AAA که مخفف Authentication, Authorization and Accounting است سه محور اصلی در کنترل دسترسی در شبکه هستند که در این بخش در مورد هریک از آنها به طور مجزا و مختصر صحبت میشود. ابتدا تعریفی از هریک از این مفاهیم ارائه میدهیم.
۱ – Authentication
۱-۱ – مفهوم Authentication
به معنای وارسی عناصر شناسایی ارائه شده از سوی کاربر، تجهیزات یا نرمافزارهایی است که تقاضای استفاده و دسترسی به منابع شبکه را دارند. عناصر شناسایی در ابتداییترین و معمولترین حالت شامل نام کاربری و کلمه عبور میباشند. در صورت نیاز به بالاتر بودن پیچیدگی فرایند کنترل و وارسی هویت، میتوان با اضافه نمودن عناصر شناسایی به این مهم دست یافت. بدیهی است که با اضافه نمودن فاکتورها و عناصر شناسایی، نوع خادم مورد استفاده، پایگاههای دادهای مورد نظر و در بسیاری از موارد پروتکلها و استانداردها نیز باید مطابق با تغییرات اعمال شده در نظر گرفته شوند تا یکسانی در ارائه خدمات در کل شبکه حفظ شود.
پس از ارائه عناصر شناسایی از سوی متقاضی، سیستم کد کاربری و کلمه عبور را با بانک اطلاعاتی مختص کدهای شناسایی کاربری مقایسه کرده و پذیرش یا عدم پذیرش دسترسی به منابع را صادر میکند.
عمل Authentication، در طراحی شبکههایی با حجم کم و متوسط عموماً توسط تجهیزات مسیریابی و یا دیوارهای آتش انجام میگیرد. علت استفاده از این روش مجتمع سازی و ساده سازی پیادهسازی عمل Authentication است. با استفاده از امکانات موجود نیاز به استقرار یک خادم مجزا برای صدور پذیرش هویت متقاضیان دسترسی مرتفع میگردد.
از سوی دیگر در شبکههای با حجم و پیچیدگی نسبتاً بالا، عموماً با توجه به پردازش بالای مختص عمل Authentication، خادمی بصورت مستقل و مجزا به این امر اختصاص مییابد. در این روش از استانداردها و پروتکلهای مختلفی همچون TACACS+ و RADIUS استفاده میگردد.
۱-۲ – فعال نمودن Authentication
فعال نمودن Authentication بر روی تجهیزات مورد استفاده در شبکه عملی است که عموماً در چهار مرحله انجام میشود :
الف – فعال نمودن AAA بر روی سختافزارهای مورد نظر
ب – ایجاد پایگاه دادهای از کدهای کاربری کاربران یا تجهیزات شبکه به همراه کلمههای عبور. همانگونه که ذکر شد، این پایگاه میتواند در داخل تجهیزات مورد استفاده در شبکههای با حجم کم پیادهسازی شود. در شبکههای با حجم نسبتاً بالا که در آنها نیاز به استفاده از خادمی مختص عمل Authentication احساس میشود، تجهیزات فعال شبکه به گونهای پیکربندی میشوند که عمل Authentication را با استفاده از پایگاههای دادهای مستقر بر روی خادمهای مختص این فرایند، انجام دهند.
ج – ایجاد فهرست(های) روش انجام عمل Authentication. این فهرستها به تعیین روش مورد نظر برای عمل Authentication اخصاص دارند.
د – اعمال فهرست(های) روش ساخته شده ار مرحله قبل.
در هر شبکه، در صورت نیاز به عمل Authentication، این چهار مرحله بر روی تمامی تجهیزاتی که در عمل AAA نقش دارند اجرا میشوند.
۲ – Authorization
۲-۱ – مفهوم Authorization
Authorization فرایندی است که طی آن به کاربران و یا تجهیزات متقاضی دسترسی به منابع، امکان استفاده از منبع یا منابع مستقر بر روی شبکه داده میشود. به بیان دیگر این عمل برای مدیران شبکه امکان تعیین نوع دسترسی به هریک از منابع شبکه، برای تک تک متقاضیان دسترسی و یا گروهی از آنها، را فراهم میکند.
از سوی دیگر، عمل امکان اختصاص آدرسهای شناخته شده و از پیش تعیین شده به کاربران یا تجهیزات، همچون متقاضیانی که با استفاده از پروتکل PPP به شبکه متصل میشوند، را میدهد. این عمل متقاضی را ملزم به استفاده از نوع خاصی ار استانداردها یا پیکربندیهای ارتباطی مورد نظر مدیر شبکه میکند.
زمانی که Authorization بر روی شبکه فعال شده باشد، خادم شبکهای که مسئولیت Authorization را بر عهده دارد اطلاعات کاربر را از روی پایگاه داده کاربرها استخراج میکند. این پایگاه داده میتواند بر روی خادم محلی بوده و یا بر روی پایگاهی مجزا قرار داشته باشد.
پس از استخراج این اطلاعات، وضعیت دسترسی مورد قبول مدیریت با تقاضای کاربر قیاس گردیده و تایید یا عدم تایید اجازه استفاده از سرویس یا منبع مورد نظر متقاضی صادر میشود.
۲-۲ – برقراری Authorization
برقراری و فعال نمودن Authorization عملی مشابه فعال نمودن Authentication است. برای برقراری و فعال نمودن Authorization، Authentication باید فعال شده باشد. به عبارت دیگر کلیه مراحل را میتوان به شکل زیرخلاصه نمود:
الف – فعال نمودن Authentication بر روی سختافزارهای مورد نظر. همانگونه که ذکر شد اولین مرحله از چهار مرحله فعالسازی این فرایند، فعال سازی AAA بر روی تجهیزات است.
ب – ایجاد فهرست(های) روش انجام عمل Authorization. این فهرستها علاوه بر تعیین روش مورد نظر برای عمل Authorization، مبین سرویس مورد نظر برای عمل Authorization نیز میباشند.
ج – اعمال فهرست(های) روش ساخته شده ار مرحله قبل.
۳ – Accounting
۳-۱ – مفهوم Accounting
Accounting آخرین بخش از فرایند جمعی AAA است. طی این فرایند، گزارشی از عملکرد کاربران یا سختافزارهایی که هویت آنها طی اعمال Authentication و Authorization تایید شده است، توسط خادم AAA تهیه میشود. این عمل میتواند با استفاده از خادم های خارجی که اس پروتکلها و استانداردهایی چون TACACS+ و RADIUS استفاده میکنند انجام گیرد.
به بیان دیگر، این عمل قدمی فراتر از دو مرحله پیشین برداشته، و پیگیری بعدی، پس از احراز هویت را انجام میدهد. پیامهای Accounting به شکل رکورد، میان تجهیزاتی که از طریق آنها دسترسی متقاضی درخواست شده و پایگاههای دادهای از قبیل TACACS+ یا RADIUS، تبادل میگردد.
۳-۲ – فعال سازی Accounting
فرایند فعال سازی Accounting مشابه Authorization است که مهمترین مراحل شامل ایجاد فهرستهای روش Accounting و اعمال آنهاست.
منبع: گروه امداد امنیت کامپیوتری ایران