VPN in quarantena: principi di implementazione

di Luciano Serafino

scritto il

I processi per integrare nella propria rete aziendale una VPN in quarantena, la tecnologia di VPN che consente di mantenere sicuri gli accessi esterni alle proprie informazioni

Come dettagliatamente descritto nel precedente articolo sulle reti VPN in quarantena, questa tipologia di implementazione agisce in modo da ritardare la connettività completa alla rete privata mentre viene esaminata e convalidata la configurazione del computer di accesso remoto in base agli standard aziendali.

Se il computer che stabilisce la connessione non risulta conforme ai criteri di sicurezza aziendali, il processo di quarantena potrà installare gli aggiornamenti di sistema o virali che verranno ritenute indispensabili per aggiornare il computer client che richiede la connessione.

Si ricorda, altresì, che questa tipologia di implementazione non è progettata per proteggere la rete da utenti malintenzionati, bensì per evitare che utenti che posseggono le corrette credenziali di acceso alla rete possano danneggiarla non possedendo tutti gli aggiornamenti necessari per rendere il computer client in questione sicuro nei confronti di attacchi esterni.

Quando un computer stabilisce una connessione VPN ad un server di accesso remoto, in quest’ultimo vengono eseguite le seguenti azioni:

  • Il server di accesso remoto consente la connessione eseguendo alcuni controlli in base ai criteri di accesso remoto configurati.
  • Il server verifica che l’utente sia autorizzato a stabilire la connessione in remoto.
  • Il server autentica le credenziali dell’utente in base al servizio di autenticazione prescelto.
  • Il computer di accesso remoto assegna un indirizzo IP al computer remoto.

Nell’implementazione standard della rete VPN l’utente ha accesso a tutte le risorse di rete autorizzate al completamento dei passaggi appena descritti, senza che venga effettuato alcun controllo relativo ad aggiornamenti della protezione oppure di protezione antivirus.

Il processo si modifica invece nel modo seguente quando un utente tenta di stabilire la connessione alla rete remota tramite VPN in quarantena:

  • Il computer esegue un controllo di pre-connessione per verificare se vengono soddisfatti alcuni requisiti di base, relativi ad esempio agli aggiornamenti rapidi, agli aggiornamenti della protezione e alle firma dei virus. Questo controllo viene effettuato tramite uno script che ha la funzione di archiviarne i risultati localmente; qualora il livello di sicurezza previsto dall’azienda lo preveda, è possibile anche implementare dei controlli di post-connessione;
  • Quando vengono completati i controlli di pre-connessione, il computer si connette al server di accesso remoto tramite VPN;
  • Il server di accesso remoto convalida le credenziali dell’utente, in base al nome utente e alla password memorizzati, secondo il classico criterio di autenticazione delle reti VPN;
  • Se l’utente passa il processo di autenticazione il server di accesso remoto mette il client in quarantena, utilizzando i criteri di accesso remoto definiti; in questo modo l’accesso del computer è limitato alle risorse di quarantena specificate.
  • Lo script di post-connessione notifica al server di accesso remoto che il client è conforme ai requisiti specificati. Nel caso in cui tali requisiti non siano soddisfatti entro un periodo di time-out reimpostato lo script invia una notifica all’utente specificando il problema che si è verificato e interrompe la connessione.
  • Se tutti i controlli sin qui effettuati sono andati a buon fine il server di accesso remoto disattiva la modalità quarantena per il computer client, assicurando l’accesso alle risorse di rete.

Risorse in quarantena

In modalità quarantena il client ha accesso solo alle risorse disponibili nella rete di quarantena, che può essere costituita da una sottorete di quarantena separata o da un insieme definito di server connessi a internet.

La rete di quarantena dispone di risorse che consentono ai computer remoti di raggiungere la conformità completa ai requisiti di protezione prescritti. Queste risorse possono includere un server DNS per la risoluzione dei nomi, un server web per la pubblicazione delle istruzioni per l’utente e un file server per il download di eventuali aggiornamenti.

Tra le modalità citate l’utilizzo di una sottorete di quarantena richiederebbe lunghi time-out di sessione per consentire al computer client di scaricare gli aggiornamenti qualora questi siano inclusi nelle cartelle di quarantena. Risulta invece molto più vantaggiosa la soluzione che prevede l’esecuzione degli aggiornamenti scaricandoli direttamente da internet prima della connessione VPN, offrendo in tal modo il vantaggio di brevi timeout. Questo è possibile in quanto, in entrambi i casi, è lo script impostato ad eseguire gli aggiornamenti e non la stessa rete di quarantena.

Implementazione dei servizi

Per utilizzare la connessione VPN in quarantena quale contributo alla protezione dell’accesso remoto, è necessario che l’organizzazione implementi diverse tecnologie, le quali devono integrarsi perfettamente e funzionare in maniera affidabile come singola unità.

La progettazione della rete prevede l’individuazione degli elementi di pianificazione essenziali e l’esecuzione di un’analisi dei requisiti di soluzione; un esempio potrebbe essere rappresentato dalla manifestazione di problemi di natura aziendale, tecnica ovvero di protezione che è necessario affrontare con una soluzione.

Un esempio di requisito che dovrebbe soddisfare una rete del tipo in esame consiste nell’evitare ritardi di connessione che provocherebbero un disagio percepito dall’utente come calo di fiducia nel servizio. Per questo motivo è necessario creare script di connessione che consentano di tenere informati gli utenti su tutte le fasi del processo di connessione.

Una possibile soluzione a questa problematica consiste nell’avviare nel computer client uno script di azione pre-tunnel che aggiorni le impostazioni di protezione prima di creare la connessione VPN. Il computer ottiene gli aggiornamenti dai server dell’azienda connessi a internet, dal fornitore dell’antivirus così come da Windows Update.

Dopo l’esecuzione degli aggiornamenti richiesti sul computer client viene creata una connessione VPN e vengono autenticate le credenziali dell’utente. Sul server di accesso remoto la connessione in ingresso viene quindi limitata tramite l’utilizzo di filtri di pacchetti di quarantena che consentono solo un accesso alle risorse limitato. Dopo la conferma da parte dell’agente del client della conformità del computer ai necessari criteri di protezione, il server di accesso remoto rimuove le limitazioni della quarantena e il computer client ha la possibilità di accedere a tutte le risorse autorizzate dalla Intranet.

Appare evidente che con il passare del tempo sarà necessario aggiornare gli script di quarantena con nuove build, e distribuire tali aggiornamenti all’interno dell’organizzazione ad esempio tramite l’invio di e-mail.

In modo analogo sarà indispensabile pensare anche ad un raccolta dei dati relativi alle prestazioni, in quanto tela misurazione è una componente essenziale per il continuo miglioramento del servizio.