Такие службы по обеспечению сетевой безопасности, как аутентификация, авторизация и учёт являются базовой инфраструктурой, которая устанавливает средства контроля доступа на каком-либо сетевом устройстве. Сочетание служб аутентификации, авторизации и учёта — это метод, позволяющий контролировать вход разрешённых пользователей (аутентификация), какие действия они могут выполнять, находясь в сети (авторизация), а также следить за их действиями во время доступа к сети (учёт). Службы аутентификации, авторизации и учёта (AAA) обеспечивают более высокий уровень масштабируемости в отличие от консоли, AUX, VTY и команды аутентификации в привилегированном режиме.
Аутентификация
Пользователи и администраторы должны подтвердить свою личность. Аутентификация осуществляется с помощью комбинаций имени пользователя и пароля, метода идентификации типа «запрос-ответ», карт-маркёров и других способов. Например: «Я пользователь „student“. Мне известен пароль, подтверждающий, что я действительно пользователь "student"».
В небольшой сети зачастую используется локальная аутентификация. При локальной аутентификации каждое устройство использует собственную базу данных комбинаций имён пользователей и паролей. Однако при наличии большого числа учётных записей пользователей в локальной базе данных устройства управление этими учётными записями существенно осложняется. Кроме того, по мере роста сети и добавления дополнительных устройств в сеть поддержка локальной аутентификации, а также её масштабирование сильно затруднено. Например, при наличии 100 сетевых устройств все учётные записи пользователей необходимо добавить на все 100 устройств.
В более крупных сетях рекомендуется использовать внешнюю аутентификацию, так как она обеспечивает больше возможностей для масштабирования. Внешняя аутентификация позволяет всем пользователям проходить аутентификацию посредством внешнего сетевого сервера. Два наиболее распространённых варианта внешней аутентификации пользователей — RADIUS и TACACS+:
- RADIUS представляет собой открытый стандарт с низким коэффициентом использования ресурсов ЦП и памяти. Этот стандарт используется различными сетевыми устройствами (например, коммутаторами, маршрутизаторами и беспроводными устройствами).
- TACACS+ представляет собой механизм обеспечения безопасности, который позволяет использовать модульные службы аутентификации, авторизации и учёта. Этот стандарт использует службу TACACS+, запущенную на сервере безопасности.
Авторизация
После аутентификации пользователя службы авторизации определяют ресурсы, к которым у пользователя есть доступ, и операции, которые пользователю разрешено выполнять. Например, «Пользователь „student“ может осуществлять доступ к узлу serverXYZ, используя только Telnet».
Учёт
Записи учёта действий пользователя, включая объекты доступа, продолжительность доступа к ресурсу и все внесённые изменения. Учёт позволяет отслеживать использование сетевых ресурсов. Например, «Пользователь „student“ осуществил доступ к узлу serverXYZ с помощью Telnet продолжительностью 15 минут».
Концепция служб аутентификации, авторизации и учёта (AAA) похожа на использование кредитной карты. Кредитная карта определяет, кто может ею пользоваться, какую сумму можно потратить, а также ведёт учёт товаров, на которые пользователь тратит деньги, как показано на рисунке.