معرفی مدل AAA و پروتکل Radius

AAA Protocol

مدل AAA چیست؟

امروزه مبحث اعتبارسنجی در شبکه‌ها به یکی از مهمترین مباحث تبدیل شده است. کاربران از طریق دستگاه‌های مختلف به داده‌های شبکه و منابع آن دسترسی پیدا می‌کنند. این اتفاق از طریق طیف وسیعی از سخت‌افزارها رخ می‌دهد. سوئیچ‌های اترنت، اکسس‌پوینت‌های Wi-Fi، VPN سرورها، اجازه‌ی دسترسی به شبکه را فراهم می‌کنند. این دستگاه‌ها که دسترسی کاربران به شبکه را برقرار می‌کنند، (NAS (Network Access Server نامیده می‌شوند. از طرفی لازم است که دستگاه‌های NAS کاربران را کنترل و سطحی از امنیت را فراهم کنند. این لزوم معمولا تحت عناوین Authentication، Authorization و Accounting یا مدل AAA تعریف می‌شوند. AAA (بخوانید Triple A) یک مدل معماری است که می‌توان برای پیاده‌سازی‌های خاص آن را به کار برد. در این مقاله به بررسی مدل AAA و پروتکل Radius می‌پردازیم.

در این مطلب برای بیان مثال‌های خود از شخصیت های آلیس و آیزاک استفاده می‌کنیم. آلیس کاربری است که می‌خواهد به آیزاک که یک ISP است متصل شود.

احراز هویت (Authentication)

احراز هویت نخستین گام برای دسترسی به شبکه و سرویس‌های آن است. فرآیند احراز هویت بیان می‌کند که آیا مدارکی که آلیس ارائه کرده مورد قبول است یا خیر؟

معمول‌ترین راه برای ارائه‌ی مدرک (Credential) جهت احراز هویت نام کاربری و کلمه‌ی عبور است. راه‌های دیگری مانند توکن‌های یک‌بار‌مصرف، گواهی‌نامه‌ها، PIN Numberها و یا حتی مشخصه‌های بایومتریک نیز وجود دارد.

احراز هویت (Authentication) در مدل AAA با استفاده از نام کاربری و کلمه‌ی عبور

بعد از اینکه احراز هویت با موفقیت به اتمام رسید نشستی آغار می‌شود و این نشست تا زمانی که ارتباط با شبکه خاتمه یابد طول می‌کشد. شکل زیر فرآیند احراز هویت با مثال ملموس کار با دستگاه خودپرداز را نشان می‌دهد. این فرآیند به شما اجازه می‌دهد به شبکه‌ی بانک متصل شوید.

مثال فرآیند احراز هویت در کار با دستگاه خودپرداز در مدل AAA

سطح دسترسی (Authorization)

سطح دسترسی به این معنا است که آیزاک میزان دسترسی به منابع را کنترل می‌کند. بعد از این که آلیس عملیات احراز هویت را انجام داد، آیزاک می‌تواند محدودیت‌های مشخصی یا سطوح دسترسی‌ خاصی برای آلیس ایجاد کند. برای مثال آیزاک می‌تواند تعیین کند که آلیس با چه دستگاه یا وسیله‌ای به شبکه متصل شود. تعداد نشست‌های باز آلیس را محدود کند و یا اینکه یک آدرس IP از پیش تعیین شده به آلیس بدهد و فقط اجازه‌ی عبور ترافیک مشخصی را به آن بدهد.

تعیین سطوح دسترسی (Authorization) در مدل AAA

تعیین سطوح دسترسی معمولا بر اساس یک منطقی صورت می‌پذیرد. به عنوان مثال اگر آلیس عضو گروه دانشجویان است، پس اجازه‌ی دسترسی به اینترنت در ساعت‌های کاری به او داده نمی‌شود. این منطق می‌تواند بر اساس پارامترهای بسیاری باشد. تصمیم‌گیری‌ها برای Authorization می‌تواند بر اساس “عضویت در گروه NASای که از طریق آن به شبکه متصل هستید” و یا حتی “زمان و ساعت دسترسی به منابع” باشد.

اگر به مثال خودپرداز بانک برگردیم، ملاحظه می‌کنید که اگر آلیس درخواست برداشت مبلغی بیشتر از میزان موجودی حسابش را کند، آیزاک او را محدود به موجودی حسابش می‌کند و اجازه برداشت بیشتر به او نمی‌دهد.

مثال تعیین سطوح دسترسی (Authorization) در کار با دستگاه خودپرداز بر اساس مدل AAA

حسابرسی (Accounting)

Accounting یعنی محاسبه‌ی میزان استفاده از منابع. پس از این که آیزاک آلیس را شناخت (Authentication) و کنترل‌های لازم را روی نشست آن اعمال کرد (Authorization)، او می‌تواند میزان استفاده‌ی آلیس را محاسبه کند. Accounting فرآیند مداوم اندازه‌گیری میزان استفاده از منابع است. داده‌های حسابرسی به آیزاک اجازه می‌دهد صورت حساب آلیس را بدست بیاورد. داده‌های حسابرسی فقط برای محاسبه‌ی صورت حساب نیست و می‌توان از این داده‌ها برای برنامه‌ریزی‌های آینده، ارزیابی و نظارت بهره برد.

در شکل زیر ملاحظه می‌کنید که آلیس صورت حساب هفته‌ی قبل خود را درخواست می‌کند. آیزاک در جواب مقادیر صورت حساب هفته‌ی قبل را بر حسب روزهای هفته به آلیس برمی‌گرداند.

مثال حسابرسی (Accounting)در کار با دستگاه خودپرداز بر اساس مدل AAA

پروتکل Radius

از پروتکل Radius برای فراهم کردن AAA روی TCP/IP استفاده می‌شود. کلمه‌ی Radius مخفف شده‌ی عبارت Remote Access Dial In User Service است. پشتیبانی از پروتکل Radius و استانداردهایش متاثر از نیازمندی‌های سازندگان‌ NASها است. Radius در مکان‌های مختلفی استفاده می‌شود؛ از شبکه‌های موبایل که میلیون‌ها کاربر دارند تا استارت‌آپ‌های کوچک. ISPها و مدیران شبکه باید با Radius آشنا باشند، چون در دستگاه‌های مختلفی از آن استفاده می‌شود تا دسترسی به شبکه‌ی TCP/IP کنترل شود. در زیر مثال‌هایی آورده شده است:

  • فایروالی با سرویس VPN می‌تواند از Radius استفاده کند.
  • اکسس‌پوینت Wi-Fi با رمزنگاری WPA-2-Enterprise درگیر Radius است.
  • زمانی که آلیس از طریق مخابرات و با زیرساخت DSL به شبکه متصل می‌شود، مخابرات از طریق Radius می‌تواند بررسی کند که آیا آلیس می‌تواند به اینترنت متصل شود یا نه.

پروتکل Radius در RFC2865 بیان شده است اما مبحث accounting در آن وجود ندارد، این مبحث در RFC2866 بیان شده است.

پروتکل Radius یک پروتکل client/server است که از UDP برای برقرار کردن ارتباط استفاده می‌کند. استفاده از UDP بجای TCP نشان می‌دهد که ارتباطات سخت‌گیرانه نیستند. یک جریان معمولی از داده بین کلاینت و سرور شامل یک درخواست از سوی کلاینت است و به دنبال آن یک جواب از سوی سرور است. این موضوع باعث می‌شود که Radius یک پروتکل سبک باشد و کارایی بسیاری در شبکه‌های کند داشته باشد. قبل از برقراری ارتباط موفق بین کلاینت و سرور، در هر کدام باید یک عبارت امنیتی مشترک تعریف شود. از این عبارت برای احراز هویت کلاینت استفاده می‌شود. در شکل زیر ملاحظه می‌کنید که NAS مانند یک Radius کلاینت عمل می‌کند.

پروتکل Radius

جواب سوال خود را نیافتید؟ یا آنچه که در بالا گفته شد کافی نبود؟

آدرس ایمیل خود را برای ما بگذارید تا اطلاعات بیشتری را برای شما ارسال کنیم. تلاش خواهیم کرد پاسخ بهتری برای مسائل فنی شما ارائه کنیم. 

این صفحه را به اشتراک بگذارید
مطالب مرتبط
آخرین نوشته ها

بیشتر بخوانید

داریوش ابراهیمی

آشنایی با شرکت و محصولات Ubiquiti Networks

مقدمه Ubiquiti Networks یک شرکت آمریکایی است که در زمینه فناوری‌های مرتبط با شبکه‌های کامپیوتری فعالیت می‌کند. تجهیزات Ubiquiti محدوده‌ای از کسب و کارهای کوچک و متوسط (Enterprise) تا شرکت‌های

ادامه مطلب »
معصومه حسین آبادی

سوئیچ سیسکو SF350-24P

سوئیچ SF350-24P به صورت قابل نصب در رک (Rackmount) است. این قابلیت را دارد تا ۹.۵۲ میلیون پکت بر ثانیه را از خود عبور دهد. همچنین ظرفیت سوئیچینگ این دستگاه برابر با ۱۲.۸Gbps می‌باشد.

ادامه مطلب »
معصومه حسین آبادی

سوئیچ سیسکو SF350-24

سوئیچ SF350-24 به صورت قابل نصب در رک (Rackmount) است. این قابلیت را دارد تا ۹.۵۲ میلیون پکت بر ثانیه را از خود عبور دهد. همچنین ظرفیت سوئیچینگ این دستگاه برابر با ۱۲.۸Gbps می‌باشد.

ادامه مطلب »
اسکرول به بالا
× گفتگوی آنلاین