Het acroniem AAA, voor Authenticatie, autorisatie en auditin het Engels Authenticatie, autorisatie, boekhouding, is een veiligheidskader die de toegang tot IT-middelen controleert, het beveiligingsbeleid toepast en het gebruik ervan controleert.
🎯 Waar is AAA voor?
AAA en de gecombineerde processen spelen een belangrijke rol in netwerkbeheer en cyberbeveiliging door gebruikers te selecteren en hun activiteit te controleren terwijl ze verbonden zijn.
Het AAA-raamwerk en de daaruit voortvloeiende AAA-beveiliging zijn van toepassing op verschillende concepten:
- AAA frame (AAA Kader): dit is de verzameling mechanismen en processen die de authenticatie-, autorisatie- en auditfuncties implementeren. Het definieert de architectuur en componenten die nodig zijn om toegang tot bronnen te controleren en traceerbaarheid van acties te garanderen.
- AAA-server (AAA-server): een speciale server die AAA-functies centraliseert. Als hulpmiddel voor Identiteits- en Toegangsbeheer (IAM) ontvangt een AAA-server verificatieverzoeken, verifieert geloofsbrieven, autoriseert toegang volgens gedefinieerd beleid en logt gebeurtenissen voor auditdoeleinden. RADIUS en TACACS+ zijn voorbeelden van protocollen die gebruikt worden door AAA-servers.
- AAA-protocol (AAA-protocol): communicatieprotocol dat gebruikt wordt om verificatie-, autorisatie- en auditinformatie te transporteren tussen clients (bijvoorbeeld een router of Wi-Fi-toegangspunt) en de AAA-server. De meest gebruikte voorbeelden zijn RADIUS, TACACS+ en Diameter.
- AAA klant (AAA klant): netwerkapparatuur (router, switch, toegangspunt, enz.) of een toepassing die verificatieverzoeken naar de AAA-server initieert.
- AAA service (AAA service): globale dienst die authenticatie-, autorisatie- en auditfuncties biedt. Het omvat de infrastructuur, protocollen en beleidsregels.
Hoe het werkt
Hoe het werkt1. Authenticatie (Wie ben je?)
- Definitie: Authenticatie is het proces van het verifiëren van de identiteit van een gebruiker, apparaat of proces dat toegang probeert te krijgen tot een systeem. Het gaat erom te bewijzen dat de entiteit is wie ze beweert te zijn.
- Hoe het werkt : Authenticatie is gebaseerd op het gebruik van verschillende factoren:
- Wachtwoord : geheime informatie die bekend is bij de gebruiker. (Kennisfactor)
- Smartcard, token, badge : fysiek object dat de gebruiker bezit (bezitsfactor)
- Biometrische gegevens (vingerafdruk, gezichtsherkenning, netvliesscan) : fysieke kenmerken die uniek zijn voor de gebruiker. (Inherente factor)
- Multi-factor authenticatie (MFA) : combinatie van ten minste twee van deze factoren om de veiligheid te vergroten.
Voorbeelden: een wachtwoord invoeren om toegang te krijgen tot een e-mailaccount, een per sms ontvangen code gebruiken als aanvulling op het wachtwoord (MFA), een vingerafdruk gebruiken om een telefoon te ontgrendelen.
2. Autorisatie (Wat mag je doen?)
- Definitie: Autorisatie bepaalt de acties die een geauthenticeerde gebruiker mag uitvoeren als hij is aangemeld op het systeem. Het definieert machtigingen en beperkingen op de toegang tot bronnen.
- Hoe het werkt : Autorisatie is gebaseerd op beleid en regels die toegangsrechten definiëren op basis van de rol, lidmaatschapsgroep of andere attributen van de gebruiker.
Voorbeelden: Een gebruiker met een "administrator" rol heeft volledige toegangsrechten tot het systeem, terwijl een gebruiker met een "guest" rol beperkte rechten heeft. Alleen-lezen toegang tot een bestand, maar geen schrijftoegang.
3. Audit (Wie deed wat?) :
- Definitie: Audit bestaat uit het registreren en controleren van de activiteiten van gebruikers en systemen. Hiermee kunnen gebeurtenissen, toegangen, wijzigingen en uitgevoerde acties worden bijgehouden.
- Hoe het werkt : auditing is gebaseerd op het verzamelen van logs (event logs) die relevante informatie vastleggen. Deze logs kunnen worden geanalyseerd om anomalieën, inbraken of verdacht gedrag te detecteren.
Voorbeelden: loggen van gebruikersverbindingen en verbroken verbindingen, vastleggen van wijzigingen in bestanden, toegang tot databases controleren.
✔ Voordelen van het AAA-raamwerk
- Verbeterde beveiliging : Door authenticatie, autorisatie en audit te combineren, kunnen we robuustere toegangscontrole en betere traceerbaarheid van acties implementeren.
- Gecentraliseerd toegangsbeheer : vergemakkelijkt het beheer van toegangsrechten en de implementatie van beveiligingsbeleid.
- Meer verantwoordelijkheid : de controle helpt om de daders van de acties te identificeren en gebruikers verantwoordelijk te maken.
- Inbraakdetectie : Analyse van auditlogs kan pogingen tot inbraak of kwaadaardige activiteiten onthullen.
- Naleving van regelgeving : Veel regelgevingen (RGPD, HIPAA, etc.) vereisen dat er authenticatie-, autorisatie- en auditmechanismen worden ingesteld.
AAA-protocollen
Er zijn verschillende AAA protocollen die gebruikt worden in computernetwerken om Authenticatie, Autorisatie en Audit functies te implementeren. Hier zijn de belangrijkste types:
1. RADIUS (Remote Authentication Dial-In User Service) :
- Beschrijving : RADIUS is een gestandaardiseerd en veelgebruikt client/server-protocol voor het verifiëren en autoriseren van toegang tot netwerken. Het wordt vaak gebruikt voor toegang op afstand (VPN, Wi-Fi, enz.).
- Hoe het werkt : een RADIUS-client (meestal een netwerkapparaat zoals een router of Wi-Fi-toegangspunt) stuurt de authenticatiegegevens van de gebruiker naar een RADIUS-server. De server controleert de informatie en stuurt een antwoord terug waarin de toegang wordt toegestaan of geweigerd. RADIUS gebruikt UDP als transportprotocol.
Voordelen : open standaard, breed ondersteund, schaalbaar.
Nadelen : minder veilig dan TACACS+ omdat het alleen het wachtwoord versleutelt en niet de hele communicatie.
2. TACACS+ (Terminal Access Controller Access-Control System Plus) :
- Beschrijving : TACACS+ is een protocol dat eigendom is van Cisco, maar het is een de facto standaard geworden. Het biedt meer veiligheid en flexibiliteit dan RADIUS.
- Hoe het werkt : TACACS+ scheidt de authenticatie-, autorisatie- en auditfuncties, wat fijnmaziger toegangsbeheer mogelijk maakt. Het gebruikt TCP als transportprotocol en versleutelt de volledige communicatie.
Voordelen : veiliger dan RADIUS (volledige versleuteling), flexibeler voor het beheren van autorisaties.
Nadelen : die van oudsher eigendom is van Cisco, hoewel er open source implementaties bestaan.
RADIUS vs. TACACS+ :
| Kenmerken | RADIUS | TACACS+ |
| Transportprotocol | UDP | TCP |
| Encryptie | Alleen wachtwoord | Uitgebreide communicatie |
| AAA-functies | Gecombineerd | Aparte |
| Ondersteuning | Open standaard, brede ondersteuning | Voornamelijk Cisco, maar er bestaan open source implementaties |
| Typisch gebruik | Netwerktoegang (VPN, Wi-Fi), internettoegang | Beheer van netwerkapparatuur (routers, switches) |
3. Diameter
- Beschrijving : Diameter is een recenter AAA-protocol, ontworpen om RADIUS te vervangen. Het biedt meer geavanceerde mogelijkheden, vooral op het gebied van betrouwbaarheid, beveiliging en uitbreidbaarheid.
- Hoe het werkt : Diameter gebruikt TCP en biedt robuustere transportmechanismen dan RADIUS. Het ondersteunt ook geavanceerde functies zoals sessiebeheer en real-time accounting.
Voordelen : is krachtiger en betrouwbaarder dan RADIUS en ondersteunt geavanceerde functies.
Nadelen : complexer om te implementeren dan RADIUS.
Andere AAA-gerelateerde protocollen en technologieën :
- Kerberos : Netwerkverificatieprotocol dat "tickets" gebruikt om gebruikers en diensten te verifiëren. Het wordt vaak gebruikt in Microsoft Active Directory.
- LDAP (Lightweight Directory Access Protocol) : Een directoryprotocol dat toegang biedt tot directoryservices voor authenticatie en autorisatie.
- SAML (Security Assertion Markup Language) : Open standaard voor het uitwisselen van authenticatie- en autorisatiegegevens tussen verschillende beveiligingsdomeinen. Gebruikt voor Single Sign-On (SSO).
- OAuth (Open Autorisatie) en OpenID Connect (OIDC): Moderne autorisatie- en authenticatieraamwerken die worden gebruikt om toegang tot bronnen te delegeren zonder referenties te delen. Vaak gebruikt voor web- en mobiele applicaties.
Keuze van protocol
De keuze van het AAA-protocol hangt af van de specifieke behoeften van de organisatie:
- RADIUS : Eenvoudige, breed inzetbare oplossing voor basistoegang tot het netwerk.
- TACACS+ : Een veiligere en flexibelere oplossing voor het beheren van netwerkapparatuur.
- Diameter : Een krachtige, schaalbare oplossing voor complexe omgevingen.
