جعفر قنبری شوهانی
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

AAA چیست و چگونه در تجهیزات سیسکو پیاده سازی می شود؟

AAA چیست؟ تریپل A چیست؟ به عنوان مدیر شبکه شما باید دسترسی به شبکه را برای کاربران فراهم کنید و همچنین شبکه را در برابر دسترسی های غیرمجاز محافظت کنید. مدل AAA که از Authentication ، Authorization ، Accounting تشکیل شده است به شما کمک می کند که دسترسی به شبکه را مدیریت کنید این مدیریت شامل ، چه کسی ، به کجای شبکه و چه زمانی دسترسی داشته باشد. AAA برای یکسری خدمات امنیتی شبکه ارائه شده است تا از آن برای NAC) Network Access Control) استفاده شود. در این مقاله می خواهیم با مدل AAA آشنا شویم و نحوی راه اندازی آنرا فرا گیریم.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
  1. نقش ها در AAA
  2. AAA Protocol
  3. AAA در سیسکو
وب سایت توسینسو

مهاجمان تلاش می کنند به منابع حساس شبکه به صورت غیر مجاز دسترسی پیدا کنند. معماری AAA سیسکو به عنوان ابزاری برای جلوگیری از این تهدیدات و افزایش امنیت دسترسی مورد استفاده قرار می گیرد. در یک شبکه علاوه بر کاربران عادی و مهاجمین ، مدیران شبکه نیز برای دسترسی به منابع شبکه تلاش می کنند. AAA این دسترسی را به صورت امن فراهم می کند.در محیط های سیسکو دسترسی به شبکه از طریق اینترنت ، Dialup و یا campus توسط سه بخش Authentication ، Authorization و Accounting انجام می شود.

  • Authentication : این بخش وظیفه تایید هویت را دارد و مشخص می کند کاربر اجازه دسترسی به شبکه را دارد یا خیر. در این بخش از مکانیزم های مختلفی مانند یوزر و پسورد یا Token Cards می توان استفاده کرد.
  • Authorization : بعد از اینکه تایید هویت توسط بخش Authentication ، بخش Authorization برای مشخص کردن سطح دسترسی به کار می رود. در واقع در این بخش مشخص می شود که کاربر اجازه دارد به چه منابعی دسترسی پیدا کند و چه کارهایی انجام دهد.
  • Accounting : بعد از انجام شدن Authentication و Authorization ، کاربر به شبکه دسترسی پیدا می کند و شروع به استفاده از منابع می کند. این بخش وظیفه دارد که عملکرد کاربر را ضبط کند اینکه کاربر چه کاری انجام داده و به کجا و به چه مدت متصل بوده است.

نقش ها در AAA

  • AAA Client : این نقش درخواست تایید هویت را به AAA Server ارسال می کند و براساس پاسخ سرور به کاربر اجازه یا عدم اجازه ورود می دهد. این نقش توسط تجهیزاتی مانند روتر ، اکسس پوینت و ... انجام می شود.
  • AAA Server : این نقش درخواست ارسال شده توسط AAA Client را با دیتابیس خود بررسی و نتیجه را به AAA Client اعلام می کند. این نقش توسط سخت افزار یا نرم افزار می تواند انجام گردد.

AAA Protocol

AAA برای ارتباط خود با AAA Server از دو نوع پروتکل می تواند استفاده کند که به تشریح آنها می پردازیم :

  • Radius : یک پروتکل عمومی است. ارتباط آن از نوع UDP و از شماره پورت های 1645 و 1812 برای Authentication و Authorization و از شماره پورت های 1646 و 1813 برای Accounting استفاده می کند. فقط پسورد را رمز می کند. Authentication و Authorization را به عنوان یک سرویس در هم ادغام می کند و فقط جهت کنترل دسترسی کاربران مورد استفاده قرار می گیرد.
  • TACACS+ : توسط شرکت سیسکو ارائه شده و به عنوان یک استاندارد عمومی انتشار یافته است. ارتباط آن از نوع TCP و از شماره پورت 49 استفاده می کند. این پروتکل کل بسته را رمزنگاری می کند. سه بخش AAA را به صورت جداگانه انجام می دهد و همچنین می توان برای کنترل دستورات در تجهیزات از آن استفاده کرد.

در جدول زیر این دو پروتکل با یکدیگر مقایسه شده اند.

وب سایت توسینسو

AAA در سیسکو

سیسکو برای اجرای AAA سه روش را فراهم کرده است :

  • Cisco Secure ACS Solution Engine : در این روش ، AAA روی دستگاهی مانند روتر که به عنوان دروازه ورود به شبکه برای دسترسی به منابع شبکه محسوب می شود فعال می گردد و برای تایید و کنترل دسترسی با Cisco Secure ACS Solution Engine ارتباط برقرار می کند. Cisco Secure ACS SE یک دستگاه (Appliance) مستقل می باشد که CSA روی آن قرار گرفته است. نصب و راه اندازی Cisco Secure ACS SE روی یک دستگاه مانند PC امکان پذیر است اما نصب و راه اندازی این روش نیاز به خرید سخت افزار ، تهیه یک سیستم عامل و نصب CSA روی این سخت افزار و مسائل مربوط به License دارد و این مراحل بسیار پیچیده و سخت و زمانبر می باشد.به همین خاطر استفاده از این Appliance برای بسیاری از سازمان ها ساده تر می باشد. در تصویر زیر این Appliance نمایش داده شده است.
وب سایت توسینسو
  • Cisco Secure Access Control Server (ACS) For Windows Server : در این روش ، AAA همانند روش قبل روی دستگاهی مانند روتر که به عنوان دروازه ورود به شبکه برای دسترسی به منابع شبکه محسوب می شود فعال می گردد و برای تایید و کنترل دسترسی با نرم افزار ACS که روی یک سرور ویندوزی نصب شده است ارتباط برقرار می کند.
  • Self-Contained AAA : در این روش تایید و کنترل کاربران توسط خود دستگاه مانند روتر انجام می گیرد. در این حالت روی خود دستگاه کاربران تعریف و استفاده می شوند. به این روش Local Authentication نیز گفته می شود.
  1. نکته : غیر از روش هایی که توسط سیسکو ارائه شده است می توان از سایر نرم افزار هایی که به عنوان AAA Server شناخته می شوند برای تایید و احراز هویت استفاده کرد. از Active Directory ویندوز نیز به عنوان AAA Server می توان استفاده کرد.
  2. نکته : از پرکاربردترین مصارف AAA می توان تایید و کنترل دسترسی به شبکه از راه دور مانند VPN و Dialup را نام برد.
  3. نکته : از حالت Local Authentication برای ایجاد گروه کوچکی از کاربران برای یک دستگاه جهت دسترسی به شبکه استفاده می شود برای ایجاد کاربران به صورت local از دستور username itpro password 123 استفاده می شود.
  4. نکته : برای ایجاد دسترسی برای تعداد زیادی یوزر و استفاده توسط دستگاه های مختلف از یک دیتابیس خارجی مانند نرم افزار ACS استفاده می شود و توسط AAA به اطلاعات این دیتابیس دسترسی پیدا می کند.

جعفر قنبری شوهانی
جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

نظرات