آشنایی با AAA (Authentication, Authorization and Accounting)

شبکه کامپیوتری (Authentication, Authorization, Accounting) AAA

Admin می‌تواند از طریق یک کنسول به یک Router یا یک دستگاه دسترسی داشته باشد اما شرایط نامطلوب زمانی بوجود می آید که امکان ارتباط با دستگاه از نزدیک میسر نیست و بنابراین، باید از راه دور به آن دستگاه دسترسی داشته باشد.

اما ازآنجایی‌که دسترسی از راه دور با استفاده از یک آدرس IP امکان‌پذیر خواهد بود، ممکن است یک کاربر غیرمجاز بتواند با استفاده از همان آدرس IP به سیستم دسترسی پیدا کند. بنابراین برای اقدامات امنیتی، باید Authentication انجام دهیم. همچنین بسته‌های مبادله شده بین دستگاه باید رمزگذاری شوند تا هر شخص دیگری نتواند آن اطلاعات حساس را به دست آورد. بنابراین، چارچوبی به نام AAA برای تأمین آن سطح امنیتی ویژه استفاده می‌شود.

 AAA:
AAA یک چارچوب مبتنی بر استاندارد است که برای کنترل افرادی که مجاز به استفاده از منابع شبکه (از طریق Authentication) هستند، آنچه مجاز به انجام آن هستند (از طریق Authorization) و دسترسی به اقدامات انجام‌شده در حین دسترسی به شبکه (از طریق Accounting)، استفاده می شود.

1. احراز هویت (Authentication)
   فرآیندی که توسط آن می‌توان تشخیص داد که کاربری که می‌خواهد به منابع شبکه دسترسی پیدا کند، با درخواست برخی از اطلاعات هویتی مانند نام کاربری و رمز عبور، معتبر است یا خیر. روش‌های رایج عبارت‌اند از قرار دادن Authenticationدر پورت کنسول، پورت AUX یا خطوط vty.

اگر شخصی بخواهد به شبکه دسترسی پیدا کند، به‌عنوان سرپرست شبکه، می‌توانیم نحوه Authenticationکاربر را کنترل کنیم. برخی از این روش‌ها شامل استفاده از پایگاه داده محلی (Router) یا ارسال درخواست‌های Authenticationبه یک سرور خارجی مانند سرور ACS است.  برای تعیین روشی که برای Authenticationاستفاده می‌شود، از method list‌ Authenticationپیش‌فرض یا سفارشی استفاده می‌شود.

2. مجوز (Authorization)
قابلیت‌هایی را برای اعمال سیاست‌ها در منابع شبکه پس‌ازاینکه کاربر از طریق Authenticationبه منابع شبکه دسترسی پیدا کرد، فراهم می‌کند. پس از موفقیت‌آمیز بودن احراز هویت، می‌توان از Authorization برای تعیین اینکه کاربر مجاز به دسترسی به چه منابعی است و عملیاتی که می‌تواند انجام شود استفاده کرد.

به‌عنوان‌مثال، اگر یک مهندس شبکه تازه کار(که نباید به همه منابع دسترسی داشته باشد) بخواهد به دستگاه دسترسی داشته باشد، Admin می‌تواند نمایه‌ای ایجاد کند که اجازه ‌دهد دستورات خاص فقط توسط کاربر اجرا شوند (فرمان‌هایی که درروش فهرست مجاز هستند. Admin می‌تواند از method list مجاز استفاده کند تا مشخص کند کاربر چگونه برای منابع شبکه مجاز است، یعنی از طریق یک پایگاه داده محلی یا سرور .ACS

3. حسابداری(Accounting)
   ابزاری برای کنترل و ثبت رویدادهای انجام‌شده توسط کاربر در حین دسترسی به منابع شبکه را فراهم می‌کند.حتی بر مدت‌زمانی که کاربر به شبکه دسترسی دارد نظارت می‌کند. Admin می‌تواند یک method list حسابداری ایجاد کند تا مشخص کند که چه چیزی باید حسابداری شود و سوابق حسابداری برای چه کسی ارسال شود.

پیاده‌سازی AAA: AAA را می‌توان با استفاده از پایگاه داده محلی دستگاه یا با استفاده از یک سرور ACS خارجی پیاده‌سازی کرد.

• پایگاه داده محلی –اگر می‌خواهیم از پیکربندی در حال اجرای محلی Router یا سوئیچ برای پیاده‌سازی AAA استفاده کنیم، ابتدا باید کاربرانی را برای Authenticationایجاد کنیم و سطوح امتیاز را برای Authorization به کاربران ارائه دهیم.

• سرور  – ACS این، روش رایج مورداستفاده است. یک سرور ACS خارجی )می‌تواند دستگاه ACS یا نرم‌افزار نصب‌شده روی Vmware باشد( برای AAA استفاده می‌شود که روی آن پیکربندی روی Router و ACS موردنیاز است. این پیکربندی شامل ایجاد یک کاربر، method list سفارشی جداگانه برای احراز هویت، Authorization و حسابداری است.

کلاینت یا سرور دسترسی شبکه (NAS) درخواست‌های Authenticationرا به سرور ACS ارسال می‌کند و سرور تصمیم می‌گیرد که به کاربر اجازه دهد طبق اعتبار ارائه‌شده توسط کاربر به منبع شبکه دسترسی داشته باشد یا نه.

توجه – اگر سرور ACS موفق به Authenticationنشد، Admin باید استفاده از پایگاه داده محلی دستگاه را به‌عنوان پشتیبان، در method list، برای پیاده‌سازی AAA ذکر کند.