AAA (תקשורת מחשבים)

מתוך ויקיפדיה, האנציקלופדיה החופשית
יש לערוך ערך זה. הסיבה היא: ויקיזציה.
אתם מוזמנים לסייע ולערוך את הערך. אם לדעתכם אין צורך בעריכת הערך, ניתן להסיר את התבנית. ייתכן שתמצאו פירוט בדף השיחה.
יש לערוך ערך זה. הסיבה היא: ויקיזציה.
אתם מוזמנים לסייע ולערוך את הערך. אם לדעתכם אין צורך בעריכת הערך, ניתן להסיר את התבנית. ייתכן שתמצאו פירוט בדף השיחה.

Authentication, Authorization, Accounting) AAA) הוא מושג מתחום אבטחת המידע, המתייחס למסגרת לניהול מושכל של בקרת גישה למשאבי מחשוב או רשתות תקשורת. ב-AAA מוגדרים שלושה שירותים בסיסיים, זיהוי ואימות משתמשים (Authentication), ניהול הרשאות (Authorization) וחשבונאות (Accounting).

זיהוי ואימות משתמשים (Authentication)[עריכת קוד מקור | עריכה]

שרות שמטרתו לזהות את המשתמש, בדרך כלל באמצעות "שם משתמש" (User Name), ואימות שהמשתמש הוא משתמש אותנטי ואינו מתחזה. האימות נעשה בדרך כלל באמצעות סיסמה (Password). ההנחה היא שרק משתמש אותנטי ידע מה היא הסיסמה ועל כן, אם סופקה סיסמה נכונה אזי מדובר במשתמש שאינו מתחזה לאחר. רק משתמש מורשה שהוכיח את אמינות זהותו יכול לגשת למשאבי המיחשוב או לרשת התקשורת.

המושג "משתמש" אינו בהכרח מתייחס למשתמש אנושי. משתמש יכול להיות גם מערכת מחשב, התקן רשת או תוכנה. כמו כן, זיהוי המשתמש והאימות יכולים להיעשות באמצעים אחרים פרט ל"שם משתמש" וסיסמה. למשל באמצעות "מפתחות".

ניהול הרשאות (Authorization)[עריכת קוד מקור | עריכה]

שרות זה מנהל את הרשאות המשתמש. כלומר, אילו פעולות מותר למשתמש לבצע ולאיזה מידע מותר לו לגשת. כאשר ייתכן שלמשתמשים שונים יהיו הרשאות שונות לפי הגדרת מנהל המערכת. לעיתים ההרשאות יכולות להיות מושפעות ממיקומו הגאוגרפי של המשתמש, התנהלותו בעבר או פרמטרים אחרים.

ניהול חשבונות (Accounting)[עריכת קוד מקור | עריכה]

שרות זה מאפשר רישום לצורכי מעקב של פעולות שמבצע המשתמש, כגון זמן הכניסה למערכת, זמן היציאה מהמערכת, ניסיונות אימות שנכשלו, פעולות שביצע המשתמש או מידע שניגש אליו. הרישום יתבצע בדרך כלל ליומן ייעודי (Log). היומן יכול לשמש לצורך חקירת חדירה או ניסיונות חדירה לא מורשת למערכת.[1]

ניהול ריכוזי של AAA[עריכת קוד מקור | עריכה]

למערכות מחשוב והתקני רשת ישנה בדרך כלל יכולת לעשות בקרת גישה מקומית. לשם כך, שם המשתמש, הסיסמה והרשאות המשתמש נשמרים באופן מאובטח בבסיס נתונים מקומי על גבי ההתקן. כאשר משתמש מבצע הליך הזדהות (LOGIN), הנתונים שסיפק נבדקים בצורה מקומית ומושווים לנתונים השמורים בבסיס הנתונים של ההתקן. במקרה שברשת ישנו מספר רב של התקנים שונים או שמשתמש יכול לגשת לרשת ממקומות שונים, יהיה צורך לשמור את נתוני בקרת הגישה בכל אחד מן התקנים ו"שרתי הגישה לרשת", דבר שיכול להיות מורכב מבחינה תפעולית.

בקרת גישה לאינטרנט באמצעות שרת AAA
בקרת גישה לאינטרנט באמצעות שרת AAA

כדי להימנע מכך פותחו שרתי AAA מרכזיים ופרוטוקולי AAA דוגמת RADIUS ו TACACS הפועלים במודל שרת לקוח. בניהול ריכוזי של AAA, כל אימת שמשתמש מנסה לקבל הרשאת גישה למערכת מחשוב, להתקן רשת או למעבר דרך "שרתי גישה לרשת" המערכת הנ"ל פונה אל שרת ה-AAA באמצעות פרוטוקול AAA כדי לאמת את זיהוי המשתמש באמצעות השרת ולקבוע אילו פעולות הוא מורשה לבצע. היתרונות של ניהול AAA באופן ריכוזי:

  • חוסך הגדרות רבות וזמן תחזוקה ומונע טעויות, כיוון שפרטי כל המשתמשים מנוהלים במקום אחד
  • חוסך זמן הכשרה של מנהל הרשת, כיוון שעליו להכיר רק מערכת אחת של ניהול גישה
  • מאפשר בקרה טובה יותר על המתרחש ברשת, כיוון שכל בקשות הגישה נרשמות המקום אחד

ראו גם[עריכת קוד מקור | עריכה]

לקריאה נוספת[עריכת קוד מקור | עריכה]

  • 2004,Harold F. Tipton and Micki Krause, Information security management handbook,Fifth Edition,AUERBACH PUBLICATION
  • Vivek Santuka, Premdeep Banga, Brandon James Carroll, AAA Identity Management Security, Cisco Pree,Indianapolis,2011

הערות שוליים[עריכת קוד מקור | עריכה]

  1. ^ Computer Forensics: Investigating Network Intrusions and Cyber Crime, Course Technology