Livello server freeRADIUS - aspetti di sicurezza:

Infine descriviamo il terzo livello - quello più importante dal punto di vista della sicurezza - che viene gestito da un server in cui è stato implementato il protocollo AAA utile a realizzare le funzioni di Autenticazione, Autorizzazione e Accounting.

In particolare, nella fase di Autenticazione, si verifica l’identità del client che accede al servizio, successivamente, nella fase di Autorizzazione avverrà un processo di rilascio di particolari privilegi garantiti dal tipo di autenticazione avvenuto nel passaggio precedente, infine nella fase di Accounting verranno raccolti una serie di dati utili per tracciare le risorse di rete utilizzate durante la connessione.

Siccome per la realizzazione di OpenWireless si è badato molto proprio all’aspetto della sicurezza della navigazione - visto che comunque si tratta di un servizio gratuito a cui chiunque può accedere si è dovuto limitare al minimo possibile l’azione di un ipotetico malintenzionato che accede alla rete - è stata potenziata quella che è la prima fase del protocollo AAA, la fase di Autenticazione.

E’ stato infatti configurato ad-hoc il protocollo Kerberos che è quello maggiormente utilizzato attualmente per questo genere di servizi.

dettaglio dei livelli di OpenWireless

Kerberos - di cosa si tratta:

Come dice la parola stessa Kerberos ricorda il leggendario Cerbero, il “cane a tre teste”.

Proprio come il suo celebre omonimo infatti, questo protocollo si serve di tre fasi ben distinte per gestire quella più importante che è proprio l’autenticazione dell’utente al sistema.

Durante questo stadio, avviene uno scambio di pacchetti tra il client ed il KDC (Key Distribution Center - porzione del server freeRADIUS in cui è gestito il protocollo Kerberos, che si occupa della distribuzione dei ticket per l’accesso al servizio) ovviamente attraverso il server di zona che fa da tramite in questa struttura a tre livelli (vedi figura), come per l’appunto accennavamo già in precedenza.

Descrivendo passo passo tutte le fasi di questo scambio di pacchetti, potremmo così elencarle:

1. richiesta iniziale di autenticazione da parte dell’utente verso l’AS (Authentication Server);

2. risposta dell’AS alla precedente richiesta contenente il ticket criptato con la chiave segreta (generato dal TGS - Ticket Granting Server) e la chiave di sessione criptata con la chiave segreta del server di zona;

3. richiesta di un ticket di servizio da parte del server di zona verso il TGS. All’interno del pacchetto troviamo il ticket ricevuto precedentemente ed un “autenticatore” generato dal server di zona e criptato con la chiave di sessione;

4. risposta del TGS al server di zona: all’interno troveremo il ticket di servizio richiesto (criptato con la chiave segreta del servizio) ed una chiave di sessione di servizio generato dal TGS e criptata con la precedente chiave di sessione;

5. richiesta del server di zona al KDC: comprende una richiesta per accedere al servizio le cui componenti sono il ticket di servizio ricevuto dal TGS al passo precedente ed un autenticatore generato dal server di zona, criptato con la chiave di sessione di servizio generato dal TGS sempre al passo precedente;

6. risposta del KDC al server di zona: tramite questo passaggio finale, il KDC prova di essere l’autenticatore che il server di zona si aspetta di trovare. Da notare che questo pacchetto finale è facoltativo, viene infatti inoltrato solo quando ne fa espressa richiesta il server di zona per una mutua autenticazione;

7. una volta terminata questa fase di autenticazione, il server di zona concede l’accesso alle risorse di rete al client iniziale che ne ha fatto richiesta.

funzionamento protocollo Kerberos

Pagine: 1 2 3 Leggi tutto

Captive Portal, freeRADIUS, Kerberos, OpenWireless, PFSense, wifi, wireless