L'imposizione IPsec (Internet Protocol security) di Protezione accesso alla rete offre il metodo più avanzato e flessibile per garantire la conformità dei computer client con i requisiti di integrità della rete.
L'imposizione IPsec limita la comunicazione in rete ai computer considerati conformi e che hanno acquisito certificati di integrità. Sfruttando IPsec e la sua flessibilità di configurazione, questo metodo di imposizione per Protezione accesso alla rete consente di definire i requisiti per comunicazioni sicure con client conformi per singoli indirizzi IP o numeri di porta. Per ulteriori informazioni su IPsec, vedere
Vantaggi dell'imposizione IPsec
L'imposizione IPsec viene comunemente utilizzata quando si desidera un meccanismo di imposizione più avanzato e affidabile di quello offerto dall'imposizione 802.1X, DHCP o VPN. I vantaggi dell'imposizione IPsec sono i seguenti:
Imposizione a prova di alterazione
L'imposizione IPsec non può essere ignorata riconfigurando un client di Protezione accesso alla rete. Un client di Protezione accesso alla rete non può ricevere un certificato di integrità o iniziare la comunicazione con un computer conforme manipolando le impostazioni nel computer locale, anche se l'utente dispone di privilegi di amministratore locale. L'imposizione IPsec non può inoltre essere ignorata utilizzando hub o tecnologie di computer virtuale.
Nessun aggiornamento dell'infrastruttura necessario
L'imposizione IPsec funziona a livello Internet della suite di protocolli TCP/IP ed è pertanto indipendente dai componenti fisici dell'infrastruttura di rete, ad esempio hub, commutatori e router.
Accesso alla rete limitato a singoli server o singole applicazioni
Con l'imposizione IPsec i computer conformi possono iniziare la comunicazione con computer non conformi, ma i computer non conformi non possono iniziare la comunicazione con computer conformi. L'amministratore definisce il tipo di traffico che deve essere autenticato con un certificato di integrità e protetto con IPsec mediante le impostazioni dei criteri IPsec. I criteri IPsec consentono di creare filtri IP che definiscono il traffico in base all'indirizzo IP di origine, all'indirizzo IP di destinazione, al numero di protocollo IP, alla porta TCP di origine e di destinazione e alla porta UDP di origine e di destinazione. Grazie ai criteri IPsec e alla definizione di un filtro IP, è possibile limitare l'accesso alla rete a singoli server o singole applicazioni.
Crittografia end-to-end facoltativa
Specificando le impostazioni dei criteri IPsec è possibile crittografare il traffico IP tra computer comunicanti IPsec per le comunicazioni riservate. A differenza delle reti locali (LAN) wireless IEEE 802.11 che eseguono la crittografia dei frame solo dal client wireless al punto di accesso wireless, la crittografia IPsec viene eseguita tra computer comunicanti IPsec.
Imposizione IPsec e reti logiche
L'imposizione IPsec divide una rete fisica in tre reti logiche. Un computer è membro di una sola rete logica alla volta. Le reti logiche sono definite in termini di quali computer dispongono di certificati di integrità e per quali computer è necessaria l'autenticazione IPsec dei tentativi di comunicazione in ingresso. Le reti logiche consentono di impedire l'accesso ai computer che non soddisfano i requisiti di integrità e di offrire ai computer conformi un livello di protezione dai computer non conformi. L'imposizione IPsec definisce le reti logiche seguenti:
-
Rete sicura
I computer nella rete sicura dispongono di certificati di integrità e richiedono l'autenticazione della comunicazione in ingresso tramite tali certificati. Utilizzano un set comune di impostazioni dei criteri IPsec per garantire la protezione IPsec. La maggior parte dei server e dei computer client appartenenti a un'infrastruttura Active Directory® si trova ad esempio in una rete sicura. I server dei criteri di integrità di Protezione accesso alla rete, i server che eseguono Servizi certificati Active Directory e i server di posta elettronica sono esempi di componenti di rete che in genere risiedono in una rete sicura.
-
Rete di delimitazione
I computer nella rete di delimitazione dispongono di certificati di integrità, ma non richiedono l'autenticazione IPsec dei tentativi di comunicazione in ingresso. I computer nella rete di delimitazione devono essere accessibili per tutti i computer dell'intera rete. Questi tipi di computer sono i server necessari per valutare e fornire l'integrità del client di Protezione accesso alla rete o offrire i servizi di rete ai computer della rete con restrizioni, ad esempio server Autorità registrazione integrità, server di aggiornamento antivirus, controller di dominio di sola lettura e server DNS. Poiché i computer della rete di delimitazione non richiedono l'autenticazione e la comunicazione protetta, devono essere gestiti in modo attento per evitare che vengano utilizzati per attaccare computer della rete sicura.
-
Rete con restrizioni
I computer della rete con restrizioni non dispongono di certificati di integrità. Si tratta di computer che non hanno completato i controlli di integrità, sono guest o non sono idonei per Protezione accesso alla rete, ad esempio computer che eseguono versioni di Windows che non supportano Protezione accesso alla rete, computer Apple Macintosh o computer basati su UNIX.
Nell'immagine seguente è illustrato un esempio di reti logiche IPsec.
