Sicurezza AAA per la gestione dei apparecchiature per il networking
Autenticazione, Autorizzazione, Accounting
Nelle grandi aziende vengono comunemente implementati sistemi di sicurezza distribuiti per proteggere le reti e i servizi di rete dagli accessi non autorizzati. Tali sistemi permettono di controllare chi può connettersi alla rete e quali operazioni tali utenti sono autorizzati a svolgere, oltre a tenere un registro di controllo delle singole attività utente.
I protocolli AAA (Autenticazione, Autorizzazione, Accounting), quali RADIUS (RFC 2865) e TACACS+, sviluppati da Cisco, sono stati creati proprio a tale scopo. L'architettura AAA garantisce agli utenti autorizzati il libero accesso alle risorse di rete, limitando al contempo l'accesso agli utenti privi di autorizzazione.
Cisco’s Secure ACS application, for example, enables AAA protection for network access using the TACACS+ protocol in many large corporate enterprises today. Let us examine the elements in a AAA security scheme.
Autenticazione
User ID / password schemes on network gear provide a primitive level of security. A limited number of account IDs are configured and managed on each piece of hardware. Anytime an account is added, deleted, or changed, each system must be accessed individually which is costly and creates opportunities for error. In addition, each user has to remember their own ID and password to gain access. With users being overwhelmed with various IDs and passwords in their lives, this can pose a problem. And, since IDs and passwords are sent across the network in the clear, simple tracing equipment will easily capture this information and expose the network to a security risk.
Utilizzando un sistema AAA questi problemi vengono eliminati. ID e password sono tutti centralizzati e gli account esistenti possono essere utilizzati per accedere alle nuove apparecchiature mentre la rete cambia o cresce. I processi per aggiornare account già esistenti eliminano gli errori e la frustrazione per gli utenti. ID e password sono crittografati utilizzando un algoritmo di hashing comprovato. Pertanto, gli account saranno protetti da occhi indiscreti.
Per garantire l'accesso, possono anche essere configurati server di autenticazione primario e secondario ridondanti, combinati e adattati tra diverse tipologie di server.
Autorizzazione
In seguito all'autenticazione dell'utente, l'autorizzazione indica a quali risorse l'utente può accedere e quali operazioni può svolgere. I profili utente di "amministrazione" completi a livello di scrittura/lettura, oltre a quello "operatore" di sola lettura, sono configurabili e controllabili dal server di autenticazione. Questo processo centralizzato elimina le problematiche legate alla modifica puntuale.
Accounting
Dal punto di vista della rendicontazione, i server AAA offrono un audit trail su come ogni utente ha effettuato una connessione, da quali indirizzi IP proviene e quanto è rimasto connesso. In questo modo, gli amministratori possono rivedere facilmente la sicurezza precedente e le problematiche di accesso operative.