پروتکل AAA چیست؟

پروتکل AAA شامل سه بخش (Authentication احراز هویت با تایید اعتبار  و Authorization  تعیین سطح دسترسی  و Accounting  جمع آوری گزارش از دسترسی کاربران ) است .

AAA مکانیزمی است که می توان از این طریق امنیت شبکه را به شیوه ساده تر انجام داد. برای انجام این کار ابتدا شما نیاز به یک دیتا بیس امن برای ذخیره سازی نام کاربر ، کلمه عبور یا پسورد کاربران و لاگ ها  دارید.

سیستم AAA تمامی سه مرحلخ بالا را به صورت همزمان انجام می دهد

Authentication(احراز هویت)

Authentication فرایند شناسایی کاربر و دسترسی دادن به شبکه است. احراز هویت و یا دسترسی به شبکه معمولا از طریق نام کاربری و پسورد اعتباری صورت می گیرد.

همچنین می توان احراز هویت بدون رمز عبور و ازطریق اسکن چشم، اثرانگشت ، توکن ( Token) سخت افزاری و یا کارت های هوشمند استفاده کرد.

سرور ابتدا داده های ارسال شده را با داده های ذخیره شده مقایسه و ارزیابی میکند.

Authorization(مجوز)

بعد  از مرحله ی احراز هویت فرآیند مجوز Authorization ، سیاست های شبکه ، کنترل دسترسی اعمال می شود. پروتکل امنیت سایبری AAA تعیین میکند که کاربر به کدامیک از منابع شبکه خاص اجازه دسترسی دارد.

به عنوان مثال، پس از اعطای دسترسی سیستم به شبکه، کاربری که در بخش فروش کار می کند ممکن است فقط بتواند از نرم افزار مدیریت ارتباط با مشتری (CRM) استفاده کند و به سیستم های برنامه ریزی منابع انسانی دسترسی نداشته باشد.

Accounting (گزارش)

Accounting تمام آنچه که در شبکه اتفاق می افتد از جمله : تمام داده های مربوط به جلسات،  مانند مدت زمان جلسه و یا نوع جلسه را جمع آوری و ثبت می کند. گزارش Accounting  می تواند در ارزیابی های امنیتی و عملیاتی کمک کند.

مثلث امنیتی AAA چگونه به امنیت کمک می کند

مدل امنیتی AAA برای موارد استفاده متعدد، مانند دسترسی به شبکه خصوصی از راه دور، استفاده از نقطه اتصال بی‌سیم برای اینترنت، و اعمال تقسیم‌بندی شبکه برای دسترسی به شبکه Zero Trust (ZTNA) – همه برای اهداف امنیتی، اعمال می‌شود.

تیم های امنیتی می توانند با داشتن کنترل و دید بر روی دسترسی به شبکه و منابع، امتیازات و فعالیت کاربر از دسترسی غیرمجاز جلوگیری کنند.

از آنجایی که بسیاری از سازمان ها برای امنیت سایبری از  Zero Trust استفاده می کنند می توانند از پروتکل AAA برای  دسترسی به شبکه استفاده کنند .

پروتکل های AAA

AAA برای ارتباط خود با AAA Server  از دو پروتکل استفاده می کند.

1_     Radius: یک نوع پروتکل عمومی می باشد که از نوع UDP و با شماره پورت های 1645 و 1812 برای Authentication و Authorization و از شماره پورت های 1646 و 1813 برای Accounting  استفاده می کند.

Authentication و Authorization را در هم ادغام می کند و جهت دسترسی کاربران مورد استفاده قرار می گیرد.

2 _   TACACS+: به عنوان یک استاندارد عمومی است که توسط کمپانی سیسکو منتشر شده است.

ارتباط آن از نوع TCP می باشد و از شماره پورت های 49 استفاده میکند. همچنین این پروتکل می تواند بسته را رمزنگاری کند.

 

جدول مقایسه تفاوت ها

RADIUSTACACS+
یک پروتکل استاندارد می باشددر ابتدا توسط شرکت سیسکو توسعه داده شد و تنها روی تجهیزات سیسکو پشتیبانی می شد، اما در حال حاضر یک پروتکل استاندارد می باشد
فرایند هایAuthentication و Authorization با هم ادغام شده اند و هم زمان صورت می گیرندفرایند های Authentication ،Authorization و Accountability  مستقل از هم صورت می گیرند
از UDP به عنوان پروتکل لایه Transport استفاده می کنداز TCP به عنوان پروتکل لایه Transport استفاده می کند
از پورت های UDP، 1812 و 1813 / 1645 و 1646 استفاده می کنداز پورت TCP شماره 49 استفاده می کند
فقط رمز عبور رمزگذاری می شود ولی  اطلاعات دیگر مانند نام کاربری، اطلاعات Accounting و … رمزگذاری نمی شوندتمام محتوای بسته های AAA رمزگذاری می شوند. در نتیجه امن تر است
برای کاربرد Network Access مناسب می باشدبرای کاربرد Device Administration استفاده می شود
در فرایند Authorization خود هیچگونه مجوز برای تعیین سطح دسترسی به صورت Command-By-Command را پشتیبانی نمی کندامکان تعیین سطح دسترسی به صورت Command-By-Command در سوئیچ ها و روتر ها، وجود خواهد داشت
یک پروتکل Light-weight است که منابع کمتری مصرف می کندیک پروتکل Heavy-weight است که منابع بیشتری را مصرف می کند
از مکانیزم های Authentication مبتنی برEAP  پشتیبانی می کند در نتیجه می توان از Dot1x در RADIUS استفاده کرداز مکانیزم های Authentication مبتنی برEAP  پشتیبانی نمی کند و  نمی توان از Dot1x در +TACACS استفاده کرد

روش های سیسکو برای اجرای AAA چیست

Cisco Secure ACS Solution Engine : در این روش AAA رو دستگاهی مانند روتر فعال می شود. و برای تایید و کنترل دسترسی با Cisco Secure ACS Solution Engine ارتباط برقرار می کند.

نصب آن همانند کامپیوتر است ما می توانید با تهیه یک سیستم عامل و نصب CSA روی سخت افزار مربوطه به لایسنس نیاز دارید.

 

Cisco Secure Access Control Server (ACS) For Windows Server: در این روش همانند روش قبلی روی دستگاهی مانند روتر فعال می شود و برای تایید و کنترل دسترسی باید نرم افزار ACS نصب شود تا ارتباط برقرار کند.

Self-Contained AAA: در این روش تایید و کنترل کاربران توسط خود روتر صورت می گیرد.

 

مزایای مثلث امنیتی  AAA

افزایش مقیاس پذیری در شبکه .

افزایش قابلیت انعطاف پذیری و کنترل.

قابلیت استانداری سازی پروتکل را افزایش می کند.

ایجاد یک نقطه تماس واحد برای احراز هویت کاربر و سیستم.

پروتکل AAA

پروتکل AAA

کاربرد AAA در شرکت های ارائه دهنده اینترنت یا ISP

AAA در شرکت های ارائه دهنده اینترنت نقش مهمی دارد و می توان گفت یک اصل امنیتی محسوب می شود.

در شرکت های ارائه دهنده اینترنت یا ISP ابتدا  احراز هویت و سپس سطح دسترسی به اطلاعات به افراد  داده می شود تا بتوانند از ساعت و تاریخ اتصال به شبکه و حجم باقیمانده را برای آنها به نمایش بگذارد.

 

AAA و کاربرد آن در LAN و  WAN

از آنجایی که در شبکه های LAN و  WAN تعدادی از افراد مهندسین یا متخصصین در شبکه  سازمان مشفول هستند ، هر فرد با توجه به رده شغلی خود باید دسترسی متفاوت از دیگری داشته باشد.

زمانی که افراد زیادی به صورت همزمان به شبکه متصل می شوند نیاز به مانیتورینگ و مدیریت دارند تا مطمئن شوید که شخصی به طور عمد فعالیت مخربی را در شبکه انجام نمی دهد.