Reading Time: 4 minutes

Autenticazione degli Utenti

Garantire l’accesso ai sistemi informativi aziendali, in ogni condizione, è ormai un’esigenza di business molto diffusa.

Questo si traduce nella necessità di predisporre soluzioni generali che consentano l’accesso in sicurezza alle risorse interne da parte di utenti legittimi, indipendentemente dal tipo di collegamento di cui la workstation dispone.

Con il proliferare di PC portatili, uno stesso utente di volta in volta può disporre di collegamenti LAN switched o wireless, collegamenti telefonici dial-up o di una comune connessione a Internet pubblica.

Indipendentemente dalla numerosità di soluzioni di accesso alternative che l’organizzazione intende adottare, l’approccio generale è cercare di implementare uno stesso livello di controllo accessi valido per tutte le tecnologie.

Ciò semplifica il mantenimento della policy di sicurezza aziendale e consente di creare un perimetro di protezione uniforme, attorno ai sistemi critici attestati alla rete locale.

In questo scenario il primo obiettivo è stabilire, attraverso una soluzione di autenticazione robusta, l’identità dell’utente richiedente l’accesso alla rete.

Per evitare di implementare una soluzione di protezione non omogenea, è indispensabile controllare ogni forma di accesso alla rete, non limitandosi, come invece accadeva in passato, a stabilire l’identità del soggetto richiedente per il solo servizio di connessione dial-up.

Una volta stabilita l’identità del richiedente è possibile regolare in maniera precisa i diritti di accesso alle risorse per ciascun soggetto legittimo.

Oltre alla possibilità di limitare la raggiungibilità degli host aziendali tramite assegnazione di regole di controllo organizzate in ACL (Access Control List), si possono passare dinamicamente all’utente altre impostazioni, determinanti per regolare l’accesso alla rete (VLAN di appartenenza, indirizzo IP e una opportuna lista di server cui richiedere specifici servizi di supporto, DNS, TFTP ecc.)

Le regole restrittive (ACL) possono essere impostate sui dispositivi di rete (router, switch, terminatori VPN) a cui le stazioni utente sono fisicamente o logicamente connesse, senza richiedere la partecipazione attiva della piattaforma client e sono difficilmente aggirabili da un soggetto ostile.

Alcuni degli altri parametri passati al client (per esempio l’indirizzo IP del client stesso o del server DNS) possono essere invece modificati e/o ignorati facilmente.

Per evitare sgradite sorprese, pertanto non è corretto considerare tali parametri come misura di protezione, ma piuttosto è preferibile pensarli più realisticamente come parte della procedura di configurazione della stazione locale.

L’efficacia e la versatilità delle tecniche di controllo basate su ACL, viene descritta in dettaglio negli altri articoli del blog.

L’assegnazione dei parametri alla stazione client verrà esaminata al momento della descrizione dei protocolli DHCP e IPCP e le problematiche relative all’autenticazione e all’accounting degli utenti che richiedono accesso alla rete saranno anch’esse descritte in altri articoli.

Il modello di riferimento per l’autenticazione alla rete è oggi rappresentato dallo standard IEEE 802.1X (Port Based Network Access Control) che fa parte dei protocolli emessi dal gruppo di lavoro IEEE 802 e non definisce un singolo schema di autenticazione, ma piuttosto descrive un “framework” attraverso il quale è possibile regolare l’accesso alla rete, in accordo a numerosi schemi di autenticazione alternativi.

Secondo tale modello generale i partecipanti al processo di autenticazione, distinti per ruoli, sono i seguenti:

  • Supplicant;
  • Authenticator;
  • Authentication Server.

Il client che richiede l’accesso alla rete è denominato Supplicant.

L’apparato di rete che è chiamato ad assegnare una porta di accesso al client ricopre invece il ruolo di Authenticator.

È compito dell’Authenticator sollecitare l’invio delle credenziali da parte del Supplicant in accordo allo schema di autenticazione prescelto.

La richiesta di informazioni sull’identità del richiedente viene inviata al client in accordo al protocollo EAP (Extensible Authentication Protocol).

Normalmente la verifica delle credenziali avviene tramite la comunicazione tra Authenticator e una terza componente che svolge il ruolo di Authentication Server (AAA Server).

In alcuni casi la fase di autenticazione può essere completata autonomamente dall’Authenticator, tramite validazione locale delle credenziali memorizzate direttamente sull’apparato di rete.

Questa soluzione trova limitata diffusione es è soggetta a tutte le consuete limitazioni in fatto di scalabilità ed efficacia, al crescere del numero di dispositivi alternativi utilizzabili per accedere alla rete aziendale.

L’evento che attiva l’invio della richiesta di credenziali al Supplicant da parte dell’Authenticator (EAP-Request/Identity) dipende dalla natura del collegamento che si intende instaurare.

Nel caso di connessione di una postazione di lavoro a uno switch locale tramite collegamento fisico in rame, l’invio della EAP Request/Identity è sollecitata dalla transizione dello stato fisico della interfaccia a cui il client è direttamente connesso (da DOWN a UP).

Per consentire l’autenticazione di un Supplicant anche nel caso di uso di interfacce fisiche condivise (come per esempio nel caso dell’interfaccia radio di un Access Point wireless) il Supplicant può avviare lo schema EAP con l’invio di uno specifico messaggio di start (EAPoL-Start).

L’invio e la ricezione di messaggi EAP avviene su una porta logica “dedicata” dell’Authenticator.

Fintanto che il Supplicant non ha completato l’autenticazione, nessun messaggio diverso da EAP può essere scambiato con il dispositivo di rete.

L’interfaccia attraverso la quale il client è connesso al dispositivo mantiene pertanto due distinte porte logiche (denominate path): una porta uncontrolled usata per lo scambio di messaggi EAP e subito disponibile, e una porta controlled attivata solo al termine della fase di autenticazione.

error: Content is protected !!

Complimenti! Ti sei iscritto alla nostra Newsletter

C'è stato un errore durante l'invio della richiesta. Per favore riprova.

Computer Security will use the information you provide on this form to be in touch with you and to provide updates and marketing.