Reading Time: 4 minutes

Controllo degli accessi alla rete

Gli schemi di autenticazione e le funzioni crittografiche descritte nei precedenti articoli, sono utilizzati per implementare la funzione base della sicurezza logica: il controllo accessi alle risorse da parte degli utenti.

Il controllo accessi può essere effettuato a livello applicativo, nel momento in cui viene richiesto uno specifico servizio, o a livello di accesso all’infrastruttura condivisa (sistemi e rete).

L’accesso al sistema (sia che questo abbia luogo attraverso connessione locale o remota) viene regolato in maniera diversa a seconda che si tratti di accesso a una postazione di lavoro o a un host che agisce da server.

Nel primo caso il controllo dell’identità del richiedente è normalmente demandato a un controllore centrale, nel quale sono registrati tutti gli account utente abilitati; nel caso di accesso a un server è più frequente invece incontrare processi di autenticazione che vengono evasi localmente (tramite credenziali memorizzate nel server stesso).

Anche per l’utilizzo della rete, oggi viene comunemente richiesto il superamento di una procedura di autenticazione.

Storicamente il controllo accessi alla rete nasce per verificare il profilo del richiedente con gli accessi dial-up (che venivano attivati on demand dagli utenti per accedere alla rete aziendale tramite connessione telefonica o nel caso di accesso a Internet pubblica tramite ISP locali).

Più recentemente la stessa filosofia è stata estesa al controllo degli accessi punto-punto tramite altre tecnologie (per esempio ADSL).

Per questo motivo sono stati sviluppati gli schemi di autenticazione standard PAP/CHAP, che sono stati poi inclusi nel protocollo PPP.

Le soluzioni originali, per quanto non rappresentino più lo stato dell’arte in termini di robustezza e affidabilità, sono state comunque prese a modello per la realizzazione dei protocolli di autenticazione, autorizzazione e accounting più recenti.

PAP e CHAP sono stati quindi svincolati dall’uso del protocollo PPP e sono stati inglobati in altri protocolli di comunicazione.

È normale per gli utenti dover superare una preliminare fase di controllo accessi per l’uso di reti wireless aziendali o per accedere a hot-spot internet.

Sempre più spesso la stessa procedura deve essere superata dalla postazione di lavoro, prima di poter disporre di un accesso tramite rete cablata.

Lo stesso vale per regolare gli accessi logici alla rete tramite soluzioni VPN.

Conseguenza diretta della diffusione di tali soluzioni è la possibilità di:

  • monitorare chi è dentro la rete e cosa fa durante la finestra temporale in cui rimane connesso;
  • evitare che utenti non legittimi possano inviare pacchetti ostili sulla rete (magari usando tecniche di IP Spoofing) compromettendo la sicurezza degli altri utilizzatori dell’infrastruttura;
  • limitare le risorse accessibili su base personale (previo riconoscimento del singolo utente).

Superata con successo l’autenticazione, non solo viene assegnata la disponibilità del mezzo trasmissivo, ma vengono anche attribuiti alla stazione di lavoro tutti i parametri necessari per accedere alle risorse.

Il primo elemento indispensabile è l’attribuzione dell’indirizzo IP, che deve risultare conforme al piano di indirizzamento della rete di cui l’utente entra a far parte.

Se si desidera che il client possa comunicare con sistemi al di fuori della sua sottorete, è necessario anche passare al pc la machera di sottorete e almeno un default gateway.

In aggiunta a questi parametri possono essere assegnati anche gli indirizzi di server di rete validi (DNS server, WINS server per client di reti microsoft, TFTP per client diskless o telefoni IP).

Tutti questi parametri devono essere accettati dalla postazione client (eventualmente previa validazione della loro integrità), ma possono essere in parte sovrascritti dalle regole localmente stabilite dall’utente sulla sua macchina.

Un parametro come l’indirizzo IP può essere modificato da una singola componente software maliziosa operante sul client o essere alterato in maniera permanente dall’utente locale che possiede privilegi amministrativi sul proprio PC.

Una simile manipolazione consente a un utente autenticato di cambiare la propria identità sulla rete.

Per evitare che tali operazioni, condotte sulla stazione di lavoro, comportino gravi problemi di sicurezza agli altri sistemi connessi alla stessa infrastruttura, è possibile associare dinamicamente la porta fisica a cui è connesso l’utente a una specifica VLAN, in modo da realizzare una segregazione logica tra utenti e utenti, o tra utenti e server presenti sulla rete.

Nel caso di connessioni punto-punto la segregazione può essere realizzata attraverso l’attribuzione di regole restrittive (ACL) al routing dei pacchetti, sempre assegnate dinamicamente e su base personale.

In ambito LAN, il protocollo che sovrintende al passaggio dei parametri al client è il protocollo DHCP.

In ambito PPP invece le stesse funzioni sono demandate al protocollo IPCP.

L’attribuzione dinamica di VLAN e ACL è invece realizzata tramite l’interazione con un server RADIUS.

È bene sottolineare che il controllo di accesso alla rete (Network Access Control) viene talvolta confuso con il più ampio processo di Network Admission Control.

Il processo di admission control prevede, oltre alla validazione delle credenziali utente, anche la verifica dello stato in cui sitrovano le postazioni di lavoro che richiedono di accedere alla rete.

Il processo prevede il controllo della configurazione del sistema in modo da stabilire se, al momento della richiesta di accesso, il client è conforme alla Policy aziendale corrente.

Questo avviene tramite verifica della presenza di software di protezione adeguati, stato delle patch di sistema, rilevazione di eventuali modifiche nei pacchetti software installati mentre il sistema era fuori dalla rete.

In pratica il processo effettua un Assessment della workstation prima di lasciarla entrare nella rete.

Stabilire l’identità del richiedente nell’accesso è solo una delle cose da fare per assicurare la sicurezza della rete e degli utenti che la popolano.

error: Content is protected !!

La maggior parte dei contenuti del blog ComputerSec vengono pubblicati a beneficio di tutti e in modo completamente gratuito.
Tuttavia per supportare il blog, e per avere ulteriori vantaggi, puoi decidere di abbonarti e sfruttare al 100% tutti i contenuti!
Abbonati Ora!

Complimenti! Ti sei iscritto alla nostra Newsletter

C'è stato un errore durante l'invio della richiesta. Per favore riprova.

Computer Security will use the information you provide on this form to be in touch with you and to provide updates and marketing.