Quando si tratta di proteggere la rete, l’autenticazione AAA e 802.1X sono due potenti strumenti che possiamo utilizzare. Lascia che ti mostri un esempio perché potresti volerlo per i tuoi switches:
Gli utenti della rete potrebbero portare il proprio router wireless da casa e collegarlo allo switch in modo da poter condividere Internet wireless con tutti i colleghi. Un punto di accesso come questo è chiamato punto di accesso non autorizzato e questo è qualcosa che NON vuoi vedere sulla tua rete. È difficile da rilevare perché sullo switch vedrai solo un indirizzo MAC. Il router sta facendo NAT, quindi vedrai solo un indirizzo IP, questo è qualcosa che non puoi impedire con la sicurezza della porta .
Un modo per affrontare problemi come questo è usare AAA .
AAA sta per authentication , authorization e accounting :
- Authentication: verifica l’identità dell’utente, chi sei?
- Authorization: cosa può fare l’utente? a quali risorse può accedere?
- Accounting: utilizzata per la fatturazione e il controllo.
L’idea alla base di AAA è che un utente deve autenticarsi prima di ottenere l’accesso alla rete. L’interfaccia fa0 / 1 su SW1 verrà bloccata e non riceverai nemmeno un indirizzo IP. L’unica cosa che l’utente può fare è inviare le proprie credenziali che verranno inoltrate al server AAA. Se le tue credenziali sono a posto, la porta verrà sbloccata e ti verrà concesso l’accesso alla rete.
802.1X è il meccanismo che bloccherà o sbloccherà l’interfaccia. Si chiama controllo basato sulle porte. Nella foto sopra un utente sconosciuto ha collegato un cavo allo switch.
Tutto il traffico viene interrotto ad eccezione di EAPoL ( Extensible Authentication Protocol over LAN). EAP è ciò che utilizziamo per scambiare le informazioni di autenticazione. Una volta che l’utente si è autenticato e tutto è a posto, le viene concesso l’accesso alla rete.
Nell’immagine sopra puoi vedere la terminologia utilizzata da 802.1X. Il dispositivo dell’utente è chiamato supplicant ; “fornisce” informazioni di autenticazione. Lo switch è chiamato autenticatore perché accetta le informazioni di autenticazione e le trasmette al server di autenticazione . Le informazioni sull’utente vengono memorizzate sul server di autenticazione.
Esistono due tipi di server di autenticazione:
- RADIUS
- TACACS +
Il server di autenticazione più comune è RADIUS (Remote Authentication Dial In User Service). È un protocollo standardizzato da IETF. TACACS + (Terminal Access Controller Access-Control System) fa un lavoro simile ma è proprietario di Cisco.
Esistono molti server RADIUS diversi che puoi utilizzare, ad esempio:
- Cisco ACS (software server RADIUS e TACACS + di Cisco)
- Microsoft IAS (puoi installarlo su Windows server 2003 o 2008).
- Freeradius (molto potente e gratuito)
- Integrato nei dispositivi di rete (il controller LAN wireless di Cisco dispone, ad esempio, del software server RADIUS).
Ora hai un’idea di quali siano i componenti in una configurazione di autenticazione AAA 802.1X. Nella prossima lezione  ti fornirò un esempio di configurazione su come implementarlo su uno switch Cisco Catalyst.
About Author
