AAA – grunder

Nätverksautentisering, auktorisering och granskning (Authentication Authorization Accounting, uttalad “triple-A”) är en teknik lika gammal som det Internet vi känner till idag. AAA standard kan beskrivas som en uppsättning av säkerhetsmekanismer som verifierar ens identitet, behörighet och handlingar.

  • Autentisering frågar “Vem eller vad är du?”
  • Auktorisering frågar “Vad är du tillåten att göra?”
  • Granskning frågar “Vad gjorde du?”

Dessa grundläggande säkerhets principer används i dagens nätverk för att möjliggöra en dynamisk säkerhet. Med dynamisk säkerhet menas att nätverk är inte längre begränsat till lokala anslutningar utan till anslutningar utifrån nätverket. Idag kan servrar fjärr administreras och datoranvändare får ansluta sig till ett nätverk från vilken plats som helst. Det är AAA standarden som möjliggör det genom att säkra åtkomst utifrån det lokala nätverket.

Kärnkomponenter av AAA

Bild 1: AAA komponenter
  • Supplicant – Klienten är enheten som försöker få åtkomst till nätverket. Klienten autentiserar sig själv, eller det fungerar som en proxy för att verifiera användaren.
  • Policy Enforcement Point (Authenticator) – Policy Enforcement Point (PEP) kallas ibland autentiserings- eller inloggningsservern, VPN-koncentrator, brandvägg, gateway GPRS-supportnät, Ethernet-switch, trådlös åtkomstpunkt, eller en inline-säkerhetsgateway. PEP ansvarar för att tillämpa villkoren för kundens tillgång.
  • Policy Information Point: Policy Information Point (PIP) är information som hjälper till att göra åtkomstbeslutet. Det kan vara en databas med enhets-ID, en användarkatalog som LDAP (Lightweight Directory Access Protocol), en enstaka lösenords (OTP) token-server eller något annat system som innehåller data som är relevant för en enhet eller användares åtkomstförfrågan.
  • Policy Decision Point (AAA Server): Policy Decision Point (PDP) är hjärnan i AAA-beslutet. Den samlar begäran om åtkomst från klienten via PEP. Den frågar också eventuella relevanta PIP för att samla in den information som behövs för att göra åtkomstbeslutet. PDP, som namnet antyder, är den enhet som gör det slutliga beslutet om nätverksåtkomst. Det kan också skicka specifika godkännanden tillbaka till PEP som tillämpar inställningar eller begränsningar till klientens nätverkstrafik.
  • Accouting and Reporting System – Oavsett om det är ett dedikerat system eller byggt som en del av en PDP, är spårning av nätverket med Accounting en av de bästa egenskaperna hos AAA. Med alla former av nätverksåtkomst som nu erbjuder kontrollerad åtkomst kan AAA-tjänsten berätta vem som kom på nätverket, varifrån och vilken den personen fick tillgång till.

Det är viktigt att notera att de föregående kategorierna är logiska behållare av funktioner och inte nödvändigtvis dedikerade fysiska enheter. Ofta kombineras element, såsom PEP med PDP och PDP med PIP.

Cisco autentiseringsmetoder

Lokalt autentisering – Inloggningskonto skapas och lagras lokalt på en switch eller router, men även på en WLC. Så här kan det gå till vid lokalt inloggning:

Bild 2: Lokal inloggning
  1. Klienten etablera en uppkoppling med AAA-routern
  2.  AAA-routern skickar en inloggningsprompt för användarnamn och lösenord
  3. Klienten (supplicant) skickar inloggningsuppgifter
  4. AAA-routern autentiserar inloggningsuppgifter grundad i kontroller i den lokala databasen

Dedikerad autentiseringsserver – Inloggningskonto skapas och lagras på en extern servern exempelvis:

    • TACACS+ som är ett Cisco protokoll implementerat i Cisco nätverkshanterare.
    • RADIUS som är ett standard öppen protokoll.
    • LDAP som är ett öppet protokoll

Så här kan det gå till vid inloggning via en autentiseringsserver:

Bild 3: Extern inloggning
  1. Klienten etablera en uppkoppling med AAA-routern
  2.  AAA-routern skickar en inloggningsprompt för användarnamn och lösenord
  3. Klienten (supplicant) skickar inloggningsuppgifter
  4. AAA-routern autentiserar inloggningsuppgifter med hjälp av en AAA server (intern eller extern server)
  5. Klienten autentiseras och auktoriseras (klienten får logga in och får också specifika behörigheter)

AAA granskning (Accounting) – När inloggningen av en klient är godkänd kontrolleras allt klienten gör på den hanterade router eller switch. Så här kan det gå till granskningen:

Bild4: AAA granskning (Accounting)
  1. AAA aktiverad router eller server startar en inloggningsprocess och genererar en startmeddelande.
  2. AAA granskningsprocesser sparar alla kommando och åtkomst  tills processen slutar när klienten loggar ut.

Kryptering i AAA

Kryptering är en viktig del inom AAA. Hela inloggningsprocessen krypteras beroende på vilket system man använder. AAA server kompletteras med andra servrar som kör katalogtjänster som Active Directory.

Krypterings syfte är att hålla information privat och endast för behöriga åtkomsten samt skydda integriteten. Det innebär att information ska inte ändras även om den är i rörelse från avsändare till mottagaren. Det finns flera sätt att använda kryptering exempelvis lokal kryptering av filer i en disk, i ett USB minne, eller kryptera hela disken. Mejl också bör krypteras till exempel med protokollet PGP, Pretty Good Privacy. Nätverkstrafik kan krypteras med protokollet IPSec och applikationer med SSl.

Det är också bra att tänka på räckvidden för säkerhetsfunktioner:

  • Vill man kryptera en-till-en (avsändare-mottagare) ska man använda exempelvis SSL.
  • Vill man kryptera nätverkstrafiken från en sajt till en annan är kanske VPN den bästa lösningen.
  • Vill man komma åt ett nätverk från en extern nätverk så är Remote Access med VPN ett säker alternativ
  • Trådlös kommunikation kan säkra nätverkstrafiken mellan trådlösa klientdator och accesspunkten, men där slutar krypteringen.

Här nedan en video från TrainSignal som förklarar grunder om AAA.