AAA

AAA

Con autenticazione di un punto terminale (o end-point authentication) si intende il processo attraverso il quale una entità prova la sua identità a un’altra entità su una rete di calcolatori. Così come:

  • riconosciamo il viso di un amico quando lo incontriamo
  • la sua voce quando ci telefona,
  • ci identifichiamo a un pubblico ufficiale tramite la carta d’identità.

Consideriamo come un’entità possa autenticarne un’altra mentre è in atto una comunicazione in rete. L’autenticazione deve basarsi unicamente sullo scambio di messaggi o di dati come parte di un protocollo di autenticazione. Generalmente, questo dovrebbe intervenire prima che le due parti eseguano qualsiasi altro protocollo. Soltanto dopo che è stata comprovata l’identità delle parti, queste possono iniziare a lavorare. Nel dettaglio all’autenticazione dell’utente sono associate tre diverse problematiche:

autenticazione autenticazione: risponde alla domanda “come mi accerto che sei tu?”, il cui scopo è quello di verificare l’identità di chi intende utilizzare il sistema e che questa corrisponda a un utente autorizzato. L’autenticazione è diversa dall’identificazione (la determinazione che un individuo sia conosciuto o meno dal sistema)
autorizzazione: risponde alla domanda “cosa posso fare?”, e in genere è la parte più complessa dei servizi di sicurezza dato che sono molti i modelli di realizzazione che devono integrarsi con le politiche aziendali e le concezioni delle metodologie applicate. Lo schema classico di controllo degli accessi è quello chiamato Discrectionary Access Control o DAC, dove viene definito il proprietario di un dato ed è lui a decidere quale tipo di accesso gli altri utenti possono avere dello stesso.

accounting: ci si riferisce a tutte le azioni che tracciano ovvero registrano, misurano e documentano le risorse concesse ad un utente durante un accesso ad un sistema informatico.

      • L’espressione

AAA 

      • non si riferisce ad un

protocollo 

    • in particolare, ma ad una famiglia di protocolli che, anche in modi diversi ovvero con implementazioni diverse, offrono i servizi citati.
  • RADIUS
  • DIAMETER
  • TACACS
  • TACACS+

Il modello è costituito da tre entità:

  1. il client che effettua la richiesta
  2. il server AAA che autorizza,
  3. Il NAS che rappresenta chi offre il servizio.

Esistono tre sequenze di autorizzazione, che variano in funzione di chi tra AAA server e NAS deve rispondere al client. La sequenza agent prevede che il client inoltri la sua richiesta al server AAA che a sua volta accede alla risorsa offerta dal NAS per poi restituire il responso al client.

La sequenza pull prevede che il client comunichi direttamente con il NAS che a sua chiederà l’autenticazione dell’utente al server AAA

La sequenza push prevede che il client si autentichi sul server AAA. Se l’autenticazione ha esito positivo gli viene restituito un token, che sarà utilizzato in un secondo passaggio dal client per comunicare direttamente con il NAS.

La sequenza generalmente più usata è la pull, anche se ha lo svantaggio di far transitare le informazioni di autenticazione sul NAS. Un NAS mal configurato o violato potrebbe costituire una grossa falla in un sistema di autenticazione e le informazioni prelevate potrebbero essere utilizzate indebitamente da terzi.

Please follow and like us:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Commenti recenti

Working Hours

  • Monday9am - 6pm
  • Tuesday9am - 6pm
  • Wednesday9am - 6pm
  • Thursday9am - 6pm
  • Friday9am - 6pm
  • SaturdayClosed
  • SundayClosed
Latest Posts

Teachers

Facebook
Twitter
LinkedIn
Contatti

Commenti recenti

Wordpress Social Share Plugin powered by Ultimatelysocial
error

Enjoy this blog? Please spread the word :)

%d blogger hanno fatto clic su Mi Piace per questo: