Condividi tramite

Configurare la modalità di trasporto IPsec per il Peering Privato di ExpressRoute

Questo articolo illustra come creare tunnel IPsec in modalità di trasporto tramite peering privato ExpressRoute. Il tunnel connette le macchine virtuali di Azure che eseguono Windows e gli host Windows locali. I passaggi descritti in questo articolo usano oggetti Criteri di gruppo per questa configurazione. Sebbene sia possibile creare questa configurazione senza usare unità organizzative e oggetti Criteri di gruppo, la combinazione di unità organizzative e oggetti Criteri di gruppo consente di semplificare il controllo dei criteri di sicurezza e di aumentare rapidamente le prestazioni. Questi passaggi presuppongono che tu disponga già di una configurazione di Active Directory e che tu conosca l'uso delle Unità Organizzative (OU) e dei Group Policy Object (GPO).

Informazioni sulla configurazione

La configurazione descritta nei passaggi seguenti usa una singola rete virtuale di Azure con il peering privato di ExpressRoute. Tuttavia, questa configurazione può estendersi su altre reti virtuali di Azure e reti locali. Questo articolo illustra come definire un criterio di crittografia IPsec che è possibile applicare a un gruppo di macchine virtuali di Azure o host locali. Queste macchine virtuali di Azure o gli host locali fanno parte della stessa unità organizzativa. Viene configurata la crittografia tra macchine virtuali di Azure (vm1 e vm2) e l'host locale host1 solo per il traffico HTTP destinato alla porta 8080. È possibile creare diversi tipi di criteri IPsec in base alle esigenze.

Uso di unità organizzative

Puoi eseguire il push dei criteri di sicurezza associati a un'unità organizzativa (OU) ai computer tramite GPO. Ecco alcuni vantaggi che derivano dall'usare unità organizzative al posto di applicare criteri a un singolo host:

  • L'associazione di criteri a un'unità organizzativa garantisce che i computer che appartengono alla stessa unità organizzativa ottengano gli stessi criteri.
  • La modifica dei criteri di sicurezza associati a un'unità organizzativa applica le modifiche a tutti gli host nell'unità organizzativa.

Diagrammi

Il diagramma seguente illustra l'interconnessione e lo spazio indirizzi IP assegnato. Le macchine virtuali di Azure e l'host locale eseguono Windows Server 2016. Le macchine virtuali di Azure e l'host locale host1 fanno parte dello stesso dominio. Le macchine virtuali di Azure e gli host locali possono risolvere correttamente i nomi tramite DNS.

Diagramma della topologia di rete per la modalità di trasporto IPsec tramite ExpressRoute.

Questo diagramma illustra i tunnel IPSec in transito nel peering privato ExpressRoute.

Diagramma del traffico interessante IPsec nel peering privato di ExpressRoute.

Lavorare con la politica IPsec

In Windows, si associa la crittografia a una politica IPsec. Un criterio IPsec determina quale traffico IP è protetto e quale meccanismo di sicurezza si applica ai pacchetti IP. I criteri IPsec sono costituiti da elenchi di filtri, azioni di filtro e regole di sicurezza.

Quando si configura un criterio IPsec, è importante comprendere la terminologia seguente:

  • Criteri IPSec: raccolta di regole. In un determinato momento può essere attiva solo una politica ("assegnata"). Ogni criterio può avere una o più regole, che possono essere attive contemporaneamente. Un computer può avere un solo criterio IPsec attivo alla volta. Tuttavia, all'interno dei criteri IPsec, è possibile definire più azioni per situazioni diverse. Ogni set di regole IPSec è associato a un elenco di filtri che influiscono sul tipo di traffico di rete a cui si applica la regola.

  • Elenchi di filtri: Un elenco di filtri è un bundle di uno o più filtri. Un elenco può contenere più filtri. Un filtro definisce se la comunicazione è bloccata, consentita o protetta in base a criteri quali intervalli di indirizzi IP, protocolli o porte specifiche. Ogni filtro corrisponde a un particolare set di condizioni, ad esempio i pacchetti inviati da una subnet specifica a un determinato computer su una porta di destinazione specifica. Quando le condizioni di rete corrispondono a uno o più filtri, l'elenco di filtri viene attivato. Ogni filtro viene definito all'interno di un elenco di filtri specifico. I filtri non possono essere condivisi tra elenchi di filtri. Tuttavia, è possibile incorporare un determinato elenco di filtri in diversi criteri IPsec.

  • Azioni di filtro: Un'azione di filtro è un metodo di sicurezza che definisce un set di algoritmi di sicurezza, protocolli e chiavi offerte da un computer durante i negoziati IKE. Le operazioni di filtro sono elenchi di metodi di sicurezza, classificati in ordine di preferenza. Quando un computer negozia una sessione IPsec, accetta o invia proposte in base all'impostazione di sicurezza archiviata nell'elenco delle azioni di filtro.

  • Regole di sicurezza: le regole controllano come e quando i criteri IPSec proteggono la comunicazione. Usa elenchi di filtri e azioni di filtro per creare una regola IPsec che compila la connessione IPsec. Ogni criterio può avere una o più regole, che possono essere attive contemporaneamente. Ogni regola contiene un elenco di filtri IP e una raccolta di operazioni di sicurezza che vengono eseguite quando si verifica una corrispondenza con tale elenco di filtri:

    • Operazioni di filtro IP
    • Metodi di autenticazione
    • Impostazioni tunnel IP
    • Tipi di connessioni

Diagramma della struttura dei criteri IPsec di Windows.

Operazioni preliminari

Accertarsi che siano soddisfatti i prerequisiti seguenti:

  • È necessario disporre di una configurazione funzionante di Active Directory da usare per implementare le impostazioni di Criteri di gruppo. Per altre informazioni sugli oggetti Criteri di gruppo, vedere Group Policy Objects (Oggetti Criteri di gruppo).

  • È necessario avere un circuito ExpressRoute attivo.

    • Per informazioni sulla creazione di un circuito ExpressRoute, vedere Creare un circuito ExpressRoute .
    • Verificare che il tuo provider di connettività attivi il circuito.
    • Verificare di aver configurato il peering privato di Azure per il circuito. Vedere l'articolo relativo alla configurazione del routing per istruzioni relative al routing.
    • Verificare di aver creato e fornito completamente una rete virtuale (VNet) e un gateway di rete virtuale. Seguire le istruzioni per creare un gateway di rete virtuale per ExpressRoute. Un gateway di rete virtuale per ExpressRoute usa GatewayType ExpressRoute, non VPN.

  • Il gateway di rete virtuale ExpressRoute deve essere connesso al circuito ExpressRoute. Per altre informazioni, vedere Connettere una rete virtuale a un circuito ExpressRoute.

  • Verificare di aver distribuito le macchine virtuali Windows di Azure nella rete virtuale.

  • Verificare che sia presente connettività tra gli host locali e le macchine virtuali di Azure.

  • Verificare che le macchine virtuali Windows di Azure e gli host locali possano usare DNS per risolvere correttamente i nomi.

Flusso di lavoro

  1. Creare un oggetto Criteri di gruppo e associarlo all'unità organizzativa.
  2. Definire un'operazione di filtro IPSec.
  3. Definire un elenco di filtri IPSec.
  4. Creare un criterio IPSec con regole di sicurezza.
  5. Assegnare l'oggetto Criteri di gruppo IPSec all'unità organizzativa.

Valori di esempio

  • Nome di dominio: ipsectest.com

  • Unità organizzativa: IPSecOU

  • Computer Windows locale: host1

  • Macchine virtuali Windows di Azure: vm1, vm2

1. Creare una regola di raccolta dati

  1. Aprire lo snap-in Gestione Criteri di gruppo. Creare un nuovo oggetto Criteri di gruppo collegato a un'unità organizzativa. Individuare quindi l'unità organizzativa alla quale è collegato il GPO. Nell'esempio il nome dell'unità organizzativa è IPSecOU.

  2. Selezionare l'unità organizzativa e fare clic con il pulsante destro del mouse. Nell'elenco a discesa selezionare Crea un GPO in questo dominio e collegalo qui...

  3. Assegnare all'oggetto Criteri di gruppo un nome intuitivo in modo che sia possibile individuarlo facilmente in seguito. Selezionare OK per creare e collegare l'oggetto Criteri di gruppo.

    Screenshot della creazione del nome del GPO per l'unità organizzativa.

Per applicare l'oggetto Criteri di gruppo all'unità organizzativa, collegare l'oggetto Criteri di gruppo all'unità organizzativa e abilitare il collegamento.

  1. Individuare il GPO creato. Fare clic con il pulsante destro del mouse e scegliere Modifica nell'elenco a discesa.

  2. Selezionare Link abilitato per applicare il GPO all'unità organizzativa.

    Screenshot dell'abilitazione del collegamento GPO.

3. Definire l'azione di filtro IP

  1. Dal menu a discesa fare clic con il pulsante destro del mouse su Criteri di sicurezza IP in Active Directory, quindi scegliere Gestisci elenchi di filtri IP e azioni di filtro....

    Screenshot di Gestisci elenchi di filtri IP e azioni di filtro.

  2. In Gestisci azioni filtro selezionare Aggiungi.

    Screenshot dell'aggiunta di un'azione di filtro.

  3. Nella procedura guidata Filtro di sicurezza IP selezionare Avanti.

    Screenshot della guida per l'azione filtro per la sicurezza IP.

  4. Assegnare all'operazione di filtro un nome intuitivo in modo che sia possibile trovarla in seguito. In questo esempio il nome dell'operazione di filtro è myEncryption. È anche possibile aggiungere una descrizione. Quindi seleziona Avanti.

    Screenshot dell'assegnazione del nome all'azione di filtro.

  5. L'opzione Negozia sicurezza consente di definire il comportamento se non è possibile abilitare IPSec per la comunicazione con un altro computer. Selezionare Negozia sicurezza e quindi avanti.

    Screenshot delle impostazioni dell'azione di filtro di sicurezza negoziata.

  6. In Comunicazione con computer che non supportano IPsec selezionare Non consentire comunicazioni non protette e quindi selezionare Avanti.

    Screenshot della specifica del comportamento per le connessioni non protette.

  7. In Traffico IP e sicurezza selezionare Personalizzato e quindi Impostazioni....

    Screenshot delle impostazioni del metodo di sicurezza.

  8. In Impostazioni metodo di sicurezza personalizzato selezionare Integrità dei dati e crittografia (ESP): SHA1, 3DES. Quindi selezionare OK.

    Screenshot delle impostazioni del metodo di sicurezza personalizzato.

  9. In Gestisci azioni filtro si noterà che è stata aggiunta l'azione di filtro myEncryption . Selezionare Chiudi.

    Screenshot dell'elenco di azioni di filtro che mostra l'aggiunta di myEncryption.

4. Definire un elenco di filtri IP

Creare un elenco di filtri che specifica il traffico HTTP crittografato destinato alla porta 8080.

  1. Usare un elenco di filtri IP per specificare quali tipi di traffico devono essere crittografati. Nella scheda Gestisci elenchi di filtri IP selezionare Aggiungi per aggiungere un nuovo elenco di filtri IP.

    Screenshot dell'aggiunta di un nuovo elenco di filtri IP.

  2. Nel campo Nome immettere un nome per l'elenco di filtri IP. Ad esempio, azure-onpremises-HTTP8080. Quindi selezionare Aggiungi.

    Screenshot dell'aggiunta del traffico HTTP al filtro IP.

  3. Nella pagina Descrizione filtro IP e proprietà Riflesso selezionare Riflesso. L'impostazione speculare abbina i pacchetti che viaggiano in entrambe le direzioni, permettendo la comunicazione bidirezionale. Quindi seleziona Avanti.

    Screenshot della selezione della proprietà speculare.

  4. Nella pagina Origine traffico IP, nell'elenco a discesa Indirizzo origine scegliere Subnet o indirizzo IP specifico.

    Screenshot della selezione dell'indirizzo della subnet di origine.

  5. Specificare l'indirizzo IP o la subnet dell'indirizzo di origine: del traffico IP e quindi selezionare Avanti.

    Screenshot delle impostazioni di rete di origine.

  6. Specificare l'Indirizzo di destinazione: indirizzo IP o Subnet. Quindi seleziona Avanti.

    Screenshot delle impostazioni di rete di destinazione.

  7. Nella pagina Tipo protocollo IP selezionare TCP. Quindi seleziona Avanti.

  8. Nella pagina Porta protocollo IP selezionare Da qualsiasi porta e A questa porta. Digitare 8080 nella casella di testo. Queste impostazioni specificano solo il traffico HTTP sulla porta di destinazione 8080 viene crittografato. Quindi seleziona Avanti.

    Screenshot delle impostazioni delle porte di origine e di destinazione.

  9. Visualizzare l'elenco di filtri IP. La configurazione dell'elenco di filtri IP azure-onpremises-HTTP8080 attiva la crittografia per tutto il traffico che soddisfa i criteri seguenti:

    • Qualsiasi indirizzo di origine in 10.0.1.0/24 (Subnet2 Azure)
    • Qualsiasi indirizzo di destinazione in 10.2.27.0/25 (subnet locale)
    • Protocollo TCP
    • Porta di destinazione 8080

    Screenshot della configurazione dell'elenco di filtri IP.

5. Modificare l'elenco di filtri IP

Per crittografare lo stesso tipo di traffico dall'host locale alla macchina virtuale di Azure, è necessario un secondo filtro IP. Seguire la stessa procedura usata per configurare il primo filtro IP e creare un nuovo filtro IP. Le uniche differenze sono la subnet di origine e la subnet di destinazione.

  1. Per aggiungere un nuovo filtro IP all'elenco di filtri IP, selezionare Modifica.

    Screenshot dell'elenco di filtri IP con traffico HTTP.

  2. In Elenco filtri IP selezionare Aggiungi.

    Screenshot dell'aggiunta di una seconda voce di filtro IP.

  3. Creare un secondo filtro IP usando le impostazioni nell'esempio seguente:

    Screenshot delle impostazioni della seconda voce del filtro IP.

  4. Dopo aver creato il secondo filtro IP, l'elenco di filtri IP sarà simile al seguente:

    Screenshot della lista dei filtri IP con due voci.

Se è necessaria la crittografia tra un percorso locale e una subnet di Azure per proteggere un'applicazione, non è necessario modificare l'elenco di filtri IP esistente. Aggiungere invece un nuovo elenco di filtri IP. Associando due o più elenchi di filtri IP allo stesso criterio IPsec, si ottiene maggiore flessibilità. È possibile modificare o rimuovere un elenco di filtri IP senza influire sugli altri elenchi di filtri IP.

6. Creare un criterio di sicurezza IPsec

Creare un criterio IPSec con regole di sicurezza.

  1. Selezionare i criteri di sicurezza IP in Active Directory associati all'unità organizzativa. Fare clic con il pulsante destro del mouse e scegliere Crea criterio di sicurezza IP.

    Screenshot della creazione del criterio di sicurezza IP.

  2. Immettere un nome per i criteri di sicurezza, ad esempio policy-azure-onpremises. Quindi seleziona Avanti.

    Screenshot della creazione del nome del criterio di sicurezza IPsec.

  3. Selezionare Avanti senza selezionare la casella di controllo.

    Screenshot della procedura guidata dei criteri IPsec.

  4. Verificare che la casella di controllo Modifica proprietà sia selezionata e quindi selezionare Fine.

    Schermata della modifica dei criteri di sicurezza IPsec.

7. Modificare i criteri di sicurezza IPsec

Aggiungere al criterio IPsec l'elenco di filtri IP e l'azione di filtro configurati in precedenza.

  1. Nella scheda Regole in Proprietà dei criteri HTTP selezionare Aggiungi.

    Screenshot dell'aggiunta di una nuova regola di sicurezza al criterio IPsec.

  2. In Benvenuto selezionare Avanti.

    Schermata della creazione di una nuova regola di sicurezza.

  3. Una regola consente di definire la modalità IPSec: modalità tunnel o modalità trasporto.

    • In modalità tunnel, il pacchetto originale viene incapsulato con un set di intestazioni IP. La modalità tunnel protegge le informazioni di routing interne crittografando l'intestazione IP del pacchetto originale. La modalità tunnel viene spesso implementata tra i gateway in scenari VPN da sito a sito. La modalità tunnel viene spesso usata per la crittografia end-to-end tra host.

    • La modalità trasporto crittografa solo il payload e il trailer ESP, mentre l'intestazione IP del pacchetto originale non viene crittografata. Nella modalità trasporto, l'origine IP e la destinazione IP dei pacchetti restano invariate.

    Selezionare Questa regola non specifica un tunnel e quindi selezionare Avanti.

    Screenshot della selezione della modalità di trasporto.

  4. Tipo di rete definisce la connessione di rete associata ai criteri di sicurezza. Selezionare Tutte le connessioni di rete e quindi selezionare Avanti.

    Screenshot della selezione del tipo di rete.

  5. Selezionare l'elenco di filtri IP creato in precedenza, azure-onpremises-HTTP8080 e quindi selezionare Avanti.

    Screenshot della selezione dell'elenco di filtri IP esistente.

  6. Selezionare l'azione filtro esistente myEncryption creata in precedenza.

    Schermata della selezione dell'azione di un filtro esistente.

  7. Windows supporta quattro tipi distinti di autenticazioni: Kerberos, certificati, NTLMv2 e chiave precondivisa. Poiché si lavora con gli host aggiunti a un dominio, selezionare Active Directory predefinito (protocollo Kerberos V5) e quindi selezionare Avanti.

    Screenshot della selezione del metodo di autenticazione Kerberos.

  8. Il nuovo criterio crea la regola di sicurezza: azure-onpremises-HTTP8080. Seleziona OK.

    Screenshot del criterio di sicurezza completato.

Il criterio IPSec richiede che tutte le connessioni HTTP sulla porta di destinazione 8080 usino la modalità trasporto IPSec. Poiché HTTP è un protocollo di testo non crittografato, l'abilitazione dei criteri di sicurezza garantisce che i dati vengano crittografati quando vengono trasferiti tramite il peering privato di ExpressRoute. I criteri IPsec per Active Directory sono più complessi da configurare rispetto a Windows Firewall con sicurezza avanzata. Tuttavia, consente una maggiore personalizzazione della connessione IPsec.

8. Assegnare l'oggetto Criteri di gruppo IPsec all'unità organizzativa

  1. Visualizzare la politica. I criteri di gruppo di sicurezza sono definiti ma non ancora assegnati.

    Screenshot del criterio IPsec collegato al GPO ma non ancora assegnato.

  2. Per assegnare i criteri di gruppo di sicurezza all'unità organizzativa IPSecOU , fare clic con il pulsante destro del mouse sui criteri di sicurezza e scegliere Assegna. A ogni computer appartenente all'unità organizzativa è assegnato il criterio di gruppo di sicurezza.

    Screenshot del criterio IPsec assegnato al GPO.

Controllare la crittografia del traffico

Per verificare il GPO di crittografia applicato all'unità organizzativa, installare IIS su tutte le macchine virtuali Azure e su host1. Ogni server IIS viene personalizzato per rispondere alle richieste HTTP sulla porta 8080. Per verificare la crittografia, è possibile installare uno sniffer di rete (ad esempio Wireshark) in tutti i computer dell'unità organizzativa. Uno script di PowerShell funziona come client HTTP per generare richieste HTTP sulla porta 8080:

$url = "http://10.0.1.20:8080"
while ($true) {
try {
[net.httpWebRequest]
$req = [net.webRequest]::create($url)
$req.method = "GET"
$req.ContentType = "application/x-www-form-urlencoded"
$req.TimeOut = 60000

$start = get-date
[net.httpWebResponse] $res = $req.getResponse()
$timetaken = ((get-date) - $start).TotalMilliseconds

Write-Output $res.Content
Write-Output ("{0} {1} {2}" -f (get-date), $res.StatusCode.value__, $timetaken)
$req = $null
$res.Close()
$res = $null
} catch [Exception] {
Write-Output ("{0} {1}" -f (get-date), $_.ToString())
}
$req = $null

# uncomment the line below and change the wait time to add a pause between requests
#Start-Sleep -Seconds 1
}

L'acquisizione di rete seguente mostra i risultati per l'host locale host1 con il filtro ESP in modo da attivare la corrispondenza solo con il traffico crittografato:

Screenshot del traffico IPsec crittografato acquisito.

Se si esegue lo script di PowerShell in locale (client HTTP), l'acquisizione di rete nella macchina virtuale di Azure mostra una traccia simile.

Passaggi successivi

Per altre informazioni su ExpressRoute, vedere le Domande frequenti su ExpressRoute.

  • Last updated on