Al momento sei offline in attesa che la connessione Internet venga ristabilita

Configurazione di una connessione L2TP/IPSec utilizzando l'autenticazione con chiave già condivisa

Importante In questo articolo sono contenute informazioni su come modificare il Registro di sistema. Prima di modificare il Registro di sistema, eseguire una copia di backup e assicurarsi di sapere come ripristinarlo in caso di problemi. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
256986 Descrizione del Registro di sistema di Microsoft Windows
INTRODUZIONE
In Microsoft Windows 2000 viene creato automaticamente un criterio IPSec (Internet Protocol Security) utilizzato sulle connessioni L2TP(Layer 2 Tunneling Protocol)/IPSec che richiedono un certificato per l'autenticazione IKE (Internet Key Exchange). Microsoft supporta le implementazioni di rete privata virtuale (VPN) L2TP/IP da gateway a gateway mediante l'utilizzo di una chiave già condivisa per l'autenticazione IKE, mentre l'utilizzo di una tale chiave per l'autenticazione IKE non è supportato sulle connessioni client L2TP/IPSec di accesso remoto. Windows 2000 è conforme alla specifica IKE RFC 2409 e consente di implementare una chiave già condivisa per l'autenticazione IKE sulle connessioni client L2TP/IPSec di accesso remoto. Si consiglia di utilizzare questa implementazione solo a scopo di test.

Per implementare il metodo di autenticazione con chiave già condivisa su una connessione L2TP/IPSec:
  • È necessario aggiungere il valore del Registro di sistema ProhibitIpSec a entrambi i computer endpoint basati su Windows 2000.
  • È necessario configurare manualmente un criterio IPSec prima di poter stabilire una connessione L2TP/IPSec tra due computer basati su Windows 2000.
In questo articolo viene descritto come configurare due server RAS, che eseguono il servizio Routing e Accesso remoto, basati su Windows 2000 connessi su una rete locale (LAN) in modo che utilizzino una connessione L2TP/IPSec mediante autenticazione con chiave già condivisa. Vengono inoltre fornite informazioni sulla configurazione di un criterio IPSec che consenta di accettare connessioni mediante l'utilizzo di più chiavi già condivise o autorità di certificazione (CA).
Informazioni
Avviso L'errato utilizzo dell'editor del Registro di sistema può causare gravi problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non è in grado di garantire la risoluzione di problemi causati dall'errato utilizzo dell'editor del Registro di sistema. L'utilizzo dell'editor del Registro di sistema è a rischio e pericolo dell'utente.
Per configurare due server RAS basati su Windows 2000 connessi a una LAN per consentire l'utilizzo di una connessione L2TP/IPSec mediante autenticazione con chiave condivisa, è necessario aggiungere il valore del Registro di sistema ProhibitIpSec a ciascun computer endpoint basato su Windows 2000 di una connessione L2TP/IPSec in modo da impedire la creazione del filtro automatico per il traffico L2TP/IPSec.

Quando il valore del Registro di sistema ProhibitIpSec è impostato su 1, nel computer basato su Windows 2000 non verrà creato il filtro automatico che utilizza l'autenticazione mediante CA, ma verrà effettuata la ricerca di un criterio IPSec locale o di Active Directory.

Per aggiungere il valore del Registro di sistema ProhibitIpSec al computer basato su Windows 2000, attenersi alla seguente procedura:
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedt32, quindi scegliere OK.
  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
  3. Scegliere Aggiungi valore dal menu Modifica.
  4. Nella casella Nome valore digitare ProhibitIpSec.
  5. Nella casella Tipo dati fare clic su REG_DWORD, quindi scegliere OK.
  6. Nella casella Dati digitare 1, quindi scegliere OK.
  7. Chiudere l'editor del Registro di sistema e riavviare il computer.

Creazione di un criterio IPSec da utilizzare su connessioni L2TP/IPSec con una chiave già condivisa

Nota Nella procedura riportata di seguito si presuppone che il valore del Registro di sistema ProhibitIpSec venga aggiunto a entrambi i server endpoint RAS basati su Windows 2000 e che questi server siano stati riavviati.
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare mmc, quindi scegliere OK.
  2. Fare clic su Console, fare clic su Aggiungi/Rimuovi snap-in, scegliere Aggiungi, fare clic su Gestione criteri protezione IP, quindi su Aggiungi. Scegliere Fine, quindi Chiudi e infine OK.
  3. Fare clic con il pulsante destro del mouse su Criteri di protezione IP su computer locale, scegliere Crea criterio di protezione IP, quindi Avanti.
  4. Nella finestra di dialogo Nome criterio di protezione IP digitare il nome del criterio di protezione IP nella casella Nome, quindi scegliere Avanti.
  5. Nella finestra di dialogo Richieste di comunicazione protetta deselezionare la casella di controllo Attiva la regola di risposta predefinita e scegliere Avanti.
  6. Selezionare la casella di controllo Modifica proprietà, quindi scegliere Fine.
  7. Nella finestra di dialogo delle proprietà del nuovo criterio di protezione IP scegliere Aggiungi nella scheda Regole, quindi scegliere Avanti.
  8. Nella finestra di dialogo Endpoint del tunnel fare clic su Questa regola non specifica un tunnel, quindi scegliere Avanti.
  9. Nella finestra di dialogo Tipo rete fare clic su Tutte le connessioni di rete, quindi scegliere Avanti.
  10. Nella finestra di dialogo Metodo di autenticazione fare clic su Utilizza la stringa per proteggere lo scambio chiave (chiave già condivisa), digitare una chiave già condivisa, quindi scegliere Avanti.
  11. Nella finestra di dialogo Elenco filtri IP scegliere Aggiungi, digitare il nome dell'elenco di filtri IP nella casella Nome, scegliere Aggiungi, quindi Avanti.
  12. Nella finestra di dialogo Origine traffico IP fare clic su Indirizzo IP specifico nella casella Indirizzo origine, digitare l'indirizzo TCP/IP (Transport Control Protocol/Internet Protocol) del server RAS di origine basato su Windows 2000 nella casella Indirizzo IP, quindi scegliere Avanti.

    Nota L'indirizzo di origine utilizzato su ciascun server endpoint RAS basato su Windows 2000 deve corrispondere. Ad esempio, se l'indirizzo di origine è 1.1.1.1, sarà necessario utilizzare 1.1.1.1 come indirizzo di origine su entrambi i server endpoint RAS basati su Windows 2000.
  13. Nella finestra di dialogo Destinazione traffico IP fare clic su Indirizzo IP specifico nella casella Indirizzo destinazione, digitare l'indirizzo TCP/IP del server RAS di destinazione basato su Windows 2000, quindi scegliere Avanti.

    Nota L'indirizzo di destinazione utilizzato su ciascun server endpoint RAS basato su Windows 2000 deve corrispondere. Ad esempio, se l'indirizzo di destinazione è 2.2.2.2, sarà necessario utilizzare 2.2.2.2 come indirizzo di destinazione su entrambi i server endpoint RAS basati su Windows 2000.
  14. Nella finestra di dialogo Tipo protocollo IP fare clic su UDP nella casella Selezionare un tipo di protocollo, quindi scegliere Avanti.
  15. Nella finestra di dialogo Porta protocollo IP fare clic su Da questa porta, digitare 1701 nella casella Da questa porta, fare clic su A qualsiasi porta, quindi scegliere Avanti.
  16. Selezionare la casella di controllo Modifica proprietà, scegliere Fine, quindi selezionare la casella di controllo Speculare. Individua anche i pacchetti con indirizzi IP di origine e destinazione invertiti nella finestra di dialogo relativa alle proprietà del filtro.
  17. Scegliere OK, quindi Chiudi.
  18. Nella finestra di dialogo Elenco filtri IP fare clic sul filtro IP creato, quindi scegliere Avanti.
  19. Nella finestra di dialogo Operazione filtro scegliere Aggiungi, quindi creare una nuova operazione filtro che specifichi quali algoritmi di integrità e crittografia verranno utilizzati.

    Nota Per migliorare la protezione, deselezionare la casella di controllo "Accetta comunicazioni non protette, ma rispondi sempre usando IPSec" per questa nuova operazione filtro.
  20. Scegliere Avanti, scegliere Fine e quindi Chiudi.
  21. Fare clic con il pulsante destro del mouse sul criterio IPSec appena creato, quindi scegliere Assegna.
Nota È necessario configurare allo stesso modo entrambi i server endpoint RAS basati su Windows 2000. Quando il filtro IPSec è impostato sul primo server endpoint RAS basato su Windows 2000, viene visualizzato da un lato della connessione e quindi viene creata una replica di tale filtro IPSec sul secondo server endpoint RAS basato su Windows 2000. In base all'esempio descritto in precedenza, se l'indirizzo TCP/IP del primo server endpoint RAS basato su Windows 2000 è 1.1.1.1 e quello del secondo server endpoint RAS è 2.2.2.2, nel criterio IPSec su entrambi i server verrà creato un filtro con un indirizzo di origine 1.1.1.1 e un indirizzo di destinazione 2.2.2.2. In questo modo la connessione potrà essere avviata dall'uno o dall'altro server endpoint RAS basato su Windows 2000.

Configurazione di un criterio IPSec che accetti connessioni mediante l'utilizzo di più chiavi già condivise o autorità di certificazione (CA)

Dopo aver creato un criterio con un filtro utilizzando una chiave già condivisa, è necessario creare una regola aggiuntiva nel criterio IPSec per le connessioni che richiedono chiavi già condivise o CA diverse.

Per ulteriori informazioni sui filtri automatici creati da Windows 2000 che utilizzano CA, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
248750 Descrizione del criterio IPSec creato per L2TP/IPSec
253498 HOW TO: Installare un certificato per l'utilizzo con la protezione IP


Microsoft non supporta l'utilizzo di chiavi già condivise per client remoti o VPN L2TP/IPSec per i seguenti motivi:
  • Espone un protocollo protetto a un ben noto problema di utilizzo non protetto, ovvero la selezione di password. Gli attacchi pubblicati hanno dimostrato la vulnerabilità delle chiavi già condivise.
  • Non è distribuibile in maniera protetta. Poiché è richiesto l'accesso al gateway della società da parte dell'utente che configura la chiave già condivisa, molti utenti ne saranno a conoscenza e quindi diventerà una "chiave già condivisa di gruppo". Quasi sicuramente sarà necessario prendere nota di una chiave già condivisa lunga. Non sarà possibile revocare l'accesso di singoli computer finché l'intero gruppo non sarà passato a una nuova chiave già condivisa.
  • Come già documentato nella Guida in linea, nei capitoli del Resource Kit e nell'articolo della Microsoft Knowledge Base 248711, la chiave già condivisa IPSec di Windows 2000 viene fornita solo per la conformità con RFC, per i test di interoperabilità e per l'interoperabilità in ambienti in cui la protezione non costituisce un problema. La chiave già condivisa viene memorizzata nel Registro di sistema locale a cui possono accedere solo gli amministratori dotati di autorizzazioni di accesso in lettura, tuttavia è necessario che gli amministratori locali conoscano e impostino tale chiave. Qualsiasi amministratore locale potrà quindi visualizzarla in seguito o modificarla.
  • Il costo per supportare l'utilizzo di una chiave già condivisa sarebbe molto elevato sia per i clienti che per Microsoft.
  • Ottenere certificati di un computer basato su Windows 2000 può essere semplice quanto richiedere una pagina Web o addirittura più semplice se si utilizza la registrazione automatica di Criteri di gruppo di Windows 2000 quando il client basato su Windows 2000 è membro di un dominio Windows 2000. Questo è in genere il metodo più sicuro per la distribuzione di una VPN basata su IPSec.
Microsoft non supporta i tunnel VPN L2TP/IPSec da gateway a gateway con una chiave già condivisa, in quanto tale chiave deve essere configurata localmente sul gateway da un amministratore di gateway molto esperto in base a indirizzi IP statici. I tunnel IPSec sono supportati solo quando vengono utilizzati indirizzi IP statici e solo per selettori di criteri basati su indirizzi, non su porte e protocolli. Si consiglia di utilizzare L2TP/IPSec per le connessioni da gateway a gateway e di utilizzare la modalità tunnel IPSec per le connessioni da gateway a gateway solo se non è possibile utilizzare L2TP/IPSec.
secret
Proprietà

ID articolo: 240262 - Ultima revisione: 10/12/2007 06:51:00 - Revisione: 4.2

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • kbhowto kbenv kbnetwork KB240262
Feedback