AAA server (authentication, authorization and accounting)

Apa itu server AAA?

Server AAA adalah program server yang menangani permintaan akses pengguna ke sumber daya komputer dan, untuk sebuah perusahaan, menyediakan layanan authentication (autentikasi), authorization  (otorisasi), dan accounting (akuntansi) (AAA).

Server AAA biasanya berinteraksi dengan server akses jaringan dan gateway serta dengan database dan direktori yang berisi informasi pengguna. Standar saat ini yang digunakan oleh perangkat atau aplikasi untuk berkomunikasi dengan server AAA adalah Remote Authentication Dial-In User Service (RADIUS).

Fitur utama dari server AAA

Fitur utama dari AAA dibagi menjadi tiga fase yang berbeda, yaitu:

  1. Autentikasi. Ketika seorang pengguna ingin mengakses sistem atau sumber daya yang dikonfigurasi dengan AAA, langkah pertama dalam proses ini adalah autentikasi. Di sini, pengguna diminta untuk memasukkan kredensial yang sah — nama pengguna dan kata sandi — untuk membuktikan bahwa mereka adalah siapa yang mereka klaim. Perangkat yang sedang diakses meneruskan kredensial autentikasi ke database backend. Jika kredensial tersebut sah, pengguna diberikan akses ke sistem. Jika nama pengguna dan kata sandi tidak sah, proses autentikasi gagal, dan pengguna diblokir untuk mengakses sistem.
  2. Otorisasi. Hanya karena seorang pengguna berhasil melakukan autentikasi dan mendapatkan akses ke sistem jaringan, tidak berarti bahwa semua pengguna yang terautentikasi diberi wewenang untuk melakukan segala hal yang mereka inginkan dengan sistem tersebut. Misalnya, beberapa pengguna hanya diizinkan untuk mengakses sistem secara baca-saja, sementara yang lain diizinkan untuk melakukan perubahan pada pengaturan konfigurasi secara baca/tulis. Inilah tujuan dari fase Otorisasi dalam AAA. Administrator dapat mengatur berbagai grup dan menetapkan kebijakan akses berdasarkan grup tersebut. Dengan demikian, beberapa pengguna yang terautentikasi mungkin memiliki kemampuan terbatas untuk mengakses sumber daya tertentu atau melakukan perubahan, sementara yang lain diizinkan memiliki kebebasan yang lebih besar.
  3. Akuntansi. Dari perspektif keamanan, akan sangat bermanfaat untuk mengumpulkan informasi tentang siapa yang mencoba melakukan autentikasi ke jaringan atau sistem, apakah autentikasi berhasil atau tidak, serta informasi lain, seperti berikut:
    • jumlah waktu sesi yang terautentikasi berlangsung;
    • jumlah data yang ditransmisikan dan diterima selama sesi yang terautentikasi;
    • apakah dan kapan pengguna mencoba mengakses tingkat akses sistem yang lebih tinggi; dan
    • perintah sistem yang dilakukan selama sesi yang terautentikasi.

    Ini adalah tepatnya yang dicapai oleh fase Akuntansi dari AAA. Ini berfungsi sebagai mekanisme pencatatan saat melakukan autentikasi ke sistem yang dikonfigurasi dengan AAA.

Bagaimana cara kerja AAA?

Arsitektur untuk AAA memerlukan tiga komponen berikut:

  1. Supplicant. Ini adalah pengguna atau perangkat yang berusaha mengakses jaringan atau sistem.
  2. Authenticator. Ini adalah perangkat yang sedang dicoba untuk diakses oleh supplicant. Authenticator dikonfigurasi untuk bekerja dengan server AAA untuk tujuan autentikasi, otorisasi, dan akuntansi.
  3. Server autentikasi. Server ini mengontrol semua fungsi AAA. Seperti yang disebutkan sebelumnya, server AAA menggunakan protokol RADIUS untuk komunikasi dan baik mengakses database lokal atau terhubung ke database autentikasi pengguna backend, seperti Microsoft Active Directory (AD).

Gambar ini menunjukkan arsitektur AAA tipikal yang terdiri dari tiga komponen yang telah disebutkan sebelumnya.

Authenticator mengirimkan permintaan autentikasi — biasanya berupa permintaan agar nama pengguna dan kata sandi dikirimkan oleh supplicant. Setelah supplicant mengirimkan nama pengguna dan kata sandi, authenticator meneruskan kredensial autentikasi ke server autentikasi untuk memverifikasi apakah kredensial tersebut cocok dengan yang ada di database pengguna. Jika berhasil, server autentikasi memberi tahu authenticator bahwa upaya autentikasi berhasil dan level akses yang diizinkan untuk pengguna tersebut berdasarkan pengaturan kebijakan grup. Selama waktu ini, log autentikasi, akses, dan sesi dikumpulkan oleh authenticator dan disimpan baik secara lokal di authenticator atau dikirim ke server log jarak jauh untuk tujuan penyimpanan dan pengambilan.

Apa keuntungan dari server AAA?

Ada beberapa keuntungan menggunakan AAA. Ini terutama berlaku jika infrastruktur dan basis pengguna organisasi besar. Misalnya, jika AAA tidak digunakan, umumnya autentikasi ditangani secara lokal pada setiap perangkat individu, biasanya menggunakan nama pengguna dan kata sandi bersama. Metode ini sering kali berakhir menjadi mimpi buruk dalam manajemen dan risiko keamanan potensial. Oleh karena itu, manfaat dari AAA meliputi:

  • manajemen dan kontrol terpusat atas kredensial individu;
  • mudah untuk mengorganisasi pengguna ke dalam grup berdasarkan tingkat akses ke sistem yang diperlukan;
  • mekanisme pencatatan yang berguna untuk pemecahan masalah dan tujuan keamanan siber; dan
  • arsitektur yang sangat skalabel, fleksibel, dan redundan.

Apakah AAA menggunakan Active Directory?

Untuk tujuan autentikasi dan izin akses, server AAA harus merujuk ke database nama pengguna, kata sandi, dan level akses. Protokol yang digunakan untuk mencapai hal ini adalah RADIUS. Namun, dalam banyak kasus, database backend yang digunakan server AAA untuk memverifikasi kredensial dan level akses adalah Microsoft AD. Ini dicapai dengan menggunakan Network Policy Server milik Microsoft, yang bertindak sebagai server RADIUS, untuk mengakses database nama pengguna atau kata sandi dan otorisasi AD.

Tagged:

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *