Come configurare un gateway con Windows 2003 Server


ANALISI DEL PROBLEMA

In una rete locale, prima o poi ci si pone sempre il problema di come collegare l’intera rete locale alla rete Internet. Il collegamento alla rete Internet avviene in genere tramite un unico punto di accesso, questo per evitare spese nell’acquisto di più indirizzi IP pubblici ed anche (e soprattutto) per motivi di sicurezza, poiché una rete esposta direttamente ad Internet è una rete insicura. E’ quindi necessario utilizzare un dispositivo che permetta di separare le due reti, rete locale e rete Internet. Un metodo ancora più sicuro è quello di utilizzare un firewall che separa il punto d’accesso alla rete Internet e la rete locale.



SOLUZIONE DEL PROBLEMA
Una possibile soluzione (tra le tante disponibili) potrebbe essere quella di utilizzare un server Windows 2003 che funga da default gateway verso Internet per la rete locale e che abbia anche funzionalità di firewalling, in modo da proteggere la rete da intrusioni esterne. Tutto ciò è possibile senza utilizzare programmi di terze parti utilizzando Routing and Remote Access (RRAS). La rete sarà quindi organizzata come indicato in figura 1:

Immagine Allegata
Figura 1

IMPLEMENTAZIONE PRATICA
CONFIGURAZIONE DELLA RETE
Per prima cosa, bisogna installare e configurare due schede di rete sul server Windows 2003, una per la rete privata (rete interna) e una per la rete esterna, cioè la rete formata dall’adattatore di rete esterno del server Windows 2003 e dall’interfaccia ethernet del router. L’interfaccia interna prenderà il nome “Rete interna”, mentre l’interfaccia esterna prenderà il nome “Rete esterna”, come mostrato in figura 2:
Immagine Allegata
Figura 2
A questo punto bisogna assegnare gli indirizzi IP agli host della rete locale, alle due interfacce di rete sul server ed al router Internet:
PC1: 192.168.2.1
PC2: 192.168.2.2
PC3: 192.168.2.3
PC4: 192.168.2.4
Server 2003 (rete interna): 192.168.2.254
Server 2003 (rete esterna): 192.168.1.2
Router Internet: 192.168.1.1
Fatto questo, bisogna impostare il router predefinito per la rete locale e per il server 2003. Per i PC della rete locale (PC1, PC2, PC3, PC4), il router predefinito è l’interfaccia di rete del server 2003 collegata direttamente al client, ovvero 192.168.2.254. A questo punto è necessario dire al server come uscire verso Internet, impostando come default gateway dell’interfaccia di rete esterna il router Internet, ossia 192.168.1.1. Sarà poi necessario impostare un server DNS sia per i client sia per il server in grado di risolvere i nomi di dominio della rete Internet, in questa esercitazione non vengono indicati valori, poiché una corretta assegnazione del server DNS dipende dalla situazione della rete locale.
CONFIGURAZIONE DI RRAS
Routing and Remote Access (d’ora in poi RRAS) è il componente che, correttamente configurato, permette di utilizzare un server Windows 2003 come gateway Internet. Questo componente è disabilitato se non utilizzato, quindi va abilitato e configurato.
Per abilitare RRAS, bisogna andare su Start -> Administrative Tools -> Routing and Remote Access. Si aprirà la finestra (snap-in di Microsoft Management Console o MMC) di gestione del servizio. Nella colonna di sinistra, compare un oggetto che prende il nome assegnato al server, cliccare col tasto destro su quell’oggetto e quindi selezionare la voce “Configure and Enable Routing and Remote Access” come mostrato in figura 3.
Immagine Allegata
Figura 3
A questo punto, partirà la creazione guidata che permetterà di configurare in modo opportuno il servizio. Alla prima schermata, cliccare su Next e quindi selezionare la voce “Network Address Translation (NAT)”, e proseguire. La schermata successiva permette di scegliere quale interfaccia di rete è l’interfaccia “pubblica” (cioè, nel nostro caso, quella collegata direttamente al router Internet), scegliere quindi l’interfaccia “Rete Esterna”. Inoltre, sempre dalla stessa schermata, è possibile impostare una protezione di base della nostra rete, abilitando un firewall che blocca tutte le connessioni dall’esterno, tranne le risposte a richieste provenienti dall’interno (come ad esempio la richiesta di un browser). Per abilitare il firewall, cliccare sulla checkbox “Enable security on the selected interface by setting up Basic Firewall”. Queste impostazioni sono mostrate in figura 4:
Immagine Allegata
Figura 4
Completato questo passo, cliccare su Next. Si arriva alla schermata di chiusura della creazione guidata, quindi basta cliccare su Finish per abilitare RRAS e configurarlo come punto d’accesso ad Internet per la rete locale. Se questi passaggi sono stati seguiti come indicato, i vari client della rete locale (nel nostro caso, PC1, PC2, PC3 e PC4) dovrebbero già poter navigare sul Web ed utilizzare la posta elettronica.
REGOLARE L’ACCESSO AI SERVIZI INTERNET
Il firewall di base installato tramite RRAS è un firewall piuttosto limitato, in quanto non fa un controllo del traffico in uscita, per cui, dalla rete locale, è possibile compiere qualsiasi operazione verso l’esterno. Per limitare l’utilizzo dell’accesso ad Internet da parte degli utenti della rete locale, è possibile utilizzare alcuni filtri, disponibili sia sull’interfaccia di rete interna che sull’interfaccia di rete esterna. Ad esempio, è possibile impedire l’accesso allo scaricamento ed invio della posta elettronica, oppure, è possibile permettere solamente la navigazione Web e l’utilizzo della posta elettronica. Di seguito è possibile vedere un esempio pratico, in cui verrà consentito solamente l’accesso alla navigazione sul Web e sui siti HTTPS (quindi, porte TCP 80 e 443), e la ricezione e spedizione di messaggi di posta elettronica (porte TCP 110 e 25). Inoltre è necessario che la rete abbia l’accesso al servizio DNS per la risoluzione dei nomi di dominio, che va quindi abilitato (porta 53 TCP e UDP).
Per prima cosa, aprire lo snap-in di RRAS e quindi espandere la voce “IP Routing” e cliccare sulla voce “NAT/Basic Firewall”, come mostrato in figura 5:
Immagine Allegata
Figura 5
Fatto questo, cliccare col tasto destro sulla voce “Rete Esterna” e scegliere “Properties”, quindi, nella schermata presentata, cliccare su “Outbound filters”. Comparirà una finestra in cui vengono visualizzati i filtri inseriti e da cui è possibile inserire nuovi filtri. Inoltre, cosa molto importante, viene indicato al sistema se abilitare tutto il traffico tranne quello specificato nei filtri (opzione “Transmit all packets excepts those that meet the criteria below”) o se negare tutto il traffico tranne quello specificato nei filtri (opzione “Drop all packets excepts those that meet the criteria below”). In questo caso, selezionare l’opzione “Drop all packets excepts those that meet the criteria below”, in modo che siano abilitati solamente i protocolli specificati nei filtri. L’opzione sarà selezionabile solamente dopo aver inserito il primo filtro.
Per creare un nuovo filtro, cliccare sul pulsante “New”, comparirà una finestra in cui è possibile inserire la rete sorgente, la rete di destinazione, e il tipo di protocollo da bloccare o abilitare, identificato dal tipo di protocollo di trasporto e dalla relativa porta. Per abilitare il protocollo HTTP (cioè, in sostanza, la navigazione sul Web), impostare come indirizzo IP della rete sorgente (Source network) 192.168.1.2, ossia l’indirizzo dell’interfaccia di rete esterna del server 2003, mentre come subnet mask, impostare 255.255.255.255. Non è necessario specificare la rete di destinazione (Destination Network), in questo modo il filtro verrà applicato a tutti gli indirizzi IP del Web. Rimane da specificare il protocollo di trasporto e la porta del servizio HTTP: nell’elenco a discesa “Protocol”, scegliere la voce “TCP”, lasciare in bianco la porta sorgente (Source port) e mettere come porta destinazione (Destination port) il valore 80, come mostrato in figura 6:
Immagine Allegata
Figura 6
La stessa operazione è da ripetere per i protocolli da abilitare per permettere un minimo funzionamento dei servizi Internet indispensabili, cioè quelli indicati precedentemente, fino ad arrivare ad avere un elenco dei filtri uguale a quello mostrato in figura 7:
Immagine Allegata
Figura 7
CONCLUSIONI
Utilizzando il servizio NAT/Basic Firewall di RRAS su un server Windows 2003, è possibile, senza nessun software aggiuntivo, offrire un unico punto d’accesso ad Internet fruibile da tutti gli host che fanno parte di una rete locale, con inclusa una protezione perimetrale di base grazie al firewall integrato. Questa soluzione ha come vantaggi la relativa facilità di configurazione e l’economicità, ma presenta alcuni inconvenienti: ad esempio, quando si imposta la configurazione, questa vale per tutta la rete locale, e non è possibile fare configurazioni personalizzate per diverse categorie di utenti. Bloccando o non abilitando il servizio FTP, questo non sarà accessibile per nessun utente della rete, amministratore di rete compreso. Questo modo di procedere può quindi essere adatto a piccole aziende che non hanno esigenze particolari, in caso di esigenze più specifiche, è necessario rivolgere l’attenzione a software più evoluti, come ad esempio Microsoft ISA Server oppure, in caso si voglia utilizzare un prodotto open source,Smoothwall.