معرفی مدل AAA و پروتکل Radius

امروزه مبحث اعتبارسنجی در شبکه‌ها به یکی از مهمترین مباحث تبدیل شده است. کاربران از طریق دستگاه‌های مختلف به داده‌های شبکه و منابع شبکه دسترسی پیدا می‌کنند. این اتفاق از طریق طیف وسیعی از سخت‌افزارها رخ می‌دهد. سوئیچ‌های اترنت، اکسس‌پوینت‌های Wi-Fi، VPN سرورها، اجازه‌ی دسترسی به شبکه را فراهم می‌کنند. این دستگاه‌ها که دسترسی کاربران به شبکه را برقرار می‌کنند، (NAS (Network Access Server نامیده می‌شوند. از طرفی لازم است که دستگاه‌های NAS کاربران را کنترل و سطحی از امنیت را فراهم کنند. این لزوم معمولا تحت عناوین Authentication، Authorization و Accounting یا مدل AAA تعریف می‌شوند. AAA (بخوانید Triple A) یک مدل معماری است که می‌توان برای پیاده‌سازی‌های خاص آن را به کار برد. در این مقاله به بررسی مدل AAA و پروتکل Radius می‌پردازیم.

پیش از این که AAA را دقیق‌تر بررسی کنیم، برای بیان مثال‌های خود از شخصیت های آلیس و آیزاک استفاده می‌کنیم. آلیس کاربری است که می‌خواهد به آیزاک که یک ISP است متصل شود.

احراز هویت (Authentication)

احراز هویت نخستین گام برای دسترسی به شبکه و سرویس‌های آن است. فرآیند احراز هویت بیان می‌کند که آیا مدارکی که آلیس ارائه کرده مورد قبول است یا خیر؟
معمول‌ترین راه برای ارائه‌ی مدرک (Credential) جهت احراز هویت نام کاربری و کلمه‌ی عبور است. راه‌های دیگری مانند توکن‌های یک‌بار‌مصرف، گواهی‌نامه‌ها، PIN Numberها و یا حتی مشخصه‌های بایومتریک نیز وجود دارد .

پروتکل Radius و مدل AAA

بعد از اینکه احراز هویت با موفقیت به اتمام رسید نشستی آغار می‌شود و این نشست تا زمانی که ارتباط با شبکه خاتمه یابد طول می‌کشد.
شکل زیر فرآیند احراز هویت با مثال ملموس کار با دستگاه خودپرداز را نشان می‌دهد. این فرآیند به شما اجازه می‌دهد به شبکه‌ی بانک متصل شوید.

پروتکل Radius و مدل AAA

سطح دسترسی (Authorization)

سطح دسترسی به این معنا است که آیزاک میزان دسترسی به منابع را کنترل می‌کند. بعد از این که آلیس عملیات احراز هویت را انجام داد، آیزاک می‌تواند محدودیت‌های مشخصی یا سطح دسترسی‌های خاصی برای آلیس ایجاد کند. برای مثال آیزاک می‌تواند تعیین کند که آلیس با چه دستگاه یا وسیله‌ای می‌تواند به شبکه متصل شود. آیزاک می‌‌تواند تعداد نشست‌های باز آلیس را محدود کند و یا اینکه یک آدرس IP از پیش تعیین شده به آلیس بدهد و فقط اجازه‌ی عبور ترافیک مشخصی را به آن بدهد.

پروتکل Radius و مدل AAA

تعیین سطوح دسترسی معمولا بر اساس یک منطقی صورت می‌پذیرد. به عنوان مثال اگر آلیس عضو گروه دانشجویان است، پس اجازه‌ی دسترسی به اینترنت در ساعت‌های کاری به او داده نمی‌شود. این منطق می‌تواند بر اساس پارامترهای بسیاری باشد. تصمیم‌گیری‌ها برای Authorization می‌تواند بر اساس “عضویت در گروه”، “NASای که از طریق آن به شبکه متصل هستید” و یا حتی “زمان و ساعت دسترسی به منابع” باشد.

اگر به مثال خودپرداز بانک برگردیم، ملاحظه می‌کنید که اگر آلیس درخواست برداشت مبلغی بیشتر از میزان موجودی حسابش را کند، آیزاک او را محدود به موجودی حسابش می‌کند و اجازه برداشت بیشتر را به او نمی‌دهد.

پروتکل Radius و مدل AAA

حسابرسی (Accounting)

Accounting یعنی محاسبه‌ی میزان استفاده از منابع. پس از این که آیزاک آلیس را شناخت (Authentication) و کنترل‌های لازم را روی نشست آن اعمال کرد (Authorization)، او می‌تواند میزان استفاده‌ی آلیس را محاسبه کند. Accounting فرآیند مداوم اندازه‌گیری میزان استفاده از منابع است. داده‌های حسابرسی به آیزاک اجازه می‌دهد صورت حساب آلیس را بدست بیاورد.
داده‌های حسابرسی فقط برای محاسبه صورت حساب نیست و می‌توان از این داده‌ها برای برنامه‌ریزی‌های آینده، ارزیابی و نظارت بهره برد.

در شکل زیر ملاحظه می‌کنید که آلیس صورت حساب هفته‌ی قبل خود را درخواست می‌کند و آیزاک در جواب مقادیر صورت حساب هفته‌ی قبل را بر حسب روزهای هفته به آلیس برمی‌گرداند.

پروتکل Radius و مدل AAA

پروتکل Radius

از پروتکل Radius برای فراهم کردن AAA بر روی TCP/IP استفاده می‌شود. کلمه‌ی Radius مخفف شده‌ی عبارت Remote Access Dial In User Service است. پشتیبانی از پروتکل Radius و استانداردهایش متاثر از نیازمندی‌های سازندگان‌ NASها است. Radius در مکان‌های مختلفی استفاده می‌شود؛ در شبکه‌های موبایل که میلیون‌ها کاربر دارند تا استارت‌آپ‌های کوچک. ISPها و مدیران شبکه باید با Radius آشنا باشند چون در دستگاه‌های مختلفی از آن استفاده می‌شود تا دسترسی به شبکه‌ی TCP/IP کنترل شود. در زیر مثال‌هایی آورده شده است:

فایروالی با سرویس VPN می‌تواند از Radius استفاده کند.

اکسس‌پوینت Wi-Fi با رمزنگاری WPA-2-Enterprise درگیر Radius است.

زمانی که آلیس از طریق مخابرات و با زیرساخت DSL به شبکه متصل می‌شود، مخابرات از طریق Radius می‌تواند بررسی کند که آیا آلیس می‌تواند به اینترنت متصل شود یا نه.

پروتکل Radius در RFC2865 بیان شده است اما مبحث accounting در آن وجود ندارد، این مبحث در RFC2866 بیان شده است.

پروتکل Radius یک پروتکل client/server است که از UDP برای برقرار کردن ارتباط استفاده می‌کند. استفاده از UDP بجای TCP نشان می‌دهد که ارتباطات سخت‌گیرانه نیستند. یک جریان معمولی از داده بین کلاینت و سرور شامل یک درخواست از سوی کلاینت است و به دنبال آن یک جواب از سوی سرور است. این موضوع باعث می‌شود که Radius یک پروتکل سبک باشد و کارایی بسیاری در شبکه‌های کند داشته باشد. قبل از برقراری ارتباط موفق بین کلاینت و سرور، در هر کدام باید یک عبارت امنیتی مشترک تعریف شود. از این عبارت برای احراز هویت کلاینت استفاده می‌شود.

در شکل زیر ملاحظه می‌کنید که NAS مانند یک Radius کلاینت عمل می‌کند.

 AAA و Radius

پاسخ دهید

آدرس ایمیل شما منتشر نخواهد شد. فیلدهای اجباری مشخص شده اند *
شما می توانید از این تگ های HTML و ویژگی ها استفاده کنید: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>