In una grossa azienza le operazioni legate alla sicurezza sono
impegnative. Infatti molte volte dipendenti e clienti hanno il bisogno di accedere
alle informazioni e si collegano ai computer dell'azienda pressochè dovunque.
Occorre un considerevole sforzo amministrativo per gestire i collegamenti seriali
diretti e i modem condivisi. Da non dimenticare che tutte queste fonti devono
essere effettuate in accordo con le politiche di sicurezza aziendali, e qui
però sergono delle domande precise: Come puo avvenire questo? Occorre un server
di autenticazione per ognuno dei siti dell'azienda stessa? e, in questo caso
chi gestisce questi server e come vengono coordinate le loro attività? Oppure
l'organizzazione deve utilizzare un solo server centrale per ridurre il lavoro
di coordinamento? Bene per venire incontro alle necessità delle organizzazioni
di realizzare un sistema integrato per la gestione della sicurezza aziendale,
Internet Network Working Group ha pubblicato la RFC 2138, Remote Authentification
Dial-In Iser Service (RADIUS), la specifica spiega le procedure per la realizzazione
di un server di autentificaficazione, contenente un database centrale per l'indentificazione
degli account e per le informazioni necessarie all'autenticazione degli stessi.
Una cosa molto importante del RADIUS è di permettere al sever di comunicare
con altri server basati sullo stesso protocollo o no. In questo modo il server
RADIUS funge da client proxy per gli altri server. La specifica definisce anche
come supportare le operazioni specifiche di un utente, quali PPP, rlogin, TELNET
eccetera.
Configurazione di RADIUS
Nella modalità client server, l'utente comunica con il server
NAS (Network Access Server) e, a sua volta il server NAS funge da client per
il server RADIUS. I server NAS è RADIUS comunicano fra loro attravrso una rete
o un protocollo punto a punto. Come detto in precedenza una delle caratteristiche
del RADIUS è quella di poter comunicare con gli altri server, basati o no sullo
stesso protocollo. L'idea di base è quella di poter disporre di un magazzino
centrale delle informazioni per l'autenticazione. All'utente viene chiesto di
fornire al server NAS le informazioni per l'autenticazione, quali username,
password o un pacchetto PPP per l'autenticazione. A questo punto il client (NAS)
può accedere a RADIUS, creando un messaggio di richiesta di accesso (Request
Access) e inviandolo al nodo RADIUS (server). Questo messaggio contiene informazioni
sull'utente chiamate attributi. Gli attributi sono definiti da system manager
di RADIUS e possono pertanto variare. Per esempio a password dell'utente, la
ID, la porta i destinazione, la client ID eccetera. Se il campo attributi contiene
informazioni di rilievo, deve essere protetto dall'algoritmo MD5. Inoltre tutte
le transazioni fra client e server RADIUS devono essere autenticate usando un
segreto condiviso e tutte le passowrd scambiate fra le due periferiche devono
essere crittografate.
Pagina: 1/4
Pagina di stampa
