AAA – grunder

Nätverksautentisering, auktorisering och granskning (Authentication Authorization Accounting, uttalad “triple-A”) är en teknik lika gammal som det Internet vi känner till idag. AAA standard kan beskrivas som en uppsättning av säkerhetsmekanismer som verifierar ens identitet, behörighet och handlingar.

  • Autentisering frågar “Vem eller vad är du?”
  • Auktorisering frågar “Vad är du tillåten att göra?”
  • Granskning frågar “Vad gjorde du?”

Dessa grundläggande säkerhetsprinciper används i dagens nätverk för att möjliggöra en dynamisk säkerhet. Med dynamisk säkerhet menas att nätverk är inte längre begränsat till lokala anslutningar utan till anslutningar utifrån nätverket. Idag kan servrar fjärradministreras och datoranvändare får ansluta sig till ett nätverk från vilken plats som helst. Det är AAA standarden som möjliggör det genom att säkra åtkomst utifrån det lokala nätverket.

Kärnkomponenter av AAA

  • Client – Klienten är enheten som försöker få åtkomst till nätverket. Klienten autentiserar sig själv, eller det fungerar som en proxy för att verifiera användaren.
  • Policy Enforcement Point (Authenticator) – Policy Enforcement Point (PEP) kallas ibland autentiserings- eller inloggningsservern, VPN-koncentrator, brandvägg, gateway GPRS-supportnät, Ethernet-switch, trådlös åtkomstpunkt, eller en inline-säkerhetsgateway. PEP ansvarar för att tillämpa villkoren för kundens tillgång.
  • Policy Information Point: Policy Information Point (PIP) är information som hjälper till att göra åtkomstbeslutet. Det kan vara en databas med enhets-ID, en användarkatalog som LDAP (Lightweight Directory Access Protocol), en enstaka lösenords (OTP) token-server eller något annat system som innehåller data som är relevant för en enhet eller användares åtkomstförfrågan.
  • Policy Decision Point (AAA Server): Policy Decision Point (PDP) är hjärnan i AAA-beslutet. Den samlar begäran om åtkomst från klienten via PEP. Den frågar också eventuella relevanta PIP för att samla in den information som behövs för att göra åtkomstbeslutet. PDP, som namnet antyder, är den enhet som gör det slutliga beslutet om nätverksåtkomst. Det kan också skicka specifika godkännanden tillbaka till PEP som tillämpar inställningar eller begränsningar till klientens nätverkstrafik.
  • Accouting and Reporting System – Oavsett om det är ett dedikerat system eller byggt som en del av en PDP, är spårning av nätverket med Accounting en av de bästa egenskaperna hos AAA. Med alla former av nätverksåtkomst som nu erbjuder kontrollerad åtkomst kan AAA-tjänsten berätta vem som kom på nätverket, varifrån och vilken den personen fick tillgång till.

Det är viktigt att notera att de föregående kategorierna är logiska behållare av funktioner och inte nödvändigtvis dedikerade fysiska enheter. Ofta kombineras element, såsom PEP med PDP och PDP med PIP.

Översikt av säkerhetsfunktioner

Cisco har två autentiseringsmetoder:

  • Lokalt autentisering – Inloggningskonto skapas och lagras lokalt på en switch eller router, men även på en WLC.
  • Dedikerad autentiseringsserver – Inloggningskonto skapas och lagras på en extern servern exempelvis:
    • TACACS+ som är ett Cisco protokoll implementerat i Cisco nätverkshanterare.
    • RADIUS som är ett standard öppen protokoll.
    • LDAP som är ett öppet protokoll

Krypterings syfte är hålla information privat och endast för behöriga åtkomsten samt skydda integriteten, vilket innebär att information inte ändras även om den är i rörelse från avsändare till mottagaren. Det finns flera sätt att använda kryptering exempelvis lokal kryptering av filer i en disk, i ett USB minne, eller kryptera hela disken. Mejl också bör krypteras till exempel med protokollet PGP, Pretty Good Privacy. Nätverkstrafik kan krypteras med protokollet IPSec och applikationer med SSl.

Det är också bra att tänka på räckvidden för säkerhetsfunktioner:

  • Vill man kryptera en-till-en (avsändare-mottagare) ska man använda exempelvis SSL.
  • Vill man kryptera nätverkstrafiken från en sajt till en annan är kanske VPN den bästa lösningen.
  • Vill man komma åt ett nätverk från en extern nätverk så är Remote Access med VPN ett säker alternativ
  • Trådlös kommunikation kan säkra nätverkstrafiken mellan trådlösa klientdator och accesspunkten, men där slutar krypteringen.

Här nedan en video från TrainSignal som förklarar grunder om AAA.