Loading…

جزیره شبکه و زیرساخت

ارسال کننده: jeffar
جعفر قنبری شوهانی ، مدیر ارشد وب سایت ITPRO ، کارشناس ارشد شبکه ، بیش از 8 سال سابقه اجرایی سطح کلان (بانک ها ، موسسه مالی ، ادارات دولتی) ، در حال حاضر مهندس شبکه در شرکت توزیع برق مشهد ، تخصص در حوزه های سیسکو و زیرساخت های مبتنی بر آن ، سرویس های مایکروسافت ، VoIP ، امنیت شبکه ، مانیتورینگ و NOC و طراحی و پیاده سازی مرکز داده ، مدرس و مشاور در حوزه زیرساخت شبکه و ... کانال اطلاع رسانی من در تلگرام https://telegram.me/ghanbarinetwork
ارسال پیام خصوصی
امتیازات این مطلب
مقاله: AAA چیست و چگونه در تجهیزات سیسکو پیدا سازی می شود؟
به عنوان مدیر شبکه شما باید دسترسی به شبکه را برای کاربران فراهم کنید و همچنین شبکه را در برابر دسترسی های غیرمجاز محافظت کنید. مدل AAA که از Authentication ، Authorization ، Accounting تشکیل شده است به شما کمک می کند که دسترسی به شبکه را مدیریت کنید این مدیریت شامل ، چه کسی ، به کجای شبکه و چه زمانی دسترسی داشته باشد. AAA برای یکسری خدمات امنیتی شبکه ارائه شده است تا از آن برای NAC) Network Access Control) استفاده شود. در این مقاله می خواهیم با مدل AAA آشنا شویم و نحوی راه اندازی آنرا فرا گیریم.
Image

مهاجمان تلاش می کنند به منابع حساس شبکه به صورت غیر مجاز دسترسی پیدا کنند. معماری AAA سیسکو به عنوان ابزاری برای جلوگیری از این تهدیدات و افزایش امنیت دسترسی مورد استفاده قرار می گیرد. در یک شبکه علاوه بر کاربران عادی و مهاجمین ، مدیران شبکه نیز برای دسترسی به منابع شبکه تلاش می کنند. AAA این دسترسی را به صورت امن فراهم می کند.
در محیط های سیسکو دسترسی به شبکه از طریق اینترنت ، Dialup و یا campus توسط سه بخش Authentication ، Authorization و Accounting انجام می شود.
  • Authentication : این بخش وظیفه تایید هویت را دارد و مشخص می کند کاربر اجازه دسترسی به شبکه را دارد یا خیر. در این بخش از مکانیزم های مختلفی مانند یوزر و پسورد یا Token Cards می توان استفاده کرد.
  • Authorization : بعد از اینکه تایید هویت توسط بخش Authentication ، بخش Authorization برای مشخص کردن سطح دسترسی به کار می رود. در واقع در این بخش مشخص می شود که کاربر اجازه دارد به چه منابعی دسترسی پیدا کند و چه کارهایی انجام دهد.
  • Accounting : بعد از انجام شدن Authentication و Authorization ، کاربر به شبکه دسترسی پیدا می کند و شروع به استفاده از منابع می کند. این بخش وظیفه دارد که عملکرد کاربر را ضبط کند اینکه کاربر چه کاری انجام داده و به کجا و به چه مدت متصل بوده است.

نقش ها در AAA :


• AAA Client : این نقش درخواست تایید هویت را به AAA Server ارسال می کند و براساس پاسخ سرور به کاربر اجازه یا عدم اجازه ورود می دهد. این نقش توسط تجهیزاتی مانند روتر ، اکسس پوینت و ... انجام می شود.
• AAA Server : این نقش درخواست ارسال شده توسط AAA Client را با دیتابیس خود بررسی و نتیجه را به AAA Client اعلام می کند. این نقش توسط سخت افزار یا نرم افزار می تواند انجام گردد.

AAA Protocol :


AAA برای ارتباط خود با AAA Server از دو نوع پروتکل می تواند استفاده کند که به تشریح آنها می پردازیم :
• Radius : یک پروتکل عمومی است. ارتباط آن از نوع UDP و از شماره پورت های 1645 و 1812 برای Authentication و Authorization و از شماره پورت های 1646 و 1813 برای Accounting استفاده می کند. فقط پسورد را رمز می کند. Authentication و Authorization را به عنوان یک سرویس در هم ادغام می کند و فقط جهت کنترل دسترسی کاربران مورد استفاده قرار می گیرد.
• TACACS+ : توسط شرکت سیسکو ارائه شده و به عنوان یک استاندارد عمومی انتشار یافته است. ارتباط آن از نوع TCP و از شماره پورت 49 استفاده می کند. این پروتکل کل بسته را رمزنگاری می کند. سه بخش AAA را به صورت جداگانه انجام می دهد و همچنین می توان برای کنترل دستورات در تجهیزات از آن استفاده کرد.
در جدول زیر این دو پروتکل با یکدیگر مقایسه شده اند.
Image


AAA در سیسکو :


سیسکو برای اجرای AAA سه روش را فراهم کرده است :
Cisco Secure ACS Solution Engine : در این روش ، AAA روی دستگاهی مانند روتر که به عنوان دروازه ورود به شبکه برای دسترسی به منابع شبکه محسوب می شود فعال می گردد و برای تایید و کنترل دسترسی با Cisco Secure ACS Solution Engine ارتباط برقرار می کند. Cisco Secure ACS SE یک دستگاه (Appliance) مستقل می باشد که CSA روی آن قرار گرفته است. نصب و راه اندازی Cisco Secure ACS SE روی یک دستگاه مانند PC امکان پذیر است اما نصب و راه اندازی این روش نیاز به خرید سخت افزار ، تهیه یک سیستم عامل و نصب CSA روی این سخت افزار و مسائل مربوط به License دارد و این مراحل بسیار پیچیده و سخت و زمانبر می باشد.به همین خاطر استفاده از این Appliance برای بسیاری از سازمان ها ساده تر می باشد. در تصویر زیر این Appliance نمایش داده شده است.
Image

• Cisco Secure Access Control Server (ACS) For Windows Server : در این روش ، AAA همانند روش قبل روی دستگاهی مانند روتر که به عنوان دروازه ورود به شبکه برای دسترسی به منابع شبکه محسوب می شود فعال می گردد و برای تایید و کنترل دسترسی با نرم افزار ACS که روی یک سرور ویندوزی نصب شده است ارتباط برقرار می کند.
• Self-Contained AAA : در این روش تایید و کنترل کاربران توسط خود دستگاه مانند روتر انجام می گیرد. در این حالت روی خود دستگاه کاربران تعریف و استفاده می شوند. به این روش Local Authentication نیز گفته می شود.

نکته : غیر از روش هایی که توسط سیسکو ارائه شده است می توان از سایر نرم افزار هایی که به عنوان AAA Server شناخته می شوند برای تایید و احراز هویت استفاده کرد. از Active Directory ویندوز نیز به عنوان AAA Server می توان استفاده کرد.
نکته : از پرکاربردترین مصارف AAA می توان تایید و کنترل دسترسی به شبکه از راه دور مانند VPN و Dialup را نام برد.
نکته : از حالت Local Authentication برای ایجاد گروه کوچکی از کاربران برای یک دستگاه جهت دسترسی به شبکه استفاده می شود برای ایجاد کاربران به صورت local از دستور username itpro password 123 استفاده می شود.
نکته : برای ایجاد دسترسی برای تعداد زیادی یوزر و استفاده توسط دستگاه های مختلف از یک دیتابیس خارجی مانند نرم افزار ACS استفاده می شود و توسط AAA به اطلاعات این دیتابیس دسترسی پیدا می کند.

نویسنده : جعفر قنبری شوهانی
منبع : انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.
دیدگاه ها
  • ارسال توسط:
  • زمان ارسال: 22 ماه قبل
سلام
تشکر مهندس قنبری عزیز

  • ارسال توسط:
  • زمان ارسال: 22 ماه قبل
سلام
جناب مهندس متشکر...
  • ارسال توسط:
  • زمان ارسال: 3 ماه قبل
سلام
آموزش نحوه پیکربندی دسترسی به تجهیزات با استفاده از OTP رو ممنون میشم رو قرار بدهید
برای ارسال نظر وارد شوید.