0

سبد خرید شما خالی است.

AAA چیست؟

آن چه در این محتوا میخوانید

شامل سه بخش Authentication احراز هویت یا تایید اعتبار  Authorization  تعیین مجوز یا سطح دسترسی و Accounting جمع آوری گزارش از فعالیت کاربران می ­باشد. مکانیزمی است که به کمک آن می ­توان امنیت شبکه را ساده ­تر پیاده سازی نمود. این مکانیزم دارای یک دیتابیس متمرکز امن، برای نگهداری نام کاربری، کلمه عبور تمام کاربران، Log های ایجاد شده و غیره است.

Authentication

این بخش وظیفه تایید ­هویت کاربران را بر عهده دارد و اجازه دسترسی کاربر به منابع شبکه را با پرسیدن برخی از مدارک معتبر مانند نام کاربری و رمز عبور مشخص می کند. در یک شبکه برای دسترسی مدیر شبکه به روتر ها، سوئیچ ها و سایر دستگاه ها، سه روش امکان پذیر است: اتصال به صورت مستقیم با استفاده از کابل کنسول، اتصال به صورت Remote با استفاده از پورت AUX و یا با استفاده از پروتکل هایی نظیر Telnet و SSH که در این صورت نیاز به یک آدرس آی پی خواهد بود.

بنابراین این احتمال وجود دارد تا یک کاربر غیر مجاز نیز بتواند به آن دستگاه دسترسی پیدا کند. در نتیجه برای اتصال به دستگاه های شبکه از طریق کابل کنسول و یا از طریق Remote، نیاز به اقدامات امنیتی برای احراز هویت کاربران می باشد.

Authorization

کاربران دارای سطوح دسترسی متفاوت به منابع و دستگاه های شبکه می باشند. این بخش برای مشخص کردن سطح دسترسی کاربران به کار می ­رود و این امکان را فراهم می کند تا پس از دسترسی کاربر به منابع شبکه از طریق Authentication، سیاست های مربوط به سطح دسترسی به منابع شبکه اجرا شود.

پس از تایید اعتبار موفق، با استفاده از مجوز مشخص می شود کاربر به چه منابعی اجازه دسترسی دارد و عملیاتی که می تواند انجام دهد کدام است.

به عنوان مثال، اگر یک مهندس شبکه که نباید به همه منابع دسترسی داشته باشد بخواهد به دستگاه شبکه مانند روتر و … دسترسی پیدا کند، سرپرست می تواند یک View ایجاد کند که اجازه می دهد تا آن کاربر تنها دستورات خاصی را بتواند اجرا نماید.

مدیر شبکه می تواند از روش های متفاوتی مانند دیتابیس داخلی دستگاه و یا یک سرور خارجی از راه دور، برای تعیین مجوز و دسترسی کاربر استفاده کند.

Accounting

بعد از انجام Authentication و Authorization، کاربر به شبکه دسترسی پیدا می­ کند و شروع به استفاده از منابع و سرویس های شبکه می­ کند.

این بخش وظیفه نظارت و ضبط وقایع انجام شده توسط کاربر در هنگام دسترسی به منابع و سرویس ها را بر عهده دارد و گزارش آن ها را تهیه می کند.

همچنین در این بخش می توان بر مدت زمان دسترسی کاربر به شبکه نیز نظارت داشت.

بنابراین AAA یک Framework استاندارد است که به منظور: کنترل افراد مجاز در شبکه برای استفاده از منابع (از طریق Authentication)، اقداماتی که آن ها مجاز به انجام آن هستند (از طریق Authorization) و جمع آوری Log از اقدامات انجام شده توسط کاربران هنگام دسترسی به شبکه (از طریق Accounting) استفاده می شود و در نهایت منجر به تامین سطح امنیت بالاتر در شبکه خواهد شد.

کاربرد AAA

  • Admin Access or Device Access: زمانی که مدیر یا Admin شبکه بخواهد از طریق کنسول، Telnet ،SSH به دستگاه ­های شبکه (مانند: روتر و …) متصل شود.
  • Network Access: زمانی که کاربر شبکه بخواهد به شبکه متصل شود تا از سرویس­ های موجود در شبکه استفاده کند.

اجزای AAA

  • Supplicant: ادمین یا کاربر شبکه که تقاضای اتصال به دستگاه ها یا سرویس های شبکه را دارد.
  • AAA-Client: دستگاهی است که بین Supplicant و AAA-Server قرار می­ گیرد و تایید هویت را به AAA-Server ارسال می­ کند و بر اساس پاسخ سرور به کاربر اجازه ورود و یا مانع از آن می شود. این نقش توسط دستگاه ­هایی مانند روتر، سوئیچ و … انجام می شود. شایان ذکر است که AAA-Client با نام ­های Authenticator ،Network Access Device (NAD) و Policy Enforcement Point (PEP) نیز شناخته می ­شود.
  • AAA-Server: در خواست ارسال شده توسط AAA-Client را با دیتابیس خود بررسی و نتیجه را به AAA-Client اعلام می­ کند و این تصمیم را می گیرد که کاربر اجازه دسترسی به منابع شبکه را داشته باشد یا خیر. قابل ذکر است که AAA-Server با نام Authentication Server نیز شناخته می شود. AAA برای ارتباط Supplicant با AAA-Client از مجموعه پروتکل های خانواده Extensible Authentication Protocol (EAP) استفاده می­ کند.

برای مطالعه بیشتر درباره جزییات این پروتکل به مقاله بررسی انواع پروتکل های EAP مراجعه کنید.

همچنین برای ارتباط AAA-Client با AAA-Server از دو نوع پروتکل امنیتی زیر استفاده می­ کند:

RADIUS: پروتکل استاندارد که ارتباط آن از نوع UDP است که به صورت پیش فرض از شماره پورت های 1812/1813 و یا 1645/1646 استفاده می کند و فقط کلمه عبور را رمزگذاری می ­کند.

این پروتکل Authentication و Authorization را به عنوان یک سرویس در هم ادغام می­ کند و فقط جهت کنترل دسترسی کاربران مورد استفاده قرار می ­گیرد. در نتیجه برای Network Access مناسب است.

+TACACS: پروتکل انحصاری سیسکو که ارتباط آن از نوع TCP است که به صورت پیش فرض از شماره پورت 49 استفاده می کند. این پروتکل تمام بسته را رمزنگاری کرده و همچنین سه بخش AAA را به صورت جداگانه انجام می ­دهد. در نتیجه برای Admin Access مناسب است.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

مشاوره رایگان عصر شبکه

برای تماس فرم زیر را تکمیل کنید