WEBVTT 00:00.090 --> 00:00.930 Istruttore: In questa 00:00.930 --> 00:03.360 lezione parleremo dei server AAA, acronimo di 00:03.360 --> 00:06.210 Autenticazione, Autorizzazione e Contabilità, e per 00:06.210 --> 00:09.000 comprendere i server AAA, la prima cosa da fare è capire 00:09.000 --> 00:12.327 come funziona l'802. 1X funziona come struttura. 00:12.327 --> 00:15.240 Istruttore: 802. 1X è un framework standardizzato 00:15.240 --> 00:17.040 utilizzato per l'autenticazione basata 00:17.040 --> 00:19.650 sulle porte su reti cablate e wireless. 00:19.650 --> 00:22.800 Ora, poiché l'802. 1X è solo la struttura, ma in realtà 00:22.800 --> 00:24.840 utilizzerà altri meccanismi per eseguire 00:24.840 --> 00:27.210 l'autenticazione vera e propria. 00:27.210 --> 00:28.140 Ad esempio, sia il Remote 00:28.140 --> 00:30.690 Authentication Dial-In User Service, noto come RADIUS, 00:30.690 --> 00:31.800 sia il Terminal Access Controller 00:31.800 --> 00:33.510 Access-Control System Plus, o TACACS+, 00:33.510 --> 00:36.510 possono essere utilizzati per condurre l'autenticazione utilizzando 00:36.510 --> 00:41.700 il protocollo 802. 00:41.700 --> 00:41.700 Protocollo 1X. 00:41.700 --> 00:43.410 Sono tre i ruoli richiesti per l'autenticazione 00:43.410 --> 00:46.920 in base all'802. 1X. 00:46.920 --> 00:49.830 Il primo è il supplicant, ovvero il dispositivo o l'utente 00:49.830 --> 00:51.660 che richiede l'accesso alla rete, 00:51.660 --> 00:54.030 come il PC1 in questa immagine. 00:54.030 --> 00:56.430 Poi c'è l'autenticatore, che è il dispositivo attraverso 00:56.430 --> 00:58.080 il quale il supplicante cerca di accedere 00:58.080 --> 00:59.370 alla rete. 00:59.370 --> 01:01.620 Di solito si tratta di qualcosa come uno switch, 01:01.620 --> 01:04.860 un punto di accesso wireless o un concentratore VPN. 01:04.860 --> 01:07.230 Infine, c'è il server di autenticazione, 01:07.230 --> 01:08.760 che sarà il dispositivo centralizzato 01:08.760 --> 01:10.350 che esegue l'autenticazione, 01:10.350 --> 01:11.970 di solito il server RADIUS o 01:11.970 --> 01:13.920 TACACS+. 01:13.920 --> 01:16.230 L'autenticazione avviene quando l'identità di 01:16.230 --> 01:19.500 una persona viene stabilita con una prova e confermata dal sistema. 01:19.500 --> 01:21.180 Lo fate ogni giorno. 01:21.180 --> 01:23.850 In effetti, lo avete fatto quando avete effettuato l'accesso a questo corso. 01:23.850 --> 01:26.340 Quando avete inserito il vostro indirizzo e-mail e la vostra 01:26.340 --> 01:28.380 password, avete dichiarato di essere lo studente 01:28.380 --> 01:30.660 che ha pagato per questo corso e, così facendo, siete stati 01:30.660 --> 01:33.150 controllati dal sistema e vi è stato concesso l'accesso. 01:33.150 --> 01:36.330 Ora, ci sono diversi modi per autenticare la propria identità. 01:36.330 --> 01:38.700 Nel mondo reale, ad esempio, se un agente di polizia 01:38.700 --> 01:40.380 vi ferma per eccesso di velocità, 01:40.380 --> 01:42.000 potete tirare fuori la vostra patente 01:42.000 --> 01:43.860 di guida e mostrare che siete voi e che 01:43.860 --> 01:45.780 siete chi dite di essere. 01:45.780 --> 01:47.220 Questa è la vostra prova. 01:47.220 --> 01:48.600 Ora, nel mondo digitale, 01:48.600 --> 01:51.000 abbiamo cinque metodi di autenticazione. 01:51.000 --> 01:52.800 Abbiamo qualcosa che conoscete, come 01:52.800 --> 01:55.050 una password o un nome utente, abbiamo qualcosa 01:55.050 --> 01:57.150 che siete, come l'impronta digitale o la 01:57.150 --> 02:00.390 scansione dell'occhio o della retina, abbiamo qualcosa che avete, 02:00.390 --> 02:02.280 come un token, una patente di guida o una 02:02.280 --> 02:05.430 carta di credito, potrebbe essere qualcosa che fate, come il 02:05.430 --> 02:07.410 modo in cui parlate o il modo in cui firmate 02:07.410 --> 02:10.020 il vostro nome, e può essere un luogo in cui vi trovate, 02:10.020 --> 02:12.540 che conosciamo come fattore di localizzazione basato 02:12.540 --> 02:15.930 sulla vostra posizione GPS. 02:15.930 --> 02:19.080 LDAP è il protocollo di accesso alle directory leggere. 02:19.080 --> 02:21.630 Si tratta di un database utilizzato per centralizzare 02:21.630 --> 02:24.510 le informazioni sui client e sugli oggetti della rete. 02:24.510 --> 02:28.050 LDAP è sostanzialmente una versione semplificata di X. 500, che è un servizio di directory 02:28.050 --> 02:29.490 e contiene un'organizzazione 02:29.490 --> 02:32.460 gerarchica di utenti, gruppi, server e sistemi 02:32.460 --> 02:36.360 all'interno della rete. 02:36.360 --> 02:39.000 LDAP comunica sulla porta 389 quando 02:39.000 --> 02:41.400 non è criptato, mentre se si decide 02:41.400 --> 02:46.290 di crittografarlo usando SSL o TLS, userà la porta 636. 02:46.290 --> 02:48.960 Ora, mentre LDAP è considerato multipiattaforma, 02:48.960 --> 02:51.390 Microsoft ha creato la propria implementazione, 02:51.390 --> 02:54.060 nota come AD o Active Directory. 02:54.060 --> 02:56.370 Nel dominio Windows, Active Directory viene utilizzato 02:56.370 --> 02:58.710 per organizzare e gestire tutto ciò che si trova 02:58.710 --> 03:00.570 sulla rete, compresi client, server, 03:00.570 --> 03:02.730 dispositivi, utenti e gruppi. 03:02.730 --> 03:04.650 Ora, Active Directory può essere utilizzato anche 03:04.650 --> 03:07.410 come parte dei criteri di sicurezza o del controllo degli accessi attraverso 03:07.410 --> 03:08.883 i criteri di gruppo. 03:09.990 --> 03:13.770 RADIUS è il Remote Authentication Dial-In User Service. 03:13.770 --> 03:17.130 Fornisce l'amministrazione centralizzata dell'autenticazione dial-up, VPN 03:17.130 --> 03:18.750 e wireless, in modo da poterla utilizzare 03:18.750 --> 03:21.660 con entrambi i sistemi 802. 1X e l'Extensible 03:21.660 --> 03:25.350 Authentication Protocol, o EAP. 03:25.350 --> 03:27.870 RADIUS è un protocollo client-server che funziona 03:27.870 --> 03:29.940 sul settimo livello del modello OSI, il livello 03:29.940 --> 03:31.470 delle applicazioni. 03:31.470 --> 03:34.470 RADIUS è solitamente configurato per essere eseguito su un server 03:34.470 --> 03:36.810 separato, ma può anche essere caricato su un server 03:36.810 --> 03:38.880 Windows in ambienti di dominio più piccoli. 03:38.880 --> 03:40.950 RADIUS viene utilizzato per autenticare gli utenti, 03:40.950 --> 03:42.390 autorizzarli all'accesso ai servizi 03:42.390 --> 03:44.970 e contabilizzare il loro utilizzo di tali servizi. 03:44.970 --> 03:48.120 RADIUS utilizza anche UDP per le sue connessioni, il che lo rende 03:48.120 --> 03:49.470 abbastanza veloce durante 03:49.470 --> 03:52.380 le sue funzioni di autenticazione e autorizzazione. 03:52.380 --> 03:55.140 Ora, mentre RADIUS è uno standard multipiattaforma, 03:55.140 --> 03:58.590 esiste un protocollo proprietario di Cisco chiamato TACACS+. 03:58.590 --> 04:00.300 Si tratta del Terminal Access Controller 04:00.300 --> 04:03.060 Access-Control System Plus, in grado di svolgere il ruolo di autenticatore 04:03.060 --> 04:06.300 in un sistema 802. Rete 1X. 04:06.300 --> 04:08.640 Ora sta a voi stabilire quale sia il migliore per le esigenze 04:08.640 --> 04:10.500 della vostra organizzazione. 04:10.500 --> 04:12.810 Personalmente, ho utilizzato RADIUS quasi esclusivamente 04:12.810 --> 04:14.370 all'interno delle mie organizzazioni. 04:14.370 --> 04:17.490 Ho scoperto che TACACS+ è un po' più lento da utilizzare 04:17.490 --> 04:20.100 perché si basa su TCP invece che su UDP, ma TACACS+ 04:20.100 --> 04:22.620 presenta alcuni vantaggi. 04:22.620 --> 04:24.090 Offre una maggiore sicurezza 04:24.090 --> 04:26.550 e gestisce in modo indipendente i processi di autenticazione, 04:26.550 --> 04:29.070 autorizzazione e contabilità. 04:29.070 --> 04:31.560 TACACS+ supporta tutti i protocolli di rete; 04:31.560 --> 04:32.880 RADIUS, invece, non supporta 04:32.880 --> 04:35.070 il protocollo di accesso remoto, il protocollo 04:35.070 --> 04:38.850 NetBIOS Frame, X. 25 connessioni a pioli e alcuni 04:38.850 --> 04:39.840 altri. 04:39.840 --> 04:42.480 Complessivamente, TACACS+ è una scelta eccellente, 04:42.480 --> 04:44.490 ma solo se si utilizzano dispositivi Cisco 04:44.490 --> 04:45.630 in tutta la rete, perché 04:45.630 --> 04:48.270 se si vuole avere questa capacità multipiattaforma, 04:48.270 --> 04:49.770 si deve passare a RADIUS, come 04:49.770 --> 04:51.840 ho scelto in passato. 04:51.840 --> 04:54.360 La seconda A è l'autorizzazione. 04:54.360 --> 04:57.000 L'autorizzazione avviene quando a un utente viene 04:57.000 --> 05:00.990 concesso l'accesso a determinati dati o a determinate aree dell'edificio. 05:00.990 --> 05:03.120 Vi è mai capitato di entrare in un edificio e vedere 05:03.120 --> 05:06.570 un cartello con la scritta "accesso limitato, solo personale autorizzato"? 05:06.570 --> 05:09.180 Questo significa che non potete entrare in quell'area. 05:09.180 --> 05:11.100 Potrebbe trattarsi di una sala di manutenzione 05:11.100 --> 05:12.840 o di un posto dove ci sono dei generatori e 05:12.840 --> 05:14.790 dove solo i meccanici possono entrare. 05:14.790 --> 05:16.650 Hanno chiavi speciali o badge speciali 05:16.650 --> 05:18.450 che li fanno entrare in quelle aree. 05:18.450 --> 05:21.900 Quell'area è un luogo in cui non siete autorizzati ad andare. 05:21.900 --> 05:25.170 Kerberos si concentra sull'autenticazione e l'autorizzazione. 05:25.170 --> 05:27.570 Questa operazione viene eseguita attraverso il nostro sistema 05:27.570 --> 05:29.280 di ticketing Kerberos in un dominio Windows. 05:29.280 --> 05:31.860 Kerberos è un protocollo di autenticazione che prevede 05:31.860 --> 05:34.350 un'autenticazione bidirezionale o reciproca. 05:34.350 --> 05:36.330 Quando l'utente si collega al dominio, 05:36.330 --> 05:38.400 contatta innanzitutto il controller di 05:38.400 --> 05:42.120 dominio, che funge da centro di distribuzione delle chiavi (KDC). 05:42.120 --> 05:44.550 Questo KDC ha due funzioni fondamentali: l'autenticazione 05:44.550 --> 05:46.980 e la concessione di ticket. 05:46.980 --> 05:49.410 Quindi, se il cliente è stato autenticato 05:49.410 --> 05:51.990 correttamente, il KDC emetterà un TGT, 05:51.990 --> 05:54.570 chiamato Ticket Granting Ticket. 05:54.570 --> 05:56.520 Questo Ticket Granting Ticket viene quindi 05:56.520 --> 05:58.740 fornito al controller di dominio ogni volta che 05:58.740 --> 06:00.060 l'utente vuole accedere a una 06:00.060 --> 06:02.460 risorsa e il controller di dominio può fornire all'utente 06:02.460 --> 06:04.920 un ticket di servizio o una chiave di sessione da utilizzare, 06:04.920 --> 06:07.260 a seconda delle esigenze. 06:07.260 --> 06:09.150 Questi ticket vengono presentati alla risorsa 06:09.150 --> 06:10.680 e l'accesso viene concesso perché 06:10.680 --> 06:12.180 la risorsa si fida sempre dei ticket 06:12.180 --> 06:14.580 forniti dai controllori di dominio. 06:14.580 --> 06:16.860 Ora, poiché Kerberos si basa sul controller di dominio 06:16.860 --> 06:19.080 per fungere da centro di distribuzione delle chiavi, 06:19.080 --> 06:21.840 questo è un singolo punto di guasto nel dominio. 06:21.840 --> 06:23.550 Se il controller di dominio è inattivo, anche 06:23.550 --> 06:26.190 i servizi di assegnazione dei biglietti vengono interrotti. 06:26.190 --> 06:28.350 Per evitare che ciò accada, tuttavia, la maggior parte delle 06:28.350 --> 06:31.530 persone si avvale di un controller di dominio attivo primario e di uno secondario. 06:31.530 --> 06:33.330 In questo modo si otterrà una forma di ridondanza 06:33.330 --> 06:36.900 per garantire che Kerberos sia attivo e che LDAP sia ancora in funzione. 06:36.900 --> 06:38.790 La terza A è la contabilità. 06:38.790 --> 06:40.980 La contabilità garantisce la tracciabilità 06:40.980 --> 06:44.220 dei dati, dell'uso del computer e delle risorse di rete. 06:44.220 --> 06:46.170 Quando lo facciamo, di solito viene 06:46.170 --> 06:48.150 inserito in un file di log. 06:48.150 --> 06:49.680 Si tratta di un file sul computer 06:49.680 --> 06:51.930 che è essenzialmente un grande documento di testo 06:51.930 --> 06:54.450 e che tiene traccia di ogni genere di cose. 06:54.450 --> 06:56.340 Può trattarsi di tutte le connessioni Internet 06:56.340 --> 06:58.980 che stanno uscendo dalla rete, come mostrato qui sullo 06:58.980 --> 07:01.140 schermo, oppure di un elenco di tutte le persone 07:01.140 --> 07:04.680 che hanno tentato di accedere a un particolare file o sito Web. 07:04.680 --> 07:07.320 Sul vostro computer vengono conservati tutti i tipi 07:07.320 --> 07:09.180 di registri per tenere traccia di tutte 07:09.180 --> 07:11.100 le varie operazioni che vengono eseguite, 07:11.100 --> 07:14.250 e tutto ciò serve a garantire l'utilizzo di buone pratiche contabili 07:14.250 --> 07:16.170 perché, in caso di violazione dei dati 07:16.170 --> 07:18.270 o di una qualche minaccia interna, è possibile 07:18.270 --> 07:21.090 tornare indietro e guardare i dati nei file di registro per 07:21.090 --> 07:23.880 capire chi ha fatto cosa e quando. 07:23.880 --> 07:26.310 Questo è ciò che la contabilità vi permette di fare. 07:26.310 --> 07:29.130 Ora, se si ha la prova che qualcuno ha fatto qualcosa, 07:29.130 --> 07:32.850 che ha compiuto un'azione, si parla di non ripudio. 07:32.850 --> 07:35.790 La non ripudiabilità significa semplicemente che l'utente non può dire 07:35.790 --> 07:39.060 di non aver compiuto l'azione perché voi avete la prova che l'ha compiuta. 07:39.060 --> 07:41.160 Ad esempio, se mi hai inviato un'e-mail 07:41.160 --> 07:43.200 e l'hai firmata con una firma digitale, 07:43.200 --> 07:45.360 sei l'unica persona al mondo che possiede 07:45.360 --> 07:47.910 la chiave privata della firma digitale. 07:47.910 --> 07:50.400 So per certo che è stato lei a inviare quell'e-mail. 07:50.400 --> 07:52.350 Non puoi dirmi in seguito che non l'hai 07:52.350 --> 07:54.060 inviata perché ora ho le prove. 07:54.060 --> 07:55.593 Questo è il non ripudio.