Perle Systems - Technischer Hinweis
Verwenden von AAA-Sicherheit für Netzwerkgeräte
Authentifizierung, Autorisierung und Accounting
In großen Unternehmen werden häufig verteilte Sicherheitssysteme eingesetzt, die Netzwerke und Netzwerkdienste vor unberechtigten Zugriffen schützen. Dadurch kann kontrolliert werden, wer eine Verbindung zum Netzwerk herstellen kann, und auf welche Dienste diese Benutzer zugreifen dürfen. Außerdem kann ein Prüfprotokoll (Audit-Trail) der Benutzeraktivitäten erstellt werden.
AAA-Protokolle (Authentifizierung, Autorisierung, Accounting) wie RADIUS (RFC 2865) und TACACS+, die von Cisco entwickelt wurden, sollen hier eine Lösung bieten. Die AAA-Architektur ermöglicht es berechtigten Benutzern, auf Netzwerkkomponenten zuzugreifen, während gleichzeitig unbefugte Zugriffe verhindert werden.
Die Secure ACS-Anwendung von Cisco ermöglicht heute z. B. in vielen Großunternehmen bei Verwendung des TACACS+ Protokolls einen AAA-Schutz für den Netzwerkzugriff. Lassen Sie uns die Elemente in einem AAA-Sicherheitsschema untersuchen.
Authentifizierung
User-ID-/Passwort-Systeme bieten bei Netzwerkgeräten nur ein geringes Maß an Sicherheit. Es wird eine begrenzte Anzahl von Konto-IDs konfiguriert, die bei jedem Gerät verwaltet werden müssen. Jedesmal wenn ein Konto hinzugefügt, gelöscht oder geändert wird, muss auf jedes System einzeln zugegriffen werden. Das ist kostspielig und fehleranfällig. Außerdem muss sich jeder Benutzer seine eigene Benutzerkennung und sein Passwort merken, um auf das System zugreifen zu können. Da Benutzer sich heute viele verschiedene User-IDs und Passwörter merken müssen, kann dies gerade dann Probleme verursachen, wenn der Benutzer einmal dringend auf das System zugreifen muss. Da User-IDs und Passwörter unverschlüsselt über das Netzwerk gesendet werden, können diese Informationen mit einfacher Verfolgungsausrüstung ohne weiteres erfasst werden. Damit ist Ihr Netzwerk einem Sicherheitsrisiko ausgesetzt.
Durch die Verwendung eines AAA-Systems werden diese Probleme beseitigt. IDs und Passwörter sind alle zentralisiert und vorhandene Konten können verwendet werden, um auf neue Geräte zuzugreifen, wenn sich das Netzwerk ändert oder wächst. Prozesse zum Aktualisieren bereits vorhandener Konten eliminieren Fehler und Frustrationen für Benutzer. IDs und Passwörter werden mit einem bewährten Hashing-Algorithmus verschlüsselt. Daher sind Ihre Konten vor neugierigen Blicken geschützt.
Es können auch primäre und sekundäre Authentifizierungsserver eingerichtet werden, um den Zugang zu gewährleisten. Dabei können unterschiedliche Servertypen kombiniert werden.
Autorisierung
Nachdem der Benutzer authentifiziert wurde, gibt die Authentifizierung vor, auf welche Ressourcen der Benutzer zugreifen und welche Vorgänge er ausführen darf. Die Profile, entweder „Administration“-Benutzer mit vollständiger Read/Write-Funktion oder „Operator“-Benutzer mit schreibgeschütztem Zugang, werden vom Authentifizierungsserver aus konfiguriert und kontrolliert. Dieser zentralisierte Vorgang macht ein mühseliges Bearbeiten „nach Einheit“ überflüssig.
Accounting
Das Accountingelement der AAA-Server bietet einen Prüfpfad dazu, wie jeder Benutzer eine Verbindung herstellt, welche IP-Adresse er nutzt und wie lange er verbunden war. Mit diesen Informationen können Administratoren ganz einfach vergangene Probleme in Bezug auf Sicherheit und operativen Zugang überprüfen.
