Kategori
Cisco Network Security Security

Authentication, Authorization, and Accounting (AAA)

Latar Belakang

Metode paling sederhana dari otentikasi akses jarak jauh adalah dengan mengkonfigurasi kombinasi login dan kata sandi pada console, line vty, dan port aux, seperti yang ditunjukkan pada gambar.

Metode ini tidak memberikan akuntabilitas. Siapa pun yang memiliki kata sandi dapat masuk ke perangkat dan mengubah konfigurasi.

SSH adalah bentuk akses jarak jauh yang lebih aman. Ini membutuhkan nama pengguna dan kata sandi, yang keduanya dienkripsi selama transmisi. Metode database lokal memiliki beberapa keterbatasan. Akun pengguna harus dikonfigurasi secara lokal di setiap perangkat.

Komponen AAA

Keamanan jaringan AAA pada Cisco memiliki tiga komponen fungsional:

  1. Otentikasi – Pengguna dan administrator harus membuktikan identitas mereka sebelum mengakses jaringan dan sumber daya jaringan. Otentikasi dapat dibuat menggunakan kombinasi nama pengguna dan kata sandi, pertanyaan tantangan dan tanggapan, kartu token, dan metode lainnya. Misalnya: “Saya pengguna ‘siswa’ dan saya tahu kata sandi untuk membuktikannya.”
  2. Otorisasi – Setelah pengguna diautentikasi, layanan otorisasi menentukan sumber daya mana yang dapat diakses pengguna dan operasi mana yang diizinkan untuk dilakukan oleh pengguna. Contohnya adalah “Pengguna ‘siswa’ dapat mengakses host serverXYZ hanya menggunakan SSH.”
  3. Akuntansi dan audit – Akuntansi mencatat apa yang dilakukan pengguna, termasuk apa yang diakses, jumlah waktu sumber daya diakses, dan setiap perubahan yang dibuat. Akuntansi melacak bagaimana sumber daya jaringan digunakan. Contohnya adalah “Pengguna ‘siswa’ mengakses host serverXYZ menggunakan SSH selama 15 menit.”

Mode Otentikasi

Cisco menyediakan dua metode umum untuk mengimplementasikan layanan AAA:

  • Otentikasi AAA Lokal – AAA Lokal menggunakan database lokal untuk otentikasi. Metode ini kadang-kadang dikenal sebagai otentikasi mandiri. Dalam kursus ini, ini akan disebut sebagai otentikasi AAA lokal.
  • Otentikasi AAA Berbasis Server – Dengan metode berbasis server, router mengakses server AAA pusat, seperti Cisco Secure Access Control System (ACS) untuk Windows, yang ditunjukkan pada gambar. Server AAA pusat berisi nama pengguna dan kata sandi untuk semua pengguna. Router menggunakan protokol Remote Authentication Dial-In User Service (RADIUS) atau Terminal Access Controller Access Control System (TACACS+) untuk berkomunikasi dengan server AAA.

Authorization

Setelah pengguna berhasil diautentikasi terhadap sumber data AAA yang dipilih, baik lokal atau berbasis server, mereka kemudian diotorisasi untuk sumber daya jaringan tertentu, seperti yang ditunjukkan pada gambar.

Accounting

Akuntansi diimplementasikan menggunakan server AAA. Layanan ini melaporkan statistik penggunaan kembali ke server ACS. Statistik ini dapat diekstraksi untuk membuat laporan terperinci tentang konfigurasi jaringan.

Jenis informasi akuntansi yang dapat dikumpulkan adalah sebagai berikut:

  • Network accounting
  • Connection accounting
  • EXEC accounting
  • System accounting
  • Command accounting

Ref : Network Security Cisco