بررسي مفهوم AAA در امنيت شبكه به همراه پيكربندي

معرفي محصولات شبكه

بررسي مفهوم AAA در امنيت شبكه به همراه پيكربندي

سه شنبه ۱۶ فروردین ۰۱ | ۱۱:۵۰ ۴۳ بازديد

پروتكل aaa

مدير شبكه مي تواند از طريق كنسول به يك روتر يا سوئيچ شبكه يا هر دستگاه ديگري دسترسي داشته باشد اما اگر دور از محل آن دستگاه بنشيند ديگر برقراري ارتباط با كنسول امكان پذير نيست. بنابراين، در نهايت او بايد از راه دور به آن دستگاه دسترسي داشته باشد.

اما از آنجايي كه دسترسي از راه دور با استفاده از يك آدرس IP در دسترس خواهد بود، بنابراين، ممكن است يك كاربر غيرمجاز بتواند با استفاده از همان آدرس IP دسترسي پيدا كند، بنابراين براي اقدامات امنيتي، ما بايد احراز هويت را قرار دهيم. همچنين بسته هاي رد و بدل شده بين دستگاه بايد رمزگذاري شوند تا هر شخص ديگري نتواند اطلاعات حساس را ضبط كند. بنابراين، چارچوبي به نام AAA براي ارائه سطح امنيت اضافي استفاده مي شود.

 

AAA (Authentication, Authorization, Accounting) چيست؟

پروتكل aaa

پروتكل AAA يك چارچوب مبتني بر استاندارد است كه براي كنترل افرادي كه مجاز به استفاده از منابع شبكه (از طريق احراز هويت Authentication) هستند، كارهايي كه مجاز به انجام آنها هستند (از طريق مجوز Authorization) و ضبط اقدامات انجام شده در حين دسترسي به شبكه (از طريق Accounting) استفاده مي شود.

 

ـ Authentication:

فرآيندي كه طي آن مي توان تشخيص داد كه كاربري كه مي خواهد به منابع شبكه دسترسي پيدا كند، با پرسيدن برخي از اعتبارنامه ها (credentials) مانند نام كاربري و رمز عبور معتبر است يا خير. روش‌هاي رايج عبارتند از قرار دادن احراز هويت در پورت كنسول، پورت AUX يا لاين هاي vty.

به عنوان مدير شبكه، اگر شخصي بخواهد به شبكه دسترسي پيدا كند، مي‌توانيم نحوه احراز هويت كاربر را كنترل كنيم. برخي از اين روش ها شامل استفاده از پايگاه داده محلي آن دستگاه (روتر) يا ارسال درخواست هاي احراز هويت به يك سرور مانند سرور ACS است. براي تعيين روشي كه براي احراز هويت استفاده مي شود، از فهرست روش هاي احراز هويت پيش فرض يا سفارشي استفاده مي شود.

 

ـ Authorization:

پس از اينكه كاربر از طريق احراز هويت به منابع شبكه دسترسي پيدا كرد، قابليت هايي را براي اعمال سياست ها بر روي منابع شبكه فراهم مي كند. پس از موفقيت آميز بودن احراز هويت، مي توان از مجوز براي تعيين اينكه كاربر مجاز به دسترسي به چه منابعي است و عملياتي كه مي توان انجام دهد استفاده كرد.

به عنوان مثال، اگر يكي از ادمين هاي موجود در سازمان (كه نبايد به همه منابع دسترسي داشته باشد) بخواهد به دستگاه دسترسي داشته باشد، مدير شبكه مي تواند نمايي ايجاد كند كه به دستورات خاص اجازه مي دهد فقط توسط كاربر اجرا شوند (كامند هايي كه در فهرست مجاز هستند). مدير مي تواند از ليست روش مجوز استفاده كند تا مشخص كند كاربر چگونه براي استفاده از منابع شبكه مجاز است، يعني از طريق پايگاه داده محلي (پيكربندي در حال اجرا دستگاه) يا با استفاده از يك سرور ACS خارجي.

 

ـ Accounting:

ابزاري براي نظارت و ضبط رويدادهاي انجام شده توسط كاربر در حين دسترسي به منابع شبكه فراهم مي كند. حتي مدت زمان دسترسي كاربر به شبكه را نيز كنترل مي كند. مدير مي تواند يك ليست روش اكانتينگ ايجاد كند تا مشخص كند كه چه چيزي بايد اكانتينگ شود و سوابق اكانتينگ براي چه كسي ارسال شود.

چرا چارچوب AAA در امنيت شبكه مهم است؟

AAA بخش مهمي از امنيت شبكه است زيرا دسترسي افراد به يك سيستم را محدود مي كند و فعاليت آنها را پيگيري مي كند. به اين ترتيب، كابران غيرمجاز را مي توان دور نگه داشت، و مي توان فعاليت كاربران مجاز را رديابي كرد، كه به مديران اطلاعات ارزشمندي در مورد فعاليت هاي آنها مي دهد.

دو نوع اصلي پروتكل AAA براي شبكه وجود دارد: دسترسي به شبكه (Network Access) و مديريت دستگاه (Device Administration).

 

ـ دسترسي شبكه (Network Access):

دسترسي به شبكه شامل مسدود كردن، اعطا يا محدود كردن دسترسي بر اساس اعتبار يك كاربر است. AAA هويت يك دستگاه يا كاربر را با مقايسه اطلاعات ارائه شده يا وارد شده با پايگاه داده مورد نظرتأييد مي كند. اگر اطلاعات مطابقت داشته باشد، اجازه ي دسترسي به شبكه داده مي شود.

 

ـ مديريت دستگاه (Device Administration):

مديريت دستگاه شامل كنترل دسترسي به session ها، كنسول هاي دستگاه شبكه، secure shell (SSH) و موارد ديگر است. اين نوع دسترسي با دسترسي به شبكه متفاوت است، زيرا افراد مجاز به ورود به شبكه را محدود نمي‌كند، بلكه به دستگاه‌هايي كه مي‌توانند به آن دسترسي داشته باشند، محدود مي‌شود.

انواع پروتكل AAA:

چندين پروتكل وجود دارد كه عناصر AAA را براي تضمين امنيت هويت تركيب مي كند.

 

ـ Remote Authentication Dial-In User Service (RADIUS):

RADIUS يك پروتكل شبكه است كه توابع AAA را براي كاربران شبكه راه دور با استفاده از مدل كلاينت/سرور انجام مي دهد. RADIUS به طور همزمان احراز هويت و مجوز را براي كاربراني كه سعي در دسترسي به شبكه دارند فراهم مي كند. RADIUS همچنين تمام بسته هاي داده AAA را مي گيرد و آنها را رمزگذاري مي كند و سطح امنيتي بيشتري را ارائه مي دهد.

RADIUS در سه مرحله كار مي كند:

كاربر درخواستي را به يك سرور دسترسي به شبكه (NAS) ارسال مي كند، سپس NAS يك درخواست براي دسترسي به سرور RADIUS ارسال مي كند كه با پذيرش، رد يا به چالش كشيدن آن درخواست پاسخ مي دهد.

ـ Diameter:

پروتكل Diameter يك پروتكل AAA است كه با Long-Term Evolution (LTE) و شبكه هاي چند رسانه اي كار مي كند. Diameter تكامل RADIUS است كه از ديرباز براي مخابرات استفاده مي شده است. با اين حال، Diameter به طور سفارشي براي بهينه سازي اتصالات LTE و انواع ديگر شبكه هاي تلفن همراه طراحي شده است.

 

ـ Terminal Access Controller Access-Control System Plus (+TACACS):

مشابه RADIUS، +TACACS از مدل كلاينت/سرور براي اتصال كاربران استفاده مي كند. با اين حال، +TACACS كنترل بيشتري را در مورد راه هايي كه از طريق آن دستورات مجاز مي شوند را امكان پذير مي كند. +TACACS با ارائه يك كليد مخفي شناخته شده توسط كلاينت و سيستم +TACACS كار مي كند. هنگامي كه يك كليد معتبر ارائه مي شود، اجازه اتصال داده مي شود تا ادامه يابد.

+TACACS فرآيندهاي احراز هويت و مجوز را از هم جدا مي كند و اين قابليت، آن را از RADIUS كه آنها را تركيب مي كند متمايز مي كند. همچنين، +TACACS، مانند RADIUS، بسته هاي AAA خود را رمزگذاري مي كند. بنابراين، مديريت دسترسي را با پروتكل هاي هويت AAA ساده كنيد

در يك zero-trust network access(ZTNA) ، همه كاربران و دستگاه‌ها به‌طور پيش‌فرض مورد بي‌اعتمادي هستند و نمي‌توان اجازه دسترسي به سيستم را تا زماني كه به‌اندازه كافي حقوق احراز هويت و مجوز خود را اثبات نكرده باشند، ندارند. اين اغلب با استفاده از احراز هويت دو مرحله اي (FA2) انجام مي شود.

مزاياي AAA Framework:

  • پروتكل aaa مقياس پذيري شبكه را بهبود مي بخشد. ظرفيت يك سيستم براي مديريت مقدار فزاينده اي از كار با افزودن منابع به سيستم به عنوان مقياس پذيري شناخته مي شود.
  • اجازه مي دهد تا شبكه انعطاف پذيرتر و كنترل شود.
  • به استانداردسازي پروتكل هاي شبكه كمك مي كند.
  • RADIUS به هر كاربر امكان مي دهد مجموعه اي از اعتبارنامه (credential) هاي خود را داشته باشد.
  • مديران IT يك نقطه تماس واحد براي احراز هويت كاربر و سيستم خواهند داشت.

 

معايب AAA Framework:

اشكالات زير در پياده سازي چارچوب AAA وجود دارد:

  • پيكربندي اوليه در سرورهاي RADIUS مي تواند دشوار و زمان بر باشد.
  • انتخاب نرم افزار سرور RADIUS و متدولوژي استقرار مناسب براي تجارت شما كار دشواري است.
  • تعمير و نگهداري سخت افزار در محل مي تواند پيچيده و زمان بر باشد.

 

پيكربندي AAA:

در اين مثال ما در حال پيكربندي AAA Authentication در روتر هستيم. كه شامل مراحل زير است:

  1. ابتدا AAA را در روتر فعال كنيد.

router1(config)#aaa new-model

AAA با دستور aaa new-model فعال مي شود.

  1. ايجاد ليست احراز هويت پيش فرض

با دستور aaa authentication  ورود به سيستم محلي پيش فرض فعال مي شود.

در اين دستور، پيش‌فرض به اين معني است كه از ليست متدهاي پيش‌فرض استفاده مي‌كنيم و local Means ما از پايگاه داده محلي استفاده خواهيم كرد.

  1. ليست را روي خطوط vty اعمال كنيد.

router1(config)#line vty 0 4

router1(config)#login authentication default

router1(config)#exit

پس از ايجاد ليست متدهاي پيش‌فرض، بايد آن را روي خطوط vty اعمال كنيم تا هر زمان كه كاربر سعي مي‌كند از طريق SSH يا telnet به روتر دسترسي پيدا كند، كاربر بايد اطلاعاتي را ارائه كند كه پيكربندي شده است.

  1. ايجاد كاربر لوكال در روتر

router1(config)#username MRSHABAKE

           privilege 15 password 123456

اين مهمترين مرحله است زيرا بايد يك پايگاه داده محلي ايجاد كنيم كه در آن نام كاربري (به عنوان مثال MRSHABAKE)،privilege Level 15 و رمز عبور (به عنوان مثال 123456) را ارائه كنيم.

توجه: ليست متدهاي پيش‌فرض كه روي خطوط vty اعمال كرده‌ايم، كاربر (كه مي‌خواهد به روتر دسترسي داشته باشد) را مجبور مي‌كند تا زماني كه مي‌خواهد از راه دور از طريق telnet يا SSH دسترسي از راه دور داشته باشد، اين اطلاعات را وارد كند.

  1. Debugging(اشكال زدايي) aaa authentication

ما مي توانيم پيام هاي احراز هويت AAA را از طريق دستور “debug aaa authentication” ببينيم.

router1#debug aaa authentication

 حال به روتر 1 (آدرس IP-10.1.1.1/24) از روتر2 (آدرس IP – 10.1.1.2/24) telnet مي زنيم ، يوزر و پسورد را وارد مي كنيم.

router2# telnet 10_1_1_1

Trying 10_1_1_1 …. Open

User Access Verification

Username: MRSHABAKE

:Password

router1<

پروتكل aaa

به محض اينكه كاربر اطلاعات كاربري را وارد كرد، مي توانيم پيام هاي احراز هويت را مشاهده كنيم. علاوه بر اين، اگر بخواهيم قبل از درخواست اعتبار، بنري را اعمال كنيم، مي توانيم آن را با استفاده از دستور نشان داده شده اعمال كنيم:

router1(config)#aaa authentication

        banner ” welcome to MRSHABAKE network”

اگر بخواهيم اعلان (prompt) نام كاربري و رمز عبور اضافه كنيم، مي‌توانيم آن را با استفاده از دستور زير اعمال كنيم:

router1(config)#aaa authentication

       username-prompt “enter your username”

router1(config)#aaa authentication

       password-prompt “enter your password”

همچنين، اگر بخواهيم زماني كه اطلاعات وارد شده توسط كاربر اشتباه است، پيامي را نشان دهيم، مي‌توانيم آن را با استفاده از دستور زير نشان دهيم:

router1(config)#aaa authentication

 fail-message “wrong username or password

  Please try again…”

همچنين، مي‌توانيم تعداد تلاش‌هايي را كه كاربر مي‌تواند اطلاعات اشتباه وارد كند، محدود كنيم. پس از سومين تلاش براي وارد كردن اطلاعات، ارتباط به طور خودكار خاتمه مي يابد:

router1(config)#aaa authentication

       attempts login 3

 منبع : بررسي مفهوم AAA در امنيت شبكه به همراه پيكربندي

 

تا كنون نظري ثبت نشده است
ارسال نظر آزاد است، اما اگر قبلا در مونوبلاگ ثبت نام کرده اید می توانید ابتدا وارد شوید.
سه شنبه ۱۶ اردیبهشت ۰۴

نويسندگان

آرشيو

برچسب ها

محبوب ترين مطالب

پربحث ترين مطالب

آخرين نظرات

تازه ترين مطالب

پربازديدترين مطالب

پيوندها

خلاصه آمار

  • مجموع نمایش‌ ۱۴,۵۴۸
  • مجموع بازدید ۹,۰۲۳
  • بازدید امروز ۶۹
  • بازدید دیروز ۱
  • مجموع مطالب ۲۵۸
  • مجموع نظرات ۵
  • افراد آنلاین ۲
مونو بلاگ : رسـانه وبلاگ نويسان حرفـه اي