AAA

Con autenticazione di un punto terminale (o end-point authentication) si intende il processo attraverso il quale una entità prova la sua identità a un’altra entità su una rete di calcolatori. Così come:

  • riconosciamo il viso di un amico quando lo incontriamo
  • la sua voce quando ci telefona,
  • ci identifichiamo a un pubblico ufficiale tramite la carta d’identità.

Consideriamo come un’entità possa autenticarne un’altra mentre è in atto una comunicazione in rete. L’autenticazione deve basarsi unicamente sullo scambio di messaggi o di dati come parte di un protocollo di autenticazione. Generalmente, questo dovrebbe intervenire prima che le due parti eseguano qualsiasi altro protocollo. Soltanto dopo che è stata comprovata l’identità delle parti, queste possono iniziare a lavorare. Nel dettaglio all’autenticazione dell’utente sono associate tre diverse problematiche:

autenticazione autenticazione: risponde alla domanda “come mi accerto che sei tu?”, il cui scopo è quello di verificare l’identità di chi intende utilizzare il sistema e che questa corrisponda a un utente autorizzato. L’autenticazione è diversa dall’identificazione (la determinazione che un individuo sia conosciuto o meno dal sistema)
autorizzazione: risponde alla domanda “cosa posso fare?”, e in genere è la parte più complessa dei servizi di sicurezza dato che sono molti i modelli di realizzazione che devono integrarsi con le politiche aziendali e le concezioni delle metodologie applicate. Lo schema classico di controllo degli accessi è quello chiamato Discrectionary Access Control o DAC, dove viene definito il proprietario di un dato ed è lui a decidere quale tipo di accesso gli altri utenti possono avere dello stesso.
accounting: ci si riferisce a tutte le azioni che tracciano ovvero registrano, misurano e documentano le risorse concesse ad un utente durante un accesso ad un sistema informatico.

        L’espressione

AAA 

        non si riferisce ad un

protocollo 

    • in particolare, ma ad una famiglia di protocolli che, anche in modi diversi ovvero con implementazioni diverse, offrono i servizi citati.
  • RADIUS
  • DIAMETER
  • TACACS
  • TACACS+

Il modello è costituito da tre entità:

  1. il client che effettua la richiesta
  2. il server AAA che autorizza,
  3. Il NAS che rappresenta chi offre il servizio.

Esistono tre sequenze di autorizzazione, che variano in funzione di chi tra AAA server e NAS deve rispondere al client. La sequenza agent prevede che il client inoltri la sua richiesta al server AAA che a sua volta accede alla risorsa offerta dal NAS per poi restituire il responso al client.

 
La sequenza pull prevede che il client comunichi direttamente con il NAS che a sua chiederà l’autenticazione dell’utente al server AAA
 

 
La sequenza push prevede che il client si autentichi sul server AAA. Se l’autenticazione ha esito positivo gli viene restituito un token, che sarà utilizzato in un secondo passaggio dal client per comunicare direttamente con il NAS.
 

La sequenza generalmente più usata è la pull, anche se ha lo svantaggio di far transitare le informazioni di autenticazione sul NAS. Un NAS mal configurato o violato potrebbe costituire una grossa falla in un sistema di autenticazione e le informazioni prelevate potrebbero essere utilizzate indebitamente da terzi.
 

Leave a Reply


Latest Posts

AAA