آشنایی با AAA (Authentication, Authorization and Accounting)
شبکه کامپیوتری (Authentication, Authorization, Accounting) AAA
Admin میتواند از طریق یک کنسول به یک Router یا یک دستگاه دسترسی داشته باشد اما شرایط نامطلوب زمانی بوجود می آید که امکان ارتباط با دستگاه از نزدیک میسر نیست و بنابراین، باید از راه دور به آن دستگاه دسترسی داشته باشد.
اما ازآنجاییکه دسترسی از راه دور با استفاده از یک آدرس IP امکانپذیر خواهد بود، ممکن است یک کاربر غیرمجاز بتواند با استفاده از همان آدرس IP به سیستم دسترسی پیدا کند. بنابراین برای اقدامات امنیتی، باید Authentication انجام دهیم. همچنین بستههای مبادله شده بین دستگاه باید رمزگذاری شوند تا هر شخص دیگری نتواند آن اطلاعات حساس را به دست آورد. بنابراین، چارچوبی به نام AAA برای تأمین آن سطح امنیتی ویژه استفاده میشود.
AAA:
AAA یک چارچوب مبتنی بر استاندارد است که برای کنترل افرادی که مجاز به استفاده از منابع شبکه (از طریق Authentication) هستند، آنچه مجاز به انجام آن هستند (از طریق Authorization) و دسترسی به اقدامات انجامشده در حین دسترسی به شبکه (از طریق Accounting)، استفاده می شود.
- احراز هویت (Authentication)
فرآیندی که توسط آن میتوان تشخیص داد که کاربری که میخواهد به منابع شبکه دسترسی پیدا کند، با درخواست برخی از اطلاعات هویتی مانند نام کاربری و رمز عبور، معتبر است یا خیر. روشهای رایج عبارتاند از قرار دادن Authenticationدر پورت کنسول، پورت AUX یا خطوط vty.
اگر شخصی بخواهد به شبکه دسترسی پیدا کند، بهعنوان سرپرست شبکه، میتوانیم نحوه Authenticationکاربر را کنترل کنیم. برخی از این روشها شامل استفاده از پایگاه داده محلی (Router) یا ارسال درخواستهای Authenticationبه یک سرور خارجی مانند سرور ACS است. برای تعیین روشی که برای Authenticationاستفاده میشود، از method list Authenticationپیشفرض یا سفارشی استفاده میشود.
2. مجوز (Authorization)
قابلیتهایی را برای اعمال سیاستها در منابع شبکه پسازاینکه کاربر از طریق Authenticationبه منابع شبکه دسترسی پیدا کرد، فراهم میکند. پس از موفقیتآمیز بودن احراز هویت، میتوان از Authorization برای تعیین اینکه کاربر مجاز به دسترسی به چه منابعی است و عملیاتی که میتواند انجام شود استفاده کرد.
بهعنوانمثال، اگر یک مهندس شبکه تازه کار(که نباید به همه منابع دسترسی داشته باشد) بخواهد به دستگاه دسترسی داشته باشد، Admin میتواند نمایهای ایجاد کند که اجازه دهد دستورات خاص فقط توسط کاربر اجرا شوند (فرمانهایی که درروش فهرست مجاز هستند. Admin میتواند از method list مجاز استفاده کند تا مشخص کند کاربر چگونه برای منابع شبکه مجاز است، یعنی از طریق یک پایگاه داده محلی یا سرور .ACS
- حسابداری(Accounting)
ابزاری برای کنترل و ثبت رویدادهای انجامشده توسط کاربر در حین دسترسی به منابع شبکه را فراهم میکند.حتی بر مدتزمانی که کاربر به شبکه دسترسی دارد نظارت میکند. Admin میتواند یک method list حسابداری ایجاد کند تا مشخص کند که چه چیزی باید حسابداری شود و سوابق حسابداری برای چه کسی ارسال شود.
پیادهسازی AAA: AAA را میتوان با استفاده از پایگاه داده محلی دستگاه یا با استفاده از یک سرور ACS خارجی پیادهسازی کرد.
- پایگاه داده محلی –اگر میخواهیم از پیکربندی در حال اجرای محلی Router یا سوئیچ برای پیادهسازی AAA استفاده کنیم، ابتدا باید کاربرانی را برای Authenticationایجاد کنیم و سطوح امتیاز را برای Authorization به کاربران ارائه دهیم.
- سرور – ACS این، روش رایج مورداستفاده است. یک سرور ACS خارجی )میتواند دستگاه ACS یا نرمافزار نصبشده روی Vmware باشد( برای AAA استفاده میشود که روی آن پیکربندی روی Router و ACS موردنیاز است. این پیکربندی شامل ایجاد یک کاربر، method list سفارشی جداگانه برای احراز هویت، Authorization و حسابداری است.
کلاینت یا سرور دسترسی شبکه (NAS) درخواستهای Authenticationرا به سرور ACS ارسال میکند و سرور تصمیم میگیرد که به کاربر اجازه دهد طبق اعتبار ارائهشده توسط کاربر به منبع شبکه دسترسی داشته باشد یا نه.
توجه – اگر سرور ACS موفق به Authenticationنشد، Admin باید استفاده از پایگاه داده محلی دستگاه را بهعنوان پشتیبان، در method list، برای پیادهسازی AAA ذکر کند.
دیدگاهتان را بنویسید
می خواهید در گفت و گو شرکت کنید؟خیالتان راحت باشد :)