L’implementazione di piattaforme NAC (Network Access Control) è, a oggi, una delle misure di sicurezza più efficaci per proteggere la rete aziendale da tentativi di intrusione da parte di cybercriminali.
Nella fase di implementazione, però, è necessario scegliere un protocollo di autenticazione e gestione degli account adeguate alle proprie necessità. Le opzioni sono le più varie, anche se le più utilizzate sono i protocolli RADIUS, LDAP e AD: sistemi di autenticazione, che consentono di gestire ampi database di credenziali in piena sicurezza.
Autenticazione tramite RADIUS, LDAP, AD: come orientarsi
Ognuno dei tre sistemi di autenticazione alle reti locali ha caratteristiche ben precise, che lo rendono più o meno adatto a una rete anziché un’altra. La scelta, dunque, dipenderà da come il loro funzionamento è in grado di risponde alle esigenze e alle dimensioni dell’azienda. Vediamoli nel dettaglio.
Come funziona il protocollo RADIUS
Acronimo di Remote Authentication Dial-In User Service, si tratta di un protocollo AAA (Authentication, Authorization, Accounting) ideato nel 1991. Inizialmente era utilizzato per effettuare l’autenticazione all’interno di reti dial-up, mentre oggi viene utilizzato in un più ampio spettro di connessioni. In particolare, a livello aziendale, il protocollo RADIUS viene impiegato per effettuare l’accesso, tanto alle reti locali quanto a Internet, attraverso delle credenziali uniche per ogni utente.
A grandi linee, l’autenticazione con il protocollo RADIUS prende il via con l’invio di un pacchetto UDP contenente le informazioni necessarie per accedere alla rete. Nel caso il server di autenticazione (solitamente un NAS, Network Access Server) riconosca la richiesta come proveniente da un device appartenente al network, risponderà con le informazioni necessarie alla configurazione del dispositivo stesso.
Nello specifico, il pacchetto iniziale che il client invia al NAS contiene una richiesta di tipo “Access-Request”, contenente i parametri User-Name e User-Password. Il NAS, a sua volta, gira la richiesta al server RADIUS che verifica all’interno del suo database la correttezza delle informazioni ricevute. Terminato il controllo, il RADIUS invia una di queste tre risposte:
- Access Reject: le informazioni inviate tramite la richiesta di accesso non sono corrette e il client non può dunque avere accesso alle risorse della rete;
- Access Challenge: il server RADIUS, prima di concedere l’accesso, ha bisogno di un ulteriore “elemento di riconoscimento”, come una seconda password, la risposta a una domanda scelta dall’utente in fase di registrazione o un PIN;
- Access Accept: il server RADIUS concede al client di accedere alla risorsa di rete richiesta.
A cosa serve e come funziona il protocollo LDAP
Acronimo di Lightweight Directory Access Protocol, il LDAP viene utilizzato per l’accesso e la gestione di servizi di directory, come un elenco di indirizzi di posta elettronica, una rubrica telefonica o un database contenente le credenziali di accesso alla rete aziendale. Il protocollo LDAP, in particolare, gioca un ruolo di primaria importanza nella creazione e gestione delle intranet e delle reti locali (come quelle aziendali, per l’appunto), dal momento che consente la condivisione di informazioni di vario genere – dai nomi utente alle password, passando per servizi e applicazioni disponibili – all’interno dell’intera rete.
Una volta che un client effettua l’accesso alla directory tramite protocollo LDAP può effettuare una lunga lista di operazioni. Può, ad esempio, effettuare una ricerca (Search) per ritrovare una voce all’interno della directory; oppure controllare (Compare) che nel database sia presente una determinata stringa di caratteri; aggiungere, eliminare o modificare (Add, Delete, Edit) voci all’interno del database.
A cosa serve il protocollo AD
Acronimo di Active Directory, si tratta di un servizio proprietario sviluppato da Microsoft e attivo di default sulla maggior parte delle versioni di Windows Server oggi in circolazione. L’AD, dunque, viene utilizzato esclusivamente all’interno di reti con computer il sistema operativo della casa di Redmond. Il protocollo AD viene usato per autorizzare e autenticare tutti gli utenti all’interno di una rete Windows, occupandosi anche di sicurezza e controllo. In particolare, viene impiegato per verificare che i dispositivi che provano a connettersi al network siano compliant con le policy di sicurezza stabilite dagli amministratori di rete. Se i requisiti non sono soddisfatti, gli utenti vengono reindirizzati verso aree della rete dove trovare le patch e gli aggiornamenti da installare, così da rispettare le impostazioni di sicurezza della LAN aziendale.
Radius, LDAP e AD: qual è il protocollo migliore?
Stabilire quale sia il migliore tra i tre protocolli di autenticazione è, come spesso capita in ambito informatico, un esercizio inutile. Non esiste, infatti, un migliore in assoluto. Piuttosto, è possibile dire che ci sia un protocollo che meglio si adatta alle necessità e alle esigenze della singola azienda. Dalle caratteristiche appena elencate è possibile evincere, ad esempio, che il protocollo AD può essere utilizzato all’interno di reti che utilizzano solamente pc Windows e non è caratterizzato, dunque, da grande versatilità.
Al contrario, tanto il protocollo RADIUS quanto il protocollo LDAP possono essere utilizzati per l’autenticazione e la gestione degli accessi a una rete aziendale oppure a una directory. RADIUS si contraddistingue per l’estrema versatilità e il basso impatto che ha a livello di risorse. Nonostante garantisca una gestione avanzata degli accessi – e velocità più elevate nello scambio di pacchetti – può essere più complesso da implementare in una rete già esistente. LDAP, invece, si integra facilmente su qualunque infrastruttura di rete già esistente ed eccelle nelle situazioni nelle quali la password è sufficiente come metodo di autenticazione
Sul fronte della sicurezza, RADIUS offre servizi addizionali che consentono di proteggere non solo lo scambio di credenziali per l’autenticazione (al costo di una maggiore complessità nel setup e nella gestione dell’infrastruttura), mentre LDAP garantisce un livello di sicurezza inferiore, anche se l’intera connessione può essere crittografata utilizzando un protocollo di sicurezza come TLS.
Canale Sicurezza è il blog di approfondimento sulle tematiche di sicurezza informatica di Bludis S.r.l.
Pensato e strutturato come servizio e strumento per mantenere sempre aggiornati gli utenti sia professionali che domestici sulle ultime novità.