AAA mexanizmi təhlükəsiz şəbəkə idarəçiliyini təmin etmək üçün geniş istifadə olunur və müxtəlif xidmətlərə, o cümlədən Virtual Private Network (VPN), Wi-Fi, və şəbəkə serverlərinə tətbiq oluna bilər.
Uzaqdan qoşulma sistemləri tərəfindən təmin edilən geniş yayılmış mobil istifadə və iş üsulları və buna bənzər faktorlar sayəsində Əşyaların İnterneti (IoT) bu sıx trafikə nizam-intizamı təmin edən aparıcı texnologiyalardan biridir. Abunə əməliyyatlarının sıx olduğu bankçılıq, telekommunikasiya, maliyyə və sığorta kimi sektorlarda müştəri tələblərinə IoT ilə cavab vermək asan olsa da, onu təhlükəsiz saxlamaq üçün bu sıx şəbəkə trafikini idarə etmək, nəzarət etmək və qeyd etmək lazımdır. AAA (Authentication, Authorization, Accounting) sizə şəbəkəyə qoşulmuş cihazlara və bütün resurslara təhlükəsiz şəkildə daxil olmaq, icazə vermək və nəzarət etmək imkanı verən şəbəkə təhlükəsizliyində təhlükəsizlik elementlərini təmin edir.
AAA nədir?
AAA şəbəkəyə girişi daha təhlükəsiz edən üç komponentdən ibarətdir. Bu üç komponent, Authentication, Authorization və Accounting qısaca olaraq AAA adlanır. AAA istifadəçiyə kompüter resurslarına daxil olmaq, onların nə etməyə səlahiyyəti olduğunu müəyyən etmək və giriş zamanı bütün fəaliyyəti izləmək və qeyd etmək üçün etimadnamələri sübutu ilə şəbəkəyə qoşulmağa imkan verən effektiv şəbəkə nəzarətçisidir. AAA komponentlərini araşdırdığımız zaman onların funksiyalarını aşağıdakı kimi izah etmək olar:
Authentication: Authentication və ya autentifikasiya kimi müəyyən edilir. Bu, şəbəkəyə daxil olmaq üçün ilk addımdır. İstifadəçinin şəxsiyyət məlumatı və şifrəsini verilənlər bazası ilə müqayisə edərək yoxlayaraq, istifadəçinin şəbəkəyə çıxışını təsdiq edən mərhələdir. Hər bir biznes şəxsiyyət məlumatları və şifrələmə üçün öz sistemini yaratmaq azadlığına malikdir. Məsələn, telekommunikasiya şirkəti müştəri əldə etmə prosesləri zamanı şəbəkəyə daxil olan səlahiyyəti yoxlaya bilər, bank sahəsində isə uzaqdan POS cihazını yoxlaya bilər. Sistemə daxil olarkən şəxsin və ya cihazın düzgün icazəli girişə malik olduğunu sübut etmək üçün hash alqoritmlərindən istifadə etməklə giriş təhlükəsizliyini təmin edir. Doğrulama prosesi iki fərqli formada ola bilər: server əsaslı və ya yerli AAA yoxlaması. Server əsaslı autentifikasiya marşrutlaşdırıcıların çox olduğu hallarda istifadə olunur və istifadəçi adı və parolun daxil olma prosesi zamanı daxil edilmiş məlumat paket kimi AAA-nın aktiv olduğu serverə gedir. Müqayisə zamanı məlumat təsdiqlənərsə, paket müsbət nəticə verir və giriş aktivləşir. Yerli identifikasiya daha kiçik şəbəkələrdə istifadə olunur. Burada istifadəçi məlumatlarının yoxlanılması marşrutlaşdırıcının verilənlə bazası vasitəsilə həyata keçirilir.
Authorization: Azərbaycan dilində icazə kimi ifadə edilir. İstifadəçinin hansı resurslara daxil ola biləcəyinin və sistemə daxil olduqdan sonra hansı əməliyyatları yerinə yetirə biləcəyinin müəyyən edildiyi bölmə avtorizasiya adlanır. Məsələn, qonaq girişi, üzv girişi və idarəçi girişi kimi biznes üçün xüsusi icazələr verilir. İstifadəçilər bu icazələrə görə qruplaşdırılır. İstifadəçi birdən çox avtorizasiya qrupunda ola bilər. Başqa sözlə, birdən çox avtorizasiyaya malik istifadəçinin aid olduğu hər qrupun ərazilərinə daxil olmaq icazəsi var. İstifadəçi icazələri administrator tərəfindən istənilən vaxt dəyişdirilə bilər.
Accounting: Dilimizdə qiymət, fəaliyyətin monitorinqi, uçot və ya hesablama kimi müəyyən edilir. Bu bölmə bütün əməliyyatların izlənildiyi və qeydə alındığı sahədir. Sistemə qoşulmuş istifadəçilərə real vaxt rejimində, həmçinin giriş qeydləri vasitəsilə nəzarət etmək olar. Görülən hər bir fəaliyyət tarix və vaxt kimi qeyd olunur. Məsələn, uzaqdan işləmə sistemində işçilərin sistemə daxil olduğu vaxt, fəaliyyətlərinin müddəti və bütün əməliyyatları izlənilir və onların iş səmərəliliyi və əmək haqqı hesablanır. Bu məlumatlar həm də statistik məlumatların əldə edilməsi, ölçmə və qiymətləndirmənin aparılması və ya hər hansı problem olduqda təsdiqedici kimi istifadə olunur.
AAA Framework-u Şəbəkə Təhlükəsizliyində vacibdir? Xüsusilə indiki uzaqdan işləyən sistemləri və onlayn müştərilərin sayının artmasını nəzərə alsaq, şəbəkədə sıx trafikə və mürəkkəb əməliyyatlara nəzarət etmək çətinləşib. AAA sistemə girib-çıxmaq, kimin bu mürəkkəb strukturun harasına daxil ola bilməsi və edilən bütün əməliyyatları izləmək üçün həm nəzarət, həm də sifariş mexanizmi yaradır. AAA həm şəbəkədə, həm də istifadə olunan cihazlarda girişi tənzimləyir. O, xaricdən sistemə daxil olmaq istəyən hakerlər, həmçinin səhv əməliyyatlar və ya şəbəkə təhlükəsizliyində zərərli daxili aktorlar tərəfindən yarana biləcək mümkün problemləri real vaxt rejimində monitorinq sistemi ilə idarə edir. Şəbəkə təhlükəsizliyində mühüm addımlardan biri olan AAA ilə korporativ aktivlərin, müştəri məlumatlarının və digər məlumatların təhlükəsiz qalması təmin edilir.
AAA sisteminin üstünlükləri nələrdir?
Kompüter resurslarına daxil olmaqda şəbəkə təhlükəsizliyinin intellektual idarə edilməsinə imkan verən AAA Framework-ün əsas üstünlükləri aşağıdakılardır:
- Şəbəkənin miqyasını yaxşılaşdırır və çevikliyi təmin edir.
- Şəbəkə protokollarında standartın yaradılmasına kömək edir.
- Şəbəkəyə girişin bir nöqtədən monitorinqi idarəetməni asanlaşdırır.
- RADIUS hər bir istifadəçiyə öz etimadnaməsinə əsaslanaraq icazə verir.
AAA Protokol növləri
RADIUS və TACACS+ ən çox istifadə olunan AAA protokollarıdır. İkisi arasındakı ən böyük fərq ondan ibarətdir ki, TACACS+ autentifikasiya və avtorizasiya əməliyyatlarını ayrıca yerinə yetirərkən, bu əməliyyatlar RADIUS-da birlikdə həyata keçirilir.
Remote Authentication Dial-In User Service (Remote Authentication Dial-In User Service) mənasını verən RADIUS, uzaqdan daxil olan istifadəçinin autentifikasiyası yerinə yetirir. Bu, şəbəkəyə uzaqdan daxil olacaq istifadəçilərin autentifikasiyası üçün istifadə edilən müştəri/server protokoludur. RADIUS protokolunda parollar həmişə şifrələnir. O, ötürmə üçün UDP (User Datagram Protocol) 1654 və 1812 bağlantılarından istifadə edir. Tətbiq və nəqliyyat qatlarında fəaliyyət göstərən RADIUS serverinə müştəri tərəfdən gələn sorğu üç fərqli şəkildə cavablandırılır. İstifadəçi yoxlama prosesini yerinə yetirməzsə, Girişdən imtina cavabı göndərilir. Server istifadəçidən ikinci parol istədikdə istifadəçiyə giriş problemi göndərir. RADIUS server yoxlama prosesi başa çatdıqda, cavab Access Accept olaraq qaytarılır.
TACACS+ (Terminal Access Controller Access-Control System Plus) şəbəkəyə, sistemə və ya cihaza uzaqdan girişin mərkəzləşdirilmiş yoxlamasını təmin edir. Bu Cisco tərəfindən hazırlanmış AAA protokoludur. Serverdən fərqli cavab gəlir. Qəbul cavabı alınarsa, giriş təsdiqlənir. Xəta girişdə xətanın olduğunu və yenidən daxil olmaq lazım olduğunu göstərsə də, Rədd istifadəçinin autentifikasiya olunmadığı və ya uğursuz olduğu vəziyyətlər üçün cavabdır. İkinci autentifikasiya addımı tələb edildikdə, cavab Davam edəcək.
