- Responsabili
-
Sartori Andrea
- Data inizio
- 01/01/14
- Durata (mesi)
- 12
Descrizione
L’utilizzo di un server AAA (Authentication, Authorization and Accounting) permette di gestire gli accessi ed il controllo centralizzato per una gamma molto ampia di servizi; utilizzando un database locale, gli account degli utenti dovrebbero essere configurati localmente su ogni dispositivo, esponendolo al rischio di perdita di confidenzialità, oltre a non garantire la possibilità di sincronizzare le credenziali ed a non fornire alcun metodo di autenticazione alternativo, utile se ad esempio l'utente dimentica il nome utente e/o la password.
L’infrastruttura AAA rappresenta invece una modalità di accesso sicura e scalabile con cui vengono registrate le azioni eseguite dagli utenti, a quali risorse si è potuto accedere, la quantità di tempo trascorsa su queste risorse e le eventuali modifiche apportate.
I protocolli di autenticazione più usati sono TACACS+ (Terminal Access Control Access Control Server) e RADIUS (Remote Dial-in User Services): nonostante entrambi i protocolli possano essere utilizzati per la comunicazione tra client e server AAA e TACACS+ sia considerato più sicuro, RADIUS è preferito perché supporta funzionalità di authorization ed accounting molto dettagliate, necessarie per il troubleshooting e per il logging degli accessi.
L’infrastruttura AAA di Ateneo è al momento composta da 3 server Cisco Secure Access Control System 5.5 (due hardware appliances ed un server virtualizzato) e un server Linux che svolge la funzione di RADIUS proxy per l’infrastruttura di autenticazione della federazione Eduroam
Cisco ACS per l’autenticazione è connesso al database Active Directory, sincronizzato al sistema di identità GIA: fornisce i servizi AAA per la rete wireless, la rete cablata in modalità 802.1x, la connessione SSLVPN, VPN Global Protect, la federazione eduroam, il captive portal di autenticazione, la console della suite Cisco Prime Infrastructure, la console di gestione di DHCP, DNS, IPAM.
La piattaforma Cisco ACS è ormai giunta alla conclusione del suo ciclo di vita; in sua vece è disponibile la piattaforma Cisco ISE, che consente una raccolta di informazioni più dettagliate su tutte le fasi di AAA, un sistema di HA più evoluto in confronto a Cisco ACS, una sistema di reportistica più completo e preciso, oltre a prevedere la possibilità di adottare strumenti di posture assessment.
Evoluzione prevista
Gli apparati attuali sono prossimi alla dismissione essendo previsto un EOS (End of Sale) entro l’anno: trattandosi di un sistema molto complesso, la migrazione dei servizi sulla nuova piattaforma di autenticazione avverrà in modo graduale.
Occorrerà inoltre prevedere il trasferimento delle funzionalità di RADIUS proxy attualmente svolte da FREERADIUS sulla infrastruttura Cisco ISE, coordinando le operazioni di migrazione con il Consortium GARR.
