AAA یا همان authentication authorization accounting چیست؟
AAA (بخوانید تریپل A) یک معماری امنیتی برای کنترل دسترسی به منابع شبکه است. این معماری براساس سه المان authentication (احراز هویت) و authorization (مجوز) و accounting (حسابرسی) کار میکند. این پردازشهای ترکیبی برای مدیریت شبکه و امنیت آن کاملاً ضروری هستند.
احراز هویت
در اولین مرحله، یکی از روش های احرازهویت (مانند نام کاربری و کلمه عبور، بحث های biometrical (از جمله اثر انگشت، تشخیص چهره و …) و …) برای شناسایی کاربری که می خواهد در یک شبکه کار کند اتفاق می افتد. در این مرحله، کاربر پارامترهای احرازهویت خود را برای سرور ارسال کرده و سرور آنرا بررسی میکند. روش های احرازهویت به دو صورت LOCAL و متمرکز امکان پذیر است.
اعطای مجوز
مرحله ی پس از اعتبار سنجی و یا همان احراز هویت، مشخص شدن میزان دسترسی به منابع میباشد که به آن authorization می گویند. به این ترتیب، تمام حساب های کاربری ایی که احراز هویت شده و تعیین سطح دسترسی خواهند شد. پردازش Authorization مشخص میکند که آیا کاربر اجازه اجرای آن دستورات خاص را دارد یا خیر. به بیان سادهتر Authorization پردازشی است برای کاربر که سیاستهایی خاص را در رابطه با نوع فعالیت، کیفیت، منابع و سرویسها برقرار میکند. معمولاً Authorization همراه با Authentication صورت میگیرد.
حسابرسی
قسمت آخر چهارچوب AAA ،Accounting میباشد که میزان استفاده کاربر را در طول دسترسی مشخص میکند. Accounting مشخص میکند که کاربر مجوز استفاده از چه مدت و به چه مقدار اطلاعات در طول برقراری یک Session را دارد.
AAA Server درخواست ایستگاه کاری را مبنی بر استفاده از منابع شبکه دریافت میکند و سعی در Authenticate کاربر مینماید سپس حدود دسترسی کاربر را به ایستگاه کاری ارسال مینماید. AAA Server ممکن است بهصورت محلی Authentication را انجام دهد و یا اینکه مانند یک Proxy عمل کرده و درخواست را به AAA Server دیگری انتقال دهد. پس از Forward کردن درخواست این سرور انتقال اطلاعات را بین سرور دسترسی شبکه و AAA Server ادامه میدهد. در انتها میزان دسترسی کاربر با توجه به تنظیمات قبلی لحاظ میشود.
پروتکلهای AAA
AAA برای ارتباط خود با AAA Server از دو نوع پروتکل Radius و TACACS+ استفاده میکند.
Radius یک پروتکل عمومی که فقط پسورد را رمز است . ارتباط آن از نوع UDP بوده و از شماره پورتهای ۱۶۴۵ و ۱۸۱۲ برای Authentication و Authorization و از شماره پورتهای ۱۸۱۳ و ۱۶۴۶ برای Accounting استفاده میکند. Authentication و Authorization را بهعنوان یک سرویس در هم ادغام میکند و فقط جهت کنترل دسترسی کاربران مورداستفاده قرار میگیرد.
TACACS توسط شرکت سیسکو ارائه شده و بهعنوان یک استاندارد عمومی انتشار یافته است. ارتباط آن از نوع TCP بوده و از شماره پورت ۴۹ استفاده میکند. این پروتکل کل بسته را رمزنگاری میکند. سه بخش AAA را بهصورت جداگانه انجام میدهد و همچنین میتوان برای کنترل دستورات در تجهیزات از آن استفاده کرد.