Nota Tecnica di Perle Systems

Sicurezza AAA per la gestione dei apparecchiature per il networking

Sicurezza AAA: Autenticazione, Autorizzazione, Accounting

Nelle grandi aziende vengono comunemente implementati sistemi di sicurezza distribuiti per proteggere le reti e i servizi di rete dagli accessi non autorizzati. Tali sistemi permettono di controllare chi può connettersi alla rete e quali operazioni tali utenti sono autorizzati a svolgere, oltre a tenere un registro di controllo delle singole attività utente.

I protocolli AAA (Autenticazione, Autorizzazione, Accounting), quali RADIUS (RFC 2865) e TACACS+, sviluppati da Cisco, sono stati creati proprio a tale scopo. L'architettura AAA garantisce agli utenti autorizzati il libero accesso alle risorse di rete, limitando al contempo l'accesso agli utenti privi di autorizzazione.

L'applicazione Secure ACS di Cisco, ad esempio, abilita la protezione AAA per l'accesso alla rete utilizzando il protocollo TACACS+ in molte grandi aziende.

Data ProtectionRichiedi preventivo Domande su prodotti?

Il controllo dell'accesso al piano di gestione in applicazioni per i Media Converter e Estensori Ethernet ad alta densità è di importanza cruciale. La sola implementazione di funzionalità di sicurezza basate semplicemente su ID utente/password garantite da alcuni fornitori non è sufficiente. Dovrebbero essere implementati solo i moduli di gestione che impiegano gli schemi di autorizzazione esistenti in azienda, quali TACACS+ o RADIUS. In tal modo, è realmente possibile attuare un controllo centralizzato di chi può accedere al modulo di gestione e del livello di autorizzazione necessario, oltre a tenere un registro di controllo.

Perle Systems vanta una solida esperienza nella fornitura di sistemi di accesso alla rete sicuri. La distribuzione di apparecchiature basate sui protocolli RADIUS e TACACS+ a migliaia di aziende nel corso degli anni ha dato a Perle la competenza necessaria per arrivare a offrire la migliore gestione un modulo di gestione per applicazioni di Switch Industriali, Media Converter e Estensori Ethernet di livello superiore. Le soluzioni Perle non hanno rivali sul mercato.

Prendiamo in esame nel dettaglio i vari elementi che vanno a comporre lo schema di sicurezza AAA.

Autenticazione

Gli schemi basati su ID utente/password forniscono agli apparati di rete un livello di sicurezza "primitivo". Viene configurato un numero limitato di ID account da gestire su ogni singolo elemento hardware. Ogni volta che un account viene aggiunto, eliminato o modificato, è necessario accedere a ogni singolo sistema, con conseguenti costi e potenzialità di errore. Inoltre, ogni utente deve ricordare il proprio ID e la propria password per poter accedere. La necessità di gestire un numero elevato di ID e password rischia di mettere in difficoltà gli utenti proprio nel momento in cui hanno la massima urgenza di accedere alla rete. Inoltre, poiché ID e password vengono inviati attraverso la rete "in chiaro", semplici apparecchiature di tracciatura sono in grado di catturare tali informazioni esponendo la rete a seri rischi di sicurezza.

Impiegando il sistema AAA esistente con i Media Converter e Estensori Ethernet, questi problemi sono eliminati. ID e password vengono centralizzati e gli account esistenti possono essere utilizzati per l'accesso. L'impiego di procedure di aggiornamento degli account già esistenti consente di eliminare gli errori e di ridurre la frustrazione degli utenti. ID e password vengono inoltre criptati mediante un collaudato algoritmo di hashing, salvaguardando in tal modo gli account da occhi indiscreti.

I Switch Industriali di Perle con il set di funzionalità Software PRO supportano TACACS+ and RADIUS, gli schemi di autenticazione standard più comuni.

Media Converter e Estensori Ethernet Managed di Perle supportano schemi di autenticazione standard aggiuntivi tutti gli schemi di autenticazione standard, quali:

  • LDAP
  • Active Directory via LDAP
  • Kerberos
  • NIS
  • RSA’s Secure ID token authentication

Per garantire l'accesso, è inoltre possibile configurare server di autenticazione principali e secondari ridondanti, da mescolare e accoppiare tra tipi di server differenti.

Autorizzazione

Una volta autenticato l'utente, il tipo di autorizzazione in suo possesso indica quali risorse gli sono accessibili e quali operazioni può eseguire. I Media Converter i Estensori Ethernet Managed di Perle offre un profilo utente completo di tipo "Amministratore" con un livello di accesso di lettura/scrittura e un profilo utente di tipo "Operatore" con accesso di sola lettura. Tali livelli possono essere configurati e controllati dal server di autenticazione. Poiché il processo è gestito a centralmente, si eliminano i problemi legati alla modifica dei singoli account.

Accounting

Per la gestione della contabilità, i server AAA offrono un registro di controllo che premette di calcolare quanto tempo ogni utente rimane connesso, come ha eseguito la connessione e quale indirizzo IP ha utilizzato. Ciò consente agli amministratori di rivedere facilmente precedenti problemi di sicurezza e di accesso verificatisi.

Leggete ulteriori informazioni sul Switch Industriali Managed, Media Converter Managed e Estensore Ethernet Managed di Perle.

Torna su