Protocol Secure).
Differenze tra CA incorporata e CA commerciale
Per ottenere questi certificati, è possibile scegliere se installare direttamente una CA o acquistare i certificati da un'autorità di certificazione commerciale. Entrambe le opzioni sono valide e la scelta di una rispetto all'altra non comporta alcuna differenza tecnica per la soluzione per reti WLAN.
I vantaggi e gli svantaggi principali dell'utilizzo di una CA interna rispetto all'acquisto di certificati da un'autorità di certificazione commerciale sono riepilogati nella tabella seguente.
Tabella 2.7: Vantaggi e svantaggi dell'utilizzo di una CA interna rispetto ai certificati commerciali
CA interna | CA commerciale |
---|---|
Nessun costo per certificato | Costo per certificato |
Software CA da installare e gestire | Nessun software server |
Registrazione e rinnovo automatici | Processo di registrazione più complesso, installazione manuale di certificati |
Gruppo universale di livello superiore (accesso concesso nel criterio di accesso remoto) | Membri di primo livello (Gruppi globali di dominio) | Membri di secondo livello (Gruppi globali di dominio) |
---|---|---|
DomPrinc\Accesso LAN senza fili | DomUtente1\Utenti LAN senza fili | DomUtente1\Domain Users |
DomPrinc\Accesso LAN senza fili | DomUtente2\Utenti LAN senza fili | DomUtente2\Domain Users |
DomPrinc\Accesso LAN senza fili | DomUtente3\Utenti LAN senza fili | DomUtente3\Utente1 DomUtente3\Utente2 DomUtente3\Utente2 |
DomPrinc\Accesso LAN senza fili | DomUtente1\Computer LAN senza fili | DomUtente1\Computer del dominio |
DomPrinc\Accesso LAN senza fili | DomUtente2\Computer LAN senza fili | DomUtente2\Computer del dominio |
DomPrinc\Accesso LAN senza fili | DomUtente3\Computer LAN senza fili | DomUtente3\Computer HR DomUtente3\Computer reparto finanziario |
Nella tabella è illustrata la stessa disposizione con nidificazione dei gruppi riportata nelle tabelle della sezione "Modello di amministrazione per utenti e computer di reti WLAN". I membri del gruppo elencato nella prima colonna sono riportati nella seconda colonna; i membri dei gruppi elencati nella seconda colonna sono riportati nella terza colonna.
Nell'esempio della tabella vengono utilizzati nomi fittizi. Ad esempio, DomPrinc è il nome del dominio in cui sono installati i server IAS, mentre DomUtente1 e DomUtente2 sono altri domini contenenti utenti e computer a cui è consentito l'accesso alla rete WLAN.
Nell'esempio indicato, l'accesso alla rete WLAN è consentito implicitamente a tutti gli utenti e i computer di DomUtente1 e DomUtente2, in quanto i gruppi Domain Users e Computer del dominio di tali domini sono membri dei gruppi Utenti LAN senza fili e Computer LAN senza fili dello stesso dominio. Tuttavia, gli utenti di DomUtente3 vengono aggiunti singolarmente al gruppo Utenti LAN senza fili di DomUtente3. L'accesso viene consentito ai computer tramite i gruppi di protezione delle unità aziendali, ad esempio tutti i computer del reparto risorse umane.
I gruppi globali di ogni dominio, ovvero Utenti LAN senza fili e Computer LAN senza fili, vengono quindi aggiunti come membri del gruppo universale Accesso LAN senza fili. A tutti i membri di quest'ultimo gruppo viene consentito l'accesso alla rete WLAN nei criteri di accesso remoto IAS.
Architettura PKI
Come indicato nella precedente sezione "Come ottenere i certificati per i server IAS", molte applicazioni possono utilizzare i certificati. È importante tenere presente che, sebbene risulti appropriata per questa soluzione, una CA autonoma difficilmente è in grado di soddisfare le varie esigenze delle organizzazioni di maggiori dimensioni. Prima di implementare la CA descritta in questa guida, valutare attentamente altri possibili utilizzi futuri dei certificati, nonché architetture PKI alternative più adatte a tali scenari.
Per ulteriori informazioni sulla pianificazione dell'architettura PKI, fare riferimento al capitolo 4 "Designing the Public Key Infrastructure" (in inglese) nella guida alla soluzione correlata Securing Wireless LANs — A Certificate Services Solution. Sebbene sia più avanzata rispetto alla CA di questa guida, l'architettura PKI descritta in tale soluzione è comunque relativamente semplice: ad esempio, utilizza solo due CA. Tuttavia è stata progettata come modello di base per una gamma molto più ampia di esigenze relative ai certificati.
Se si decide di implementare un'architettura PKI più avanzata di questo tipo, è comunque possibile utilizzare le linee guida riportate nel capitolo 4 di questa guida, "Creazione dell'autorità di certificazione della rete". Tuttavia, è consigliabile apportare le seguenti modifiche alle istruzioni indicate in tale capitolo:
Installare la CA nel relativo server interno anziché in un controller di dominio.
Utilizzare Windows Server 2003, Enterprise Edition per garantire una maggiore flessibilità in futuro.
Utilizzare la registrazione automatica di Windows Server 2003 anziché il servizio Richiesta automatica certificati. Per istruzioni relative all'utilizzo della registrazione automatica, vedere la documentazione del prodotto Windows Server 2003, Enterprise Edition.
Utilizzare il modello di certificato "Server RAS e IAS" o creare un tipo di certificato utente per i certificati del server IAS anziché utilizzare il modello "Computer".
Nota: nel nome del modello di certificato, "RAS" è l'acronimo di Remote Access Service, Servizio di Accesso remoto.
Le istruzioni per eseguire tali operazioni sono contenute nella sezione "Public Key Infrastructure" (in inglese) della documentazione del prodotto Windows Server 2003 e nel capitolo 4 "Designing the Public Key Infrastructure", nel capitolo 7 "Building the Public Key Infrastructure" e nel capitolo 9 "Implementing Wireless LAN Security" (in inglese) della guida alla soluzione correlata Securing Wireless LANs — A Certificate Services Solution.
Variazioni nell'architettura della soluzione
In questa sezione vengono descritte alcune variazioni rispetto alla progettazione di base. Nelle sottosezioni seguenti vengono riportate le possibili alternative per le impostazioni di protezione predefinite della soluzione, utilizzando i server IAS per l'autenticazione dell'accesso cablato e remoto, creando reti WLAN guest per i visitatori e distribuendo reti WLAN in ambienti di dimensioni estremamente ridotte quali le abitazioni.
Opzioni di protezione per il WEP dinamico
Nella precedente sezione "Funzionamento dell'autenticazione 802.1X con PEAP e password" di questo capitolo è stato descritto l'utilizzo della crittografia basata sul WEP dinamico nella soluzione. La protezione del WEP dinamico si basa sul rinnovo delle chiavi di crittografia a intervalli regolari per ostacolare gli attacchi noti al protocollo WEP. IAS assicura che le chiavi di ogni client senza fili vengano rinnovate a intervalli impostati utilizzando un timeout di sessione client, che forza il client ad eseguire la riautenticazione nella rete WLAN.
Se si riduce il valore del timeout di sessione, la protezione aumenta ma è possibile che l'affidabilità e le prestazioni vengano ridotte. Un timeout di 60 minuti offre una protezione adeguata per la maggior parte dei casi e sicuramente indicata per reti basate sullo standard 802.11b a 11 Mbps. Di norma, in 60 minuti i client senza fili non trasmettono mai una quantità di dati sufficiente per consentire a un pirata informatico di recuperare una chiave WEP.
Le ricerche più recenti dimostrano che le chiavi WEP statiche possono essere recuperate tramite l'acquisizione di un numero di pacchetti di rete con la stessa chiave compreso tra 1 e 5 milioni. Tali ricerche sono documentate nel white paper tecnico "Using the Fluhrer, Mantin, and Shamir Attack to Break WEP" (in inglese) di Adam Stubblefield, John Ioannidis e Aviel D. Rubin che operano presso AT&T Labs (vedere il riferimento alla fine di questo capitolo).
Nota: il numero di 1 milione di pacchetti è stato ottenuto sottoponendo a test le reti WLAN con WEP statico mediante l'utilizzo di chiavi relativamente deboli (una "frase password memorizzabile dall'utente") e non è applicabile direttamente alle reti WLAN con WEP dinamico. A differenza delle tipiche reti WLAN con WEP statico, il WEP dinamico utilizza chiavi di crittografia casuali avanzate e limita l'efficacia di una delle ottimizzazioni delle chiavi utilizzata dagli autori. In termini di protezione, tuttavia, è preferibile applicare misure preventive in eccesso e utilizzare il dato relativo al peggiore degli scenari, ovvero 1 milione di pacchetti, per valutare i rischi relativi alla protezione di reti WLAN con WEP dinamico.
In genere, ipotizzando che le dimensioni di un pacchetto medio corrispondano a 500 byte, un milione di pacchetti equivale a circa 500 MB di dati. Per la protezione dei dati crittografati, è necessario impostare il timeout di sessione in modo da forzare il rinnovo della chiave di ogni client prima che questo invii una quantità di dati superiore.
Per l'utilizzo tipico della rete client, ad esempio per posta elettronica, browser Web e condivisione di file, la velocità media di trasferimento dei dati è di 160 Kbps o inferiore. Con questa velocità di trasferimento e supponendo che le dimensioni di ogni pacchetto corrispondano a 500 byte, un pirata informatico impiegherebbe circa 7 ore per acquisire una quantità di dati sufficiente per il recupero della chiave di crittografia corrente del client.
Nota: in condizioni di laboratorio, è possibile trasmettere 500 Mb in meno di 7 ore, ovvero in 10 minuti in una rete WLAN a 11 Mbps o meno di 3 minuti in un rete WLAN a 54 Mbps. In tal caso, tuttavia, si suppone che un singolo client utilizzi in modo esclusivo la rete WLAN e invii un flusso di pacchetti UPD non riconosciuti in un'unica direzione. Questo scenario o qualsiasi scenario analogo è estremamente improbabile per una rete WLAN reale.
Un timeout di sessione di 60 minuti è più che sufficiente per la maggior parte delle organizzazioni. Di conseguenza, un client medio è in grado di trasmettere circa 150.000 pacchetti prima dell'aggiornamento di ogni chiave, ovvero una quantità nettamente inferiore rispetto al limite di 1 milione di pacchetti necessario per la violazione della chiave WEP. Tuttavia potrebbe essere necessario utilizzare un valore di timeout inferiore per uno o più dei seguenti motivi:
Se si dispone di client senza fili che inviano o ricevono grandi quantità di dati sulla rete WLAN in periodi di tempo relativamente brevi, è consigliabile impostare il timeout su una durata inferiore al tempo impiegato da un singolo client per inviare e ricevere 75 MB (che corrispondono a meno del 20 percento della quantità di dati necessaria per il recupero di una chiave WEP, lasciando quindi un margine di sicurezza maggiore).
Se si utilizzano reti WLAN basate sullo standard 802.11a o 802.11g a 54 Mbps, risulta più facile trasmettere un maggior numero di pacchetti in un tempo specifico. In queste reti WLAN più veloci, potrebbe essere necessario ridurre il timeout di sessione a 15 minuti.
Se le capacità delle tecniche di violazione delle chiavi WEP migliorano in modo significativo, sarà necessaria una minore quantità di dati per recuperare tali chiavi. Se ad esempio viene scoperta una nuova tecnica crittoanalitica che consente di recuperare le chiavi con soli 100.000 pacchetti, sarà necessario ridurre il timeout di sessione per impedire che i client senza fili raggiungano questo limite prima del rinnovo delle chiavi di crittografia.
Per esigenze di protezione specifiche, si potrebbe decidere di ridurre il timeout oltre il limite che consente anche la riuscita di attacchi teorici al WEP (10 minuti o 3 minuti, come descritto nella nota precedente). Tuttavia è necessario valutare questa decisione in base agli avvertimenti riportati più avanti in questa sezione. Se la riservatezza dei dati è tale da richiedere questo livello di precauzione, è consigliabile valutare seriamente l'opportunità di utilizzare solo la protezione dei dati WPA nella rete WLAN e di utilizzare la protezione IP per proteggere i dati durante il trasferimento su reti LAN cablate.
Gli svantaggi principali della riduzione del timeout di sessione sono due:
Minore affidabilità della rete WLAN : timeout di sessione WLAN estremamente brevi possono compromettere la riautenticazione dei client e determinarne la disconnessione dalla rete WLAN qualora la comunicazione con un controller di dominio o un server IAS sia stata temporaneamente interrotta.
Aumento del carico dei server IAS: più breve è il timeout e maggiore è la frequenza con cui il client deve eseguire la riautenticazione in un server IAS o in un controller di dominio. Di conseguenza, il carico dei server IAS e dei controller di dominio aumenta. Poiché IAS memorizza nella cache le sessioni di autenticazione client, di norma l'aumento del carico sarà significativo solo per le organizzazioni con un numero elevato di client senza fili o in caso di utilizzo di valori estremamente bassi per il timeout di sessione.
Altri servizi di accesso alla rete
La progettazione RADIUS utilizzata in questa soluzione può fornire servizi di autenticazione, autorizzazione e accounting per altri server di accesso alla rete, quali l'autenticazione di rete cablata basata sullo standard 802.1X e l'autenticazione di accesso remoto e VPN.
Autenticazione di rete cablata basata sullo standard 802.1X
L'autenticazione di rete cablata basata sullo standard 802.1X è la più semplice, in quanto non richiede alcuna modifica della progettazione RADIUS di base. Le organizzazioni dotate di un'infrastruttura di rete cablata ad ampia distribuzione potrebbero incontrare difficoltà nel controllare l'utilizzo non autorizzato della rete aziendale. Ad esempio, spesso è difficile impedire che i visitatori colleghino i computer portatili o che i dipendenti aggiungano computer non autorizzati alla rete. Alcune parti della rete, ad esempio i centri dati, possono essere designate come aree ad alta protezione e in queste reti è consigliabile consentire solo i dispositivi autorizzati, determinando anche l'esclusione dei dipendenti con computer aziendali.
La modalità di integrazione della soluzione di accesso a una rete cablata con la progettazione è illustrata nella figura seguente.
Figura 2.8 Utilizzo dell'autenticazione cablata 802.1X
Nella casella con i margini in grassetto sono rappresentati i componenti cablati basati sullo standard 802.1X, mentre le altre caselle contengono i servizi rilevanti. Confrontare questa figura con la figura 2.4. In questa figura è illustrata solo la sede centrale.
Gli switch di rete in grado di supportare la tecnologia 802.1X svolgono un ruolo identico a quello dei punti di accesso senza fili all'interno della soluzione di base e possono sfruttare la stessa infrastruttura RADIUS per autenticare i client e autorizzare in modo selettivo l'accesso al segmento di rete appropriato. Questo include i tipici vantaggi della centralizzazione della gestione degli account nella directory aziendale, lasciando tuttavia i criteri di accesso alla rete sotto il controllo dell'amministratore della protezione di rete.
Autenticazione della connessione remota e VPN
Un altro servizio di accesso alla rete che potrebbe utilizzare i componenti RADIUS è la connessione remota e VPN. Specialmente nelle organizzazioni di grandi dimensioni, è probabile che sia necessario apportare alcune aggiunte alla progettazione, ad esempio l'aggiunta di proxy RADIUS. La soluzione estesa è illustrata nella figura seguente.
Figura 2.9 Estensione del componente RADIUS per il supporto della connessione VPN
In questa variante, i server VPN svolgono lo stesso ruolo funzionale dei punti di accesso senza fili all'interno della progettazione di base. Questi passano le richieste di autenticazione dei client all'infrastruttura RADIUS. È possibile ottenere che le richieste RADIUS vengano passate direttamente ai server IAS interni. Tuttavia, molte organizzazioni desiderano aggiungere un ulteriore livello di proxy RADIUS fornendo un livello di protezione aggiuntivo e instradando le richieste ai server IAS interni.
Analogamente alla protezione di rete cablata, questa soluzione presenta gli stessi vantaggi offerti dal riutilizzo dell'infrastruttura esistente e dalla centralizzazione della gestione degli account. È possibile apportare ulteriori miglioramenti, ad esempio l'utilizzo dell'autenticazione degli utenti basata su smart card. La soluzione VPN interna di accesso remoto fornita da Microsoft per il personale della propria società utilizza virtualmente la stessa architettura VPN e RADIUS con smart card per l'autenticazione degli utenti.
L'accesso remoto funziona in modo analogo, utilizzando la funzionalità server di connessione remota anziché le funzioni VPN di Routing e Accesso remoto disponibili in Windows Server.
Il vantaggio principale dell'utilizzo di IAS per connessioni sia VPN che remote consiste nella possibilità di utilizzare il controllo per la quarantena dell'accesso remoto di Windows Server 2003. Tale controllo utilizza le funzionalità del server di Routing e Accesso remoto (RAS) e quelle avanzate del client di accesso remoto di Windows (Connection Manager) per consentire o negare l'accesso in base allo stato di protezione del computer client. Vengono eseguiti controlli sul client nella fase di connessione, ad esempio verificando che il client disponga di software antivirus aggiornato o esegua una versione del sistema operativo approvata dall'azienda. Se il client non riesce a eseguire questi controlli, il server RADIUS nega l'accesso del client alla rete. Pertanto è possibile che l'accesso venga negato anche a un utente o a un computer regolarmente autenticato nel caso in cui rappresenti un possibile pericolo per la protezione della rete aziendale.
Per ulteriori informazioni sulla funzionalità di quarantena di Windows Server 2003, vedere i riferimenti alla fine del capitolo.
Bootstrap dei computer client
La maggior parte dei computer senza fili dispone anche di un'interfaccia di rete cablata, che facilita relativamente l'aggiunta dei client al dominio e il download delle impostazioni WLAN prima della connessione alla rete WLAN. Tuttavia, questo non avviene in tutti i casi. I dispositivi portatili sono già senza fili e non dispongono di schede di rete cablate. Questo pone il problema di eseguire il bootstrap di un client prima della connessione alla rete WLAN, in quanto questo computer non dispone delle impostazioni e delle credenziali necessarie per tale connessione.
Il problema si complica ulteriormente se un'organizzazione decide di utilizzare la protezione 802.1X sia cablata che senza fili, poiché un client non può connettersi a una rete LAN cablata senza disporre prima delle credenziali e delle impostazioni corrette.
Se non è possibile utilizzare una rete LAN cablata per recuperare le impostazioni e le credenziali, per eseguire il bootstrap di un computer client esistono due approcci principali:
Utilizzare una rete LAN guest e una connessione autenticata alternativa, ad esempio una connessione VPN, per ottenere le credenziali e le impostazioni.
Configurare manualmente i client.
Attualmente, Microsoft supporta solo la seconda opzione. Microsoft rilascerà un servizio di fornitura adatto per l'utilizzo di una rete WLAN "guest" al fine di eseguire il bootstrap della configurazione WLAN del computer client. Fino ad allora, la configurazione manuale rappresenta il metodo più semplice per questo scopo. Per configurare le impostazioni del computer client e aggiungerlo al dominio, è necessario che l'addetto alla configurazione sia un membro del gruppo Admistrators locale del computer.
Per eseguire il bootstrap di un computer tramite la configurazione manuale:
Configurare manualmente le impostazioni della rete WLAN per l'identificatore SSID corretto.
Connettersi alla rete WLAN tramite credenziali di dominio dell'utente valide. Non sarà possibile connettersi con l'account del computer fino a quando questo non verrà aggiunto al dominio.
Aggiungere il computer al dominio e quindi riavviarlo.
Dopo il riavvio, il client potrà connettersi alla rete WLAN utilizzando l'account del computer e scaricare le impostazioni dell'oggetto Criteri di gruppo WLAN. Queste impostazioni si limiteranno a sovrascrivere quelle configurate manualmente.
A questo punto, sia l'utente che il computer possono connettersi alla rete WLAN.
Ambienti SOHO
Potrebbe essere necessario distribuire le reti WLAN in aree in cui non è possibile o conveniente autenticare gli utenti tramite l'infrastruttura IAS, ad esempio le postazioni degli utenti che lavorano regolarmente a casa o in piccoli uffici con connessioni estremamente inaffidabili o connessioni lente a banda larga alla rete aziendale principale.
In precedenza, l'unica soluzione a questo problema consisteva nel configurare la protezione con WEP statico sperando che nessun pirata informatico fosse seriamente intenzionato ad eseguire attacchi alla rete WLAN. Attualmente è preferibile utilizzare WPA in modalità PSK. Tutti i punti di accesso senza fili certificati Wi-Fi sono dotati della protezione WPA, anche se è possibile che questa non venga supportata dai punti di accesso precedenti. È consigliabile verificare che i punti di accesso supportino la modalità PSK per WPA, dato il valore di protezione aggiuntivo che offre. A differenza del WEP statico, la chiave di autenticazione WPA non è recuperabile dal traffico crittografato; pertanto, per un pirata informatico è molto più difficile violare la rete. È consigliabile verificare inoltre che gli utenti siano preparati a utilizzare chiavi WPA avanzate e a modificarle regolarmente e che siano a conoscenza delle implicazioni di protezione derivanti dalla mancata osservanza di questo requisito. Per implementare la modalità PSK di WPA, sono necessari un punto di accesso senza fili, schede di rete senza fili e un sistema operativo client che supporta WPA, ad esempio Windows XP. Non sono necessari server RADIUS o un'altra infrastruttura server.
Riepilogo
All'inizio del capitolo è stata presentata una descrizione relativa alla protezione delle reti LAN senza fili basate sullo standard 802.1X. Per illustrare in dettaglio la progettazione, è stata fornita una panoramica dell'organizzazione di destinazione della soluzione insieme ai criteri di progettazione fondamentali relativi alla soluzione per reti WLAN dell'organizzazione. In seguito, sono stati descritti gli aspetti principali della progettazione scelta per la rete WLAN. Nella progettazione sono stati inclusi la rete, il posizionamento e la configurazione dei server IAS, l'utilizzo dei certificati e i diversi tipi di client senza fili. Sono stati indicati anche i punti principali della migrazione da una rete WLAN esistente.
Nelle due sezioni alla fine del capitolo sono state descritte variazioni importanti rispetto alla progettazione di base. In primo luogo, è stata descritta la procedura di scalabilità della soluzione per organizzazioni di maggiori dimensioni, fornendo inoltre le istruzioni relative alla gestione delle differenze principali rispetto alla soluzione di base. In seguito, è stato illustrato l'utilizzo della stessa infrastruttura di autenticazione di base al fine di supportare altri servizi di rete quali l'accesso remoto, la connessione VPN e la protezione di rete cablata; sono state inoltre indicate le soluzioni possibili per i problemi di bootstrap dei client e la distribuzione delle reti WLAN in ambienti SOHO.
Nel capitolo successivo ha inizio l'implementazione della soluzione, consentendo di preparare la rete, Active Directory e la protezione dei server per la distribuzione dei componenti WLAN.
Riferimenti
Questa sezione contiene rimandi a informazioni supplementari importanti e ad altro materiale di riferimento attinente al contenuto di questo capitolo.
Per ulteriori dettagli sull'autenticazione 802.1X, vedere "IEEE 802.1X Authentication for Wireless Connections" (in inglese) all'indirizzo:
Per ulteriori informazioni sull'utilizzo di PEAP con le password, vedere "PEAP with MS-CHAP Version 2 for Secure Password-based Wireless Access" (in inglese) al seguente indirizzo:
Per ulteriori dettagli sull'autenticazione 802.1X, l'interazione tra client, i punti di accesso senza fili e i server RADIUS, nonché per i consigli relativi alle funzionalità supportate dai punti di accesso senza fili, vedere "Recommendations for IEEE 802.11 Access Points" (in inglese) al seguente indirizzo:
Per ulteriori informazioni sulla progettazione di reti LAN senza fili, inclusi i servizi DHCP e i layout dei punti di accesso senza fili, vedere il capitolo "Deploying a Wireless LAN" (in inglese) nel Windows Server 2003 Deployment Kit al seguente indirizzo:
Per ulteriori informazioni sulla protezione di IAS, vedere la documentazione del prodotto Windows Server 2003 al seguente indirizzo:
Per ulteriori informazioni sulle funzionalità di Servizi certificati disponibili in Windows Server 2003, Enterprise Edition, vedere il white paper "PKI Enhancements in Windows XP Professional and Windows Server 2003" (in inglese) al seguente indirizzo:
http://technet.microsoft.com/en-us/library/bb457034.aspx
Nota: questo articolo è stato scritto prima del rilascio di Windows Server 2003 e pertanto i termini Windows .Net Server, Advanced Server e Standard Server vengono utilizzati rispettivamente in riferimento a Windows Server 2003, Enterprise Edition e Standard Edition.
Per ulteriori informazioni su Microsoft 802.1X Authentication Client per Windows 2000, vedere l'articolo della Knowledge Base "Using 802.1x Authentication on Computers Running Windows 2000" (in inglese) al seguente indirizzo:
Per ulteriori informazioni su WPA e sull'aggiornamento per la protezione WPA senza fili in Windows XP, vedere "Wi-Fi Protected Access (WPA) Overview" e "WPA Wireless Security Update" (in inglese) ai seguenti indirizzi:
Per una descrizione dei problemi di protezione relativi al WEP, vedere il white paper tecnico "Weaknesses in the Key Scheduling Algorithm of RC4" (in inglese) di Scott Fluhrer, Itsik Mantin e Adi Shamir e il white paper tecnico "Using the Fluhrer, Mantin, and Shamir Attack to Break WEP" (in inglese) di Adam Stubblefield, John Ioannidis e Aviel D. Rubin. Tenere presente che in questi white paper viene illustrata la protezione del WEP statico e che, pertanto, le conclusioni riportate non sono direttamente applicabili alla reti WLAN con WEP dinamico. Il documento "Weaknesses in the Key Scheduling Algorithm of RC4" è disponibile al seguente indirizzo:
Il documento "Using the Fluhrer, Mantin, and Shamir Attack to Break WEP" (AT&T Technical Report) è disponibile al seguente indirizzo:
http://www.isoc.org/isoc/conferences/ndss/02/papers/stubbl.pdf
Per ulteriori informazioni sul controllo per la quarantena dell'accesso alla rete, vedere “Guida alla pianificazione dell'implementazione di servizi di quarantena con la rete privata virtuale” all’indirizzo
Per informazioni sull'utilizzo di WPA per la protezione di reti WLAN SOHO, vedere "WPA Wireless Security for Home Networks" (in inglese) al seguente indirizzo:
Scarica la soluzione completa