Creare una VPN tra PGP7 e XP Professional
Data: Sabato, 26 gennaio 2008 @ 18.53.25 W. Europe Standard Time
Argomento: FAQ e Guide


Serve una VPN su un sistema non-server e non potete installare PGPNet? Bè, a me è capitato esattamente tre giorni fa questo problema: una macchina con Windows 2k Professional e PGP 7.0.3 (già configurato per creare VPN con altre macchine dove era installata la stessa versione di PGP, sempre sotto Win 2K Pro) ed un client con XP Professional (dove però PGP 7 e PGPNet non girano).

Voi direte: "e alore? c'è PGP 8.1 che funge perfettamente sotto XP... dove sta il problema?". Già, è vero che la versione 8.x di Pretty Good Privacy gira su XP; peccato che con quello le vpn (almeno nella versione freeware) non si possono fare.

Google mi è venuto allora in aiuto, ci sono centinaia di pagine per configurare una vpn in Windows NTx senza l'uso di PGP.
In un'intera giornata di test in locale tra le mie due macchine "cavia" sono riuscito a fare quello che volevo: una bella rete virtuale con IPSec, shared passphrase, criptazione AH in MD5, Hash MD5 e cifratura 3DES per l'ESP.
Se queste sigle per voi sono solo lettere e numerini probabilmente non usate gli algoritmi di criptazione: quelle che ho appena elencato sono le basi della cifratura. Quindi a naso direi che tutta sta pappa non vi interessa, no? ;)




Configurazione di PGP

Partiamo dalla base, sul vostro bel PGP aprite le opzioni e scegliete la scheda "VPN Advanced": dovete creare un criterio nuovo per l'IKE. Cliccate sul pulsante "New" e dal piccolo menù che compare scegliete "IKE Proposal", ed impostate il criterio in questo modo:
  • Authentication: Shared Key
  • Hash: MD5
  • Cipher: TripleDES
  • Diffie-Hellmann: 1536
cliccate su OK per chiudere la finestra. Ultima cosa da fare è impostare il criterio IPSec, cliccando sul pulsante "New" e scegliendo questa volta "IPsec Proposal":
  • selezionate la casella AH ed impostate l'Hash su SHA
  • nella sezione ESP impostate l'Hash su SHA e il Cipher su TripleDES
  • lasciate deselezionata la casella IPPCP
e cliccate su "OK". Il gioco è fatto! Cliccate su "OK" anche nella finestra "PGP Options".




Configurazione di IPSec

Adesso arriva il bello!
La seguente procedura è stata testata su una macchina dove girava Windows XP Professional V.2002 senza alcun Service Pack.

Cliccate su Start, selezionate il Pannello di Controllo, cliccate su “Prestazioni e Manutenzione” (per la visualizzazione avanzata) e poi su “Strumenti di Amministrazione”. Selezionate “Criteri di Protezione Locali”, cliccate con il pulsante destro su “Criteri di Protezione IP su Computer Locale” e dal menù che appare scegliete “Gestisci Elenchi Filtri IP e Operazioni Filtro”; nella finestra che appare cliccate su Aggiungi.

Specificate un nome a voi comprensibile nella casella “Nome” (per esempio PC1-su-PC2), cliccate su “Aggiungi”, poi su “Avanti”. Come “Indirizzo di Origine” lasciate selezionata la voce “Indirizzo IP” e cliccate su “Avanti”; in “Indirizzo di Destinazione” selezionate
  • “Nome DNS Specifico” se la macchina a cui vi volete connettere in vpn possiede un ip statico associato ad un dns; in questo caso inserite il nome host nella casella che appare, ciccate su “Avanti” e nella finestra “Avviso di Protezione” scegliete il pulsante “Si”
  • “Indirizzo IP Specifico” se la macchina di destinazione possiede si un indirizzo IP statico, ma non un DNS; in questo caso inserite l’indirizzo IP nella casella che appare
  • “Subnet IP Specifica” se la macchina a di destinazione non possiede un IP statico ma voi siete a conoscenza del range di variazione dell’IP dinamico (es. macchina di destinazione connessa in dial-up con Libero con pop a Udine: l’IP varia da 151.25.0.0 a 151.25.254.254; nella casella “Indirizzo IP” inserirete 151.25.0.0 e in “Subnet Mask” 255.255.0.0)
cliccate su “Avanti”. In “Selezionare un Tipo di Protocollo” scegliete “Qualsiasi” e cliccate su “Avanti”, selezionate la casella “Modifica Proprietà” e cliccate su “Fine”. Nella finestra “Proprietà – Filtro” assicuratevi che la casella “Speculare…” sia attivata e cliccate su “Ok”. Nella finestra “Elenco Filtri IP” cliccate su “Ok”.

Selezionate la seconda pagina (“Gestione Operazioni Filtro”) della finestra “Gestisci Elenchi IP e Azioni Filtro”, cliccate su “Aggiungi” e poi su “Avanti”. Nella casella “Nome” inserite un titolo appropriato (per esempio Cripto PC1-PC2), cliccate su “Avanti”, selezionate la casella “Negozia protezione”, cliccate su “Avanti”, selezionate “Non comunicare con i computer che non supportano IPSec”, cliccate ancora su “Avanti”, selezionate “Personalizzata” e cliccate sul pulsante “Impostazioni”.
Nella finestra che appare selezionate la casella “Integrità Dati e Indirizzi senza Crittografia (AH)” e nel modulo associato scegliete “SHA1”; selezionate poi la casella “Integrità Dati con Crittografia (ESP)”: nel modulo “Algoritmo di Integrità” scegliete “SHA1”, mentre in “Algoritmo di Crittografia” scegliete “3DES”; lasciate deselezionate le altre caselle e cliccate su “Ok”. Cliccate su “Avanti”, selezionate la casella “Modifica Proprietà” e cliccate su “Fine” Nella finestra “Proprietà – Cripto PC1-PC2” deselezionate la casella “Accetta Comunicazioni non Protette…” e selezionate invece “PFS (Perfect Forward Secrecy)”, cliccate su “Ok” e su “Chiudi” nella finestra “Gestisci Elenchi”.
Cliccate con il pulsante destro su “Criteri di Protezione IP su Computer Locale”, selezionate “Crea Criterio di Protezione IP”: nella finestra che appare cliccate sul pulsante “Avanti”, scegliete un nome per il vostro nuovo criterio di protezione (es. IPSec PC1-PC2), cliccate su “Avanti” e togliete la scelta “Attiva la Regola di Risposta Predefinita”, cliccate ancora su “Avanti”, lasciate selezionate la casella “Modifica Proprietà” e cliccate su “Fine”.

Nel modulo “Regole di Protezione IP” della finestra “Proprietà – IPSec PC1-PC2” lasciate deselezionata la casella “” e cliccate sul pulsante “Aggiungi”, cliccate “Avanti” e selezionate “Questa regola non specifica un tunnel”, cliccate “Avanti”, lasciate selezionata l’opzione “Tutte le Connessioni di Rete” e cliccate ancora su “Avanti”. Ora selezionate l’opzione “Utilizza questa stringa per proteggere…” e nel modulo sottostante inserite la parola chiave che è stata assegnata nella configurazione di PGP per il vostro computer; cliccate ancora su “Avanti”. Nello spazio “Elenchi Filtri IP” selezionate la voce creata da voi (PC1-su-PC2), cliccate su “Avanti”, nello spazio “Operazioni Filtro” selezionare il criterio creato da voi (Cripto PC1-PC2) e cliccate su “Avanti”, lasciate selezionata la casella “Modifica Proprietà” e cliccate su “Fine”. Nella finestra “Proprietà – Nuova Regola” controllate che sia tutto come volete (se mi avete seguito fino qui dovrebbe esserlo) e selezionate “Ok”. Nella finestra “Proprietà – IPSec PC1-PC2” cliccate su “Chiudi”.

Abbiamo quasi finito. Nella finestra principale “Impostazioni Protezione Locale”, nella sezione di destra, selezionate con il pulsante destro la nuova regola (IPSec PC1-PC2) e dal menù scegliete “Assegna”.

Se possedete un router e/o un firewall (sia hardware che software) occorrerà aprire la porta UDP 500 sia in ingresso che in uscita.

Ed ora inizia la consueta fase di testing delle impostazioni fin ora eseguite. Innanzitutto proviamo la connessione IPSec fra le due macchine eseguendo dei ping e verificando l'iniziale avviso "Negoziazione protezione IP in corso...": se tutto funziona correttamente dal secondo pacchetto inviato in poi si otterrà la normale risposta della macchina. Se ahimè qualcosa non va, è convenievole abilitare il logging locale per analizzare tutte le operazioni eseguite da IPSec e capire da dove nasce il problema (trovate informazioni a riguardo nella versione PDF di questa guida scaricabile tramite il link in fondo all'articolo).
Ok, la configurazione è stata eseguita correttamente ma se tentate di accedere alla macchina in VPN digitando nome_PC non succede un benemerito cazzo. In questo caso potrebbe essere un problema di timeout stretto. Provate ad eseguire la connessione IPSec manualmente, digitando dalla console (Start > Esegui > cmd) ping -t host, dove “host” corrisponde al nome dns del computer a cui vi volete connettere (quindi quello dove sarà installato PGP7); come nel caso del ping test precedente, per un po’ di tempo leggerete il solito "Negoziazione protezione IP in corso...", poi quando le chiavi saranno allineate otterrete il classico Risposta da XXX.XXX.XXX.XXX: byte=32 durata=X ms TTL=X.

Ultimissimo appunto: su XP Home, se riscontrate perdite di pacchetti o disconnessioni, disattivate la casella "PFS (Perfect Forward Secrecy) chiave di sessione" che trovate in fondo alla scheda "Metodi di protezione" nelle proprietà del filtro che avete impostato.

Per scaricare il PDF da leggere con comodo, con tutta la procedura fin ora descritta per gestire IPSec riferitevi al link PDF Guida VPN PGP-IPSec. E direi che questo è tutto. Pistolate gente!


Articolo trasferito da UnderNet Portal, l'altro mio storico sito, ormai chiuso dal dicembre 2005.



Questo articolo proviene da .:: FaITh.net ::: Servizi Web e Risorse On-Line
http://www.faithsystems.net/

L'indirizzo URL per questa news è
http://www.faithsystems.net/modules.php?name=News&file=article&sid=64