Configurazione di una connessione L2TP/IPSec utilizzando l'autenticazione con chiave giÓ condivisa

Traduzione articoli Traduzione articoli
Identificativo articolo: 240262 - Visualizza i prodotti a cui si riferisce l?articolo.
Importante In questo articolo sono contenute informazioni su come modificare il Registro di sistema. Prima di modificare il Registro di sistema, eseguire una copia di backup e assicurarsi di sapere come ripristinarlo in caso di problemi. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
256986 Descrizione del Registro di sistema di Microsoft Windows
Espandi tutto | Chiudi tutto

In questa pagina

INTRODUZIONE

In Microsoft Windows 2000 viene creato automaticamente un criterio IPSec (Internet Protocol Security) utilizzato sulle connessioni L2TP(Layer 2 Tunneling Protocol)/IPSec che richiedono un certificato per l'autenticazione IKE (Internet Key Exchange). Microsoft supporta le implementazioni di rete privata virtuale (VPN) L2TP/IP da gateway a gateway mediante l'utilizzo di una chiave giÓ condivisa per l'autenticazione IKE, mentre l'utilizzo di una tale chiave per l'autenticazione IKE non Ŕ supportato sulle connessioni client L2TP/IPSec di accesso remoto. Windows 2000 Ŕ conforme alla specifica IKE RFC 2409 e consente di implementare una chiave giÓ condivisa per l'autenticazione IKE sulle connessioni client L2TP/IPSec di accesso remoto. Si consiglia di utilizzare questa implementazione solo a scopo di test.

Per implementare il metodo di autenticazione con chiave giÓ condivisa su una connessione L2TP/IPSec:
  • ╚ necessario aggiungere il valore del Registro di sistema ProhibitIpSec a entrambi i computer endpoint basati su Windows 2000.
  • ╚ necessario configurare manualmente un criterio IPSec prima di poter stabilire una connessione L2TP/IPSec tra due computer basati su Windows 2000.
In questo articolo viene descritto come configurare due server RAS, che eseguono il servizio Routing e Accesso remoto, basati su Windows 2000 connessi su una rete locale (LAN) in modo che utilizzino una connessione L2TP/IPSec mediante autenticazione con chiave giÓ condivisa. Vengono inoltre fornite informazioni sulla configurazione di un criterio IPSec che consenta di accettare connessioni mediante l'utilizzo di pi¨ chiavi giÓ condivise o autoritÓ di certificazione (CA).

Informazioni

Avviso L'errato utilizzo dell'editor del Registro di sistema pu˛ causare gravi problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non Ŕ in grado di garantire la risoluzione di problemi causati dall'errato utilizzo dell'editor del Registro di sistema. L'utilizzo dell'editor del Registro di sistema Ŕ a rischio e pericolo dell'utente.
Per configurare due server RAS basati su Windows 2000 connessi a una LAN per consentire l'utilizzo di una connessione L2TP/IPSec mediante autenticazione con chiave condivisa, Ŕ necessario aggiungere il valore del Registro di sistema ProhibitIpSec a ciascun computer endpoint basato su Windows 2000 di una connessione L2TP/IPSec in modo da impedire la creazione del filtro automatico per il traffico L2TP/IPSec.

Quando il valore del Registro di sistema ProhibitIpSec Ŕ impostato su 1, nel computer basato su Windows 2000 non verrÓ creato il filtro automatico che utilizza l'autenticazione mediante CA, ma verrÓ effettuata la ricerca di un criterio IPSec locale o di Active Directory.

Per aggiungere il valore del Registro di sistema ProhibitIpSec al computer basato su Windows 2000, attenersi alla seguente procedura:
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedt32, quindi scegliere OK.
  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
  3. Scegliere Aggiungi valore dal menu Modifica.
  4. Nella casella Nome valore digitare ProhibitIpSec.
  5. Nella casella Tipo dati fare clic su REG_DWORD, quindi scegliere OK.
  6. Nella casella Dati digitare 1, quindi scegliere OK.
  7. Chiudere l'editor del Registro di sistema e riavviare il computer.

Creazione di un criterio IPSec da utilizzare su connessioni L2TP/IPSec con una chiave giÓ condivisa

Nota Nella procedura riportata di seguito si presuppone che il valore del Registro di sistema ProhibitIpSec venga aggiunto a entrambi i server endpoint RAS basati su Windows 2000 e che questi server siano stati riavviati.
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare mmc, quindi scegliere OK.
  2. Fare clic su Console, fare clic su Aggiungi/Rimuovi snap-in, scegliere Aggiungi, fare clic su Gestione criteri protezione IP, quindi su Aggiungi. Scegliere Fine, quindi Chiudi e infine OK.
  3. Fare clic con il pulsante destro del mouse su Criteri di protezione IP su computer locale, scegliere Crea criterio di protezione IP, quindi Avanti.
  4. Nella finestra di dialogo Nome criterio di protezione IP digitare il nome del criterio di protezione IP nella casella Nome, quindi scegliere Avanti.
  5. Nella finestra di dialogo Richieste di comunicazione protetta deselezionare la casella di controllo Attiva la regola di risposta predefinita e scegliere Avanti.
  6. Selezionare la casella di controllo Modifica proprietÓ, quindi scegliere Fine.
  7. Nella finestra di dialogo delle proprietÓ del nuovo criterio di protezione IP scegliere Aggiungi nella scheda Regole, quindi scegliere Avanti.
  8. Nella finestra di dialogo Endpoint del tunnel fare clic su Questa regola non specifica un tunnel, quindi scegliere Avanti.
  9. Nella finestra di dialogo Tipo rete fare clic su Tutte le connessioni di rete, quindi scegliere Avanti.
  10. Nella finestra di dialogo Metodo di autenticazione fare clic su Utilizza la stringa per proteggere lo scambio chiave (chiave giÓ condivisa), digitare una chiave giÓ condivisa, quindi scegliere Avanti.
  11. Nella finestra di dialogo Elenco filtri IP scegliere Aggiungi, digitare il nome dell'elenco di filtri IP nella casella Nome, scegliere Aggiungi, quindi Avanti.
  12. Nella finestra di dialogo Origine traffico IP fare clic su Indirizzo IP specifico nella casella Indirizzo origine, digitare l'indirizzo TCP/IP (Transport Control Protocol/Internet Protocol) del server RAS di origine basato su Windows 2000 nella casella Indirizzo IP, quindi scegliere Avanti.

    Nota L'indirizzo di origine utilizzato su ciascun server endpoint RAS basato su Windows 2000 deve corrispondere. Ad esempio, se l'indirizzo di origine Ŕ 1.1.1.1, sarÓ necessario utilizzare 1.1.1.1 come indirizzo di origine su entrambi i server endpoint RAS basati su Windows 2000.
  13. Nella finestra di dialogo Destinazione traffico IP fare clic su Indirizzo IP specifico nella casella Indirizzo destinazione, digitare l'indirizzo TCP/IP del server RAS di destinazione basato su Windows 2000, quindi scegliere Avanti.

    Nota L'indirizzo di destinazione utilizzato su ciascun server endpoint RAS basato su Windows 2000 deve corrispondere. Ad esempio, se l'indirizzo di destinazione Ŕ 2.2.2.2, sarÓ necessario utilizzare 2.2.2.2 come indirizzo di destinazione su entrambi i server endpoint RAS basati su Windows 2000.
  14. Nella finestra di dialogo Tipo protocollo IP fare clic su UDP nella casella Selezionare un tipo di protocollo, quindi scegliere Avanti.
  15. Nella finestra di dialogo Porta protocollo IP fare clic su Da questa porta, digitare 1701 nella casella Da questa porta, fare clic su A qualsiasi porta, quindi scegliere Avanti.
  16. Selezionare la casella di controllo Modifica proprietÓ, scegliere Fine, quindi selezionare la casella di controllo Speculare. Individua anche i pacchetti con indirizzi IP di origine e destinazione invertiti nella finestra di dialogo relativa alle proprietÓ del filtro.
  17. Scegliere OK, quindi Chiudi.
  18. Nella finestra di dialogo Elenco filtri IP fare clic sul filtro IP creato, quindi scegliere Avanti.
  19. Nella finestra di dialogo Operazione filtro scegliere Aggiungi, quindi creare una nuova operazione filtro che specifichi quali algoritmi di integritÓ e crittografia verranno utilizzati.

    Nota Per migliorare la protezione, deselezionare la casella di controllo "Accetta comunicazioni non protette, ma rispondi sempre usando IPSec" per questa nuova operazione filtro.
  20. Scegliere Avanti, scegliere Fine e quindi Chiudi.
  21. Fare clic con il pulsante destro del mouse sul criterio IPSec appena creato, quindi scegliere Assegna.
Nota ╚ necessario configurare allo stesso modo entrambi i server endpoint RAS basati su Windows 2000. Quando il filtro IPSec Ŕ impostato sul primo server endpoint RAS basato su Windows 2000, viene visualizzato da un lato della connessione e quindi viene creata una replica di tale filtro IPSec sul secondo server endpoint RAS basato su Windows 2000. In base all'esempio descritto in precedenza, se l'indirizzo TCP/IP del primo server endpoint RAS basato su Windows 2000 Ŕ 1.1.1.1 e quello del secondo server endpoint RAS Ŕ 2.2.2.2, nel criterio IPSec su entrambi i server verrÓ creato un filtro con un indirizzo di origine 1.1.1.1 e un indirizzo di destinazione 2.2.2.2. In questo modo la connessione potrÓ essere avviata dall'uno o dall'altro server endpoint RAS basato su Windows 2000.

Configurazione di un criterio IPSec che accetti connessioni mediante l'utilizzo di pi¨ chiavi giÓ condivise o autoritÓ di certificazione (CA)

Dopo aver creato un criterio con un filtro utilizzando una chiave giÓ condivisa, Ŕ necessario creare una regola aggiuntiva nel criterio IPSec per le connessioni che richiedono chiavi giÓ condivise o CA diverse.

Per ulteriori informazioni sui filtri automatici creati da Windows 2000 che utilizzano CA, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
248750 Descrizione del criterio IPSec creato per L2TP/IPSec
253498 HOW TO: Installare un certificato per l'utilizzo con la protezione IP


Microsoft non supporta l'utilizzo di chiavi giÓ condivise per client remoti o VPN L2TP/IPSec per i seguenti motivi:
  • Espone un protocollo protetto a un ben noto problema di utilizzo non protetto, ovvero la selezione di password. Gli attacchi pubblicati hanno dimostrato la vulnerabilitÓ delle chiavi giÓ condivise.
  • Non Ŕ distribuibile in maniera protetta. PoichÚ Ŕ richiesto l'accesso al gateway della societÓ da parte dell'utente che configura la chiave giÓ condivisa, molti utenti ne saranno a conoscenza e quindi diventerÓ una "chiave giÓ condivisa di gruppo". Quasi sicuramente sarÓ necessario prendere nota di una chiave giÓ condivisa lunga. Non sarÓ possibile revocare l'accesso di singoli computer finchÚ l'intero gruppo non sarÓ passato a una nuova chiave giÓ condivisa.
  • Come giÓ documentato nella Guida in linea, nei capitoli del Resource Kit e nell'articolo della Microsoft Knowledge Base 248711, la chiave giÓ condivisa IPSec di Windows 2000 viene fornita solo per la conformitÓ con RFC, per i test di interoperabilitÓ e per l'interoperabilitÓ in ambienti in cui la protezione non costituisce un problema. La chiave giÓ condivisa viene memorizzata nel Registro di sistema locale a cui possono accedere solo gli amministratori dotati di autorizzazioni di accesso in lettura, tuttavia Ŕ necessario che gli amministratori locali conoscano e impostino tale chiave. Qualsiasi amministratore locale potrÓ quindi visualizzarla in seguito o modificarla.
  • Il costo per supportare l'utilizzo di una chiave giÓ condivisa sarebbe molto elevato sia per i clienti che per Microsoft.
  • Ottenere certificati di un computer basato su Windows 2000 pu˛ essere semplice quanto richiedere una pagina Web o addirittura pi¨ semplice se si utilizza la registrazione automatica di Criteri di gruppo di Windows 2000 quando il client basato su Windows 2000 Ŕ membro di un dominio Windows 2000. Questo Ŕ in genere il metodo pi¨ sicuro per la distribuzione di una VPN basata su IPSec.
Microsoft non supporta i tunnel VPN L2TP/IPSec da gateway a gateway con una chiave giÓ condivisa, in quanto tale chiave deve essere configurata localmente sul gateway da un amministratore di gateway molto esperto in base a indirizzi IP statici. I tunnel IPSec sono supportati solo quando vengono utilizzati indirizzi IP statici e solo per selettori di criteri basati su indirizzi, non su porte e protocolli. Si consiglia di utilizzare L2TP/IPSec per le connessioni da gateway a gateway e di utilizzare la modalitÓ tunnel IPSec per le connessioni da gateway a gateway solo se non Ŕ possibile utilizzare L2TP/IPSec.

ProprietÓ

Identificativo articolo: 240262 - Ultima modifica: venerdý 12 ottobre 2007 - Revisione: 4.2
Le informazioni in questo articolo si applicano a
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Chiavi:á
kbhowto kbenv kbnetwork KB240262
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com