HOW TO: Utilizzare IPSec per proteggere il traffico di rete tra due host

Questo articolo costituisce una guida dettagliata grazie alla quale gli utenti avanzati possono configurare la protezione del protocollo Internet (IPSec) per proteggere le comunicazioni tra due computer host.

Terminologia IPSec

Verificare di conoscere il significato dei seguenti termini prima di attenersi alle procedure descritte in questo articolo:

• Associazione di protezione: l'insieme di metodi di autenticazione e crittografia negoziati tra gli endpoint per creare una sessione protetta.
• Autenticazione: il processo utilizzato per determinare se l'identità di un computer è legittima. IPSec di Windows 2000 supporta tre tipi di autenticazione: Kerberos, certificati e chiavi già condivise. L'autenticazione Kerberos è in grado di funzionare solo se entrambi gli endpoint (computer) si trovano all'interno dello stesso dominio Windows 2000. Questo tipo di autenticazione è generalmente quello più utilizzato. Se i computer appartengono a domini diversi o se almeno uno di essi non si trova all'interno di un dominio, è necessario utilizzare certificati o chiavi già condivise. È possibile utilizzare i certificati solo se ogni endpoint contiene un certificato firmato da un'autorità di certificazione riconosciuta dall'altro endpoint. Le chiavi già condivise presentano lo stesso problema delle password: non rimangono segrete per un lungo periodo di tempo. Se gli endpoint non appartengono allo stesso dominio e non è possibile ottenere certificati, l'unica opzione di autenticazione disponibile è l'utilizzo di chiavi già condivise.
• Azione filtro: i requisiti di protezione che è possibile attivare quando in un elenco filtro esiste una corrispondenza tra traffico e filtri.
• Criterio IPSec: l'insieme di regole che descrivono le modalità di protezione delle comunicazioni tra computer.
• Crittografia: il processo attraverso il quale i dati vengono resi irriconoscibili prima di essere trasmessi tra due endpoint. Utilizzando algoritmi consolidati e protetti, ogni endpoint costruisce e scambia chiavi di crittografia. Il processo garantisce che solo gli endpoint siano a conoscenza delle chiavi: nel caso in cui le sequenze di scambio delle chiavi vengano intercettate, non sarà comunque possibile accedere a dati e informazioni importanti.
• Elenco filtro: un insieme di filtri.
• Filtro: una descrizione degli indirizzi e protocolli IP (Internet Protocol) che possono attivare la creazione di un'associazione di protezione IPSec.
• Regola: il collegamento tra un elenco filtro e un'azione filtro. Nel caso in cui esista una corrispondenza tra traffico ed elenco filtro, è possibile attivare l'azione filtro corrispondente. Un criterio IPSec può contenere più regole.

Individuare IPSec in Microsoft Management Console

È possibile configurare IPSec utilizzando Microsoft Management Console (MMC). Durante l'installazione di Windows 2000 viene creata una console MMC con lo snap-in IPSec. Per individuare IPSec, fare clic sul pulsante Start, scegliere Programmi, quindi Strumenti di amministrazione e infine Criteri di protezione locali. Nella console MMC visualizzata fare clic su Criteri di protezione IP su Computer locale nel riquadro di sinistra. Nel riquadro di destra verranno visualizzati i criteri predefiniti esistenti.

Modificare l'indirizzo IP, i nomi dei computer e i nomi utente

In questo esempio Paola Frassi è un utente che possiede un computer denominato "PCFrassi" con l'indirizzo IP 172.16.98.231, mentre Antonio Cipriani possiede un computer denominato "PCCipriani" con l'indirizzo IP 172.31.67.244. I due utenti connettono i rispettivi computer utilizzando il programma Abczz.

Gli utenti Frassi e Cipriani devono verificare che il traffico sia crittografato quando effettuano la connessione diretta dei rispettivi computer utilizzando il programma Abczz. Quando Abczz effettua la connessione, l'iniziatore utilizza un numero di porta elevato casuale e si connette (in questo esempio specifico) alla porta di destinazione 6667/TCP o 6668/TCP (dove TCP è l'acronimo di Transmission Control Protocol). Solitamente queste porte vengono utilizzate per IRC (Internet Relay Chat). Dal momento che gli utenti Frassi e Cipriani possono iniziare le connessioni, è necessario che il criterio esista in entrambi i computer.

Creare l'elenco filtro

I menu per la creazione di criteri IPSec sono accessibili facendo clic con il pulsante destro del mouse su Criteri di protezione IP nella console MMC. La prima voce di menu è Crea criterio di protezione IP. Anche se a prima vista questa potrebbe sembrare la voce da cui iniziare la creazione di un criterio di protezione IP, non si tratta della voce corretta. Prima di creare un criterio con le relative regole, è necessario infatti definire elenchi filtro e azioni filtro, componenti indispensabili di qualsiasi criterio IPSec. Fare clic su Gestisci elenchi filtri IP e azioni filtro.

La finestra di dialogo visualizzata dispone di due schede: una relativa agli elenchi filtri e l'altra relativa alle azioni filtro. Viene inizialmente visualizzata la scheda Gestisci elenchi filtri IP. Sono già presenti due elenchi filtri predefiniti che non vengono utilizzati. È invece possibile creare un elenco filtri specifico che corrisponda al computer a cui ci si desidera connettere.

Si presuma di creare il criterio nel computer appartenente all'utente Frassi:

1. Fare clic sul pulsante Aggiungi per creare un nuovo elenco filtri. Assegnare all'elenco il nome "Abczz verso il PC di Cipriani".
2. Fare clic sul pulsante Aggiungi per aggiungere un nuovo filtro. Verrà avviata una procedura guidata.
3. Selezionare Indirizzo IP come origine.
4. Selezionare un indirizzo IP specifico come destinazione, quindi immettere l'indirizzo IP (172.31.67.244) del computer appartenente all'utente Cipriani. In alternativa, se il computer appartenente a Giorgio è registrato in DNS (Domain Name System) o in WINS (Windows Internet Name Service), è possibile selezionare un nome DNS specifico, quindi immettere il nome del computer dell'utente Cipriani ("PCCipriani").
5. Abczz utilizza TCP per le comunicazioni. Fare clic su TCP come tipo di protocollo.
6. Per le porte relative al protocollo IP selezionare il pulsante di opzione Da qualsiasi porta. Selezionare il pulsante di opzione A questa porta, digitare 6667, quindi fare clic su Fine per completare la procedura guidata.
7. Ripetere i passaggi precedenti, ma questa volta digitare 6668 come numero di porta, quindi scegliere Chiudi.

L'elenco filtri contiene due filtri: uno per le comunicazioni da Frassi a Cipriani sulla porta 6667 (appartenente a Cipriani) e uno relativo alla porta 6668 (appartenente a Cipriani). Nel computer di Cipriani sono state impostate sia la porta 6667 sia la porta 6668: una è relativa alle comunicazioni in uscita e l'altra alle comunicazioni in ingresso. Questi filtri sono di tipo speculare (solitamente è necessario ogni volta che si crea un filtro IPSec). Per ogni filtro di tipo speculare l'elenco può contenere (ma non visualizzare) un filtro opposto corrispondente in cui gli indirizzi di origine e di destinazione sono invertiti. Senza filtri di tipo speculare, le comunicazioni IPSec solitamente non hanno esito positivo.

Creare l'azione filtro

È stato definito il tipo di traffico che deve essere protetto. È ora necessario specificare il meccanismo di protezione da applicare. Scegliere la scheda Gestione operazioni filtro. Sono elencate tre opzioni predefinite. Invece di utilizzare l'azione Richiedi protezione, è necessario creare una nuova azione più precisa e rigorosa.

Per creare la nuova azione:

1. Fare clic sul pulsante Aggiungi per creare una nuova azione filtro. Verrà avviata una procedura guidata. Assegnare all'azione il nome "Crittografa Abczz".
2. Per l'opzione Generale selezionare il pulsante di opzione Negozia protezione, quindi selezionare Non comunicare con computer che non supportano IPSec.
3. Selezionare il pulsante di opzione Alta nella finestra Protezione traffico IP, quindi fare clic su Fine per chiudere la procedura guidata.
4. Fare doppio clic sulla nuova azione filtro, precedentemente denominata "Crittografa Abczz".
5. Deselezionare la casella di controllo Accetta comunicazioni non protette, ma rispondi sempre usando IPSec. Questo passaggio garantisce che i computer negozino necessariamente IPSec prima dell'invio di un pacchetto Abczz.
6. Selezionare la casella di controllo PFS (Perfect Forward Secrecy) chiave di sessione per garantire che il materiale relativo alla chiave non venga riutilizzato, scegliere OK, quindi fare clic su Chiudi.

Creare il criterio IPSec

Una volta ottenuti gli elementi relativi al criterio, è possibile creare il criterio vero e proprio. Fare clic con il pulsante destro del mouse sul riquadro di destra nella console MMC, quindi scegliere Crea criterio di protezione IP. Quando viene avviata la procedura guidata, eseguire le seguenti operazioni:

1. Assegnare al criterio il nome "IPSec di Frassi".
2. Deselezionare la casella di controllo Attiva la regola di risposta predefinita.
3. Selezionare la casella di controllo Modifica proprietà se l'opzione non è stata ancora selezionata, quindi completare la procedura guidata. Verrà visualizzata la finestra di dialogo Proprietà relativa al criterio.

Affinché un criterio IPSec possa funzionare, deve contenere almeno una regola che colleghi un elenco filtri a un'azione filtro.

Per specificare le regole nella finestra di dialogo Proprietà:

1. Fare clic sul pulsante Aggiungi per creare una nuova regola. All'avvio della procedura guidata, selezionare il pulsante di opzione Questa regola non specifica un tunnel.
2. Selezionare il pulsante di opzione Rete locale (LAN) per indicare il tipo di rete.
3. Selezionare il pulsante di opzione Impostazione predefinita di Windows 2000 (protocollo V5 Kerberos) per indicare il metodo di autenticazione se sia il computer dell'utente Frassi sia quello di Cipriani appartengono allo stesso dominio Windows 2000. In caso contrario, selezionare il pulsante di opzione Utilizza questa stringa per proteggere lo scambio di chiave (chiave già condivisa), quindi immettere una stringa (utilizzare una stringa lunga facile da ricordare e da digitare senza errori).
4. Selezionare l'elenco filtri creato in precedenza. In questo esempio l'elenco filtri è "Abczz verso il PC di Cipriani". Selezionare quindi l'azione filtro creata in precedenza. In questo esempio l'azione filtro è "Crittografa Abczz".
5. Completare la procedura guidata, quindi fare clic su Chiudi.

Configurare altri endpoint

Ripetere nel computer appartenente all'utente Cipriani tutte le procedure precedenti applicate al computer di Frassi. Le modifiche necessarie sono piuttosto ovvie, ad esempio "Abczz verso il PC di Cipriani" dovrà essere modificato in "Abczz verso il PC di Frassi".

Assegnare criteri

Sono stati definiti i criteri per ogni endpoint (computer). È ora necessario assegnarli:

1. Nella console MMC Impostazioni protezione locale fare clic con il pulsante destro del mouse sul criterio (Abczz in questo esempio).
2. Scegliere Assegna.

È possibile assegnare solo un criterio IPSec alla volta, ma un singolo criterio può avere più regole. Se ad esempio anche l'utente Frassi necessita di comunicazioni protette con l'utente Giudici utilizzando un diverso protocollo, è necessario creare gli elenchi filtri e le azioni filtro appropriate, quindi aggiungere una regola al criterio IPSec (appartenente all'utente Frassi) che colleghi quello specifico elenco filtri con l'azione filtro corrispondente. Fare clic su Utilizza una chiave condivisa diversa per questa regola. Ora il criterio relativo all'utente Frassi dispone di due regole: una per le comunicazioni Abczz con Cipriani e l'altra per le comunicazioni con Giudici. Poiché gli utenti Cipriani e Giudici non hanno bisogno di comunicare in modo protetto tra loro, il criterio per Cipriani non prevede alcuna aggiunta, mentre il criterio per Giudici contiene una singola regola per le comunicazioni con Frassi.

Risoluzione dei problemi

Utilizzare IPSecMon per la verifica dei criteri

Windows 2000 include un'utilità (IPSecMon.exe) che è possibile utilizzare per verificare se è stata creata con successo un'associazione di protezione IPSec. Per avviare IPSecMon:

1. Fare clic sul pulsante Start, quindi scegliere Esegui.
2. Digitare ipsecmon, quindi premere INVIO.
3. Fare clic su Opzioni.
4. Modificare l'intervallo di aggiornamento impostandolo a 1.

È necessario stabilire comunicazioni tra un endpoint e l'altro. Potrebbe verificarsi un ritardo, dal momento che occorrono alcuni secondi perché gli endpoint si scambino le informazioni di crittografia e completino l'associazione di protezione. È possibile osservare questo comportamento in IPSecMon. Quando ogni singolo endpoint crea le proprie associazioni di protezione, esiste una voce in IPSecMon che visualizza tale comportamento.

Se si prevede la creazione di un'associazione di protezione ma non accade nulla, tornare indietro e verificare gli elenchi filtri relativi a ogni singolo endpoint. Verificare di aver ricevuto le definizioni corrette per i protocolli utilizzati, dal momento che è possibile invertire con facilità gli indirizzi di origine e di destinazione o invertire le porte. Potrebbe essere utile creare un nuovo elenco filtri che specifichi tutto il traffico. È inoltre possibile aggiungere una nuova regola al criterio che utilizza questo elenco filtri, disattivando di conseguenza la regola esistente. Eseguire questi passaggi per entrambi gli endpoint. È quindi possibile utilizzare il comando ping per verificare il livello di connettività. Il comando ping può visualizzare "Negoziazione protezione IP in corso..." durante la fase di associazione di protezione, quindi visualizzare i normali risultati una volta creata l'associazione di protezione.

NAT e IPSec sono incompatibili

L'esistenza di un NAT (Network Address Translation) tra i due endpoint impedisce il funzionamento di IPSec. IPSec incorpora gli indirizzi degli endpoint come parte del payload e utilizza inoltre gli indirizzi di origine quando calcola le checksum dei pacchetti prima di depositarli in attesa di invio. NAT è in grado di modificare l'indirizzo di origine dei pacchetti in uscita e la destinazione utilizza l'indirizzo nell'intestazione quando calcola le proprie checksum. Le checksum originali calcolate in base all'indirizzo di origine e trasportate nei pacchetti non corrispondono alle checksum calcolate sulla base dell'indirizzo di destinazione e la destinazione potrebbe quindi ignorare i pacchetti. Non è dunque possibile utilizzare IPSec con periferiche NAT.