Qu’est-ce que l’authentification, l’autorisation et la comptabilité (AAA) ?
L’authentification, l’autorisation et la comptabilité (AAA) est un cadre de sécurité qui contrôle l’accès aux ressources informatiques, applique des politiques et audite l’utilisation. L’AAA et ses processus combinés jouent un rôle majeur dans la gestion et la cybersécurité du réseau en sélectionnant les utilisateurs et en assurant le suivi de leur activité pendant qu’ils sont connectés.
Authentification
L’authentification implique qu’un utilisateur fournit des informations sur qui il est. Les utilisateurs présentent des identifiants de connexion qui affirment qu’ils sont bien ceux qu’ils prétendent. En tant qu’outil de gestion des identités et des accès (IAM), un serveur AAA compare les informations d’identification d’un utilisateur à sa base de données d’informations d’identification stockées en vérifiant si le nom d’utilisateur, le mot de passe et d’autres outils d’authentification s’alignent sur cet utilisateur spécifique.
Les trois types d’authentification comprennent quelque chose que vous savez, comme un mot de passe, quelque chose que vous avez, comme une clé USB (Universal Serial Bus) et quelque chose que vous êtes, comme votre empreinte digitale ou d’autres données biométriques.
Autorisation
L’autorisation suit l’authentification. Pendant l’autorisation, un utilisateur peut se voir accorder des privilèges pour accéder à certaines zones d’un réseau ou d’un système. Les zones et les ensembles d’autorisations accordés à un utilisateur sont stockés dans une base de données avec l’identité de l’utilisateur. Les privilèges de l’utilisateur peuvent être modifiés par un administrateur. L’autorisation est différente de l’authentification dans la mesure où l’authentification ne vérifie que l’identité d’un utilisateur, tandis que l’autorisation dicte ce que l’utilisateur est autorisé à faire.
Par exemple, un membre de l’équipe informatique peut ne pas avoir les privilèges nécessaires pour modifier les mots de passe d’accès pour un réseau privé virtuel (RPV) à l’échelle de l’entreprise. Cependant, l’administrateur réseau peut choisir d’accorder des privilèges d’accès aux membres, ce qui lui permet de modifier les mots de passe VPN des utilisateurs individuels. De cette manière, le membre de l’équipe sera autorisé à accéder à une zone dont il avait été précédemment interdit.
Traçabilité
La comptabilité suit l’activité des utilisateurs pendant qu’ils sont connectés à un réseau en suivant des informations telles que la durée de leur connexion, les données qu’ils ont envoyées ou reçues, leur adresse IP (Internet Protocol), l’identifiant uniforme des ressources (URI) qu’ils ont utilisé et les différents services auxquels ils ont accédé.
La comptabilité peut être utilisée pour analyser les tendances des utilisateurs, auditer l’activité des utilisateurs et fournir une facturation plus précise. Cela peut être fait en tirant parti des données collectées pendant l’accès de l’utilisateur. Par exemple, si le système facture les utilisateurs à l’heure, les journaux de temps générés par le système de comptabilité peuvent indiquer combien de temps l’utilisateur a été connecté au routeur et à l’intérieur du système, puis les facturer en conséquence.
Pourquoi le framework AAA est-il important dans la sécurité réseau ?
L’AAA est un élément crucial de la sécurité réseau, car elle limite les personnes ayant accès à un système et assure le suivi de leur activité. De cette manière, les acteurs malveillants peuvent être tenus à l’écart, et un acteur vraisemblablement bon qui abuse de ses privilèges peut faire l’objet d’un suivi de son activité, ce qui donne aux administrateurs des informations précieuses sur leurs activités.
Il existe deux principaux types d’AAA pour la mise en réseau : l’accès au réseau et l’administration des appareils.
Accès au réseau
L’accès au réseau implique le blocage, l’octroi ou la limitation de l’accès en fonction des informations d’identification d’un utilisateur. AAA vérifie l’identité d’un appareil ou d’un utilisateur en comparant les informations présentées ou saisies à une base de données d’identifiants approuvés. Si les informations correspondent, l’accès au réseau est accordé.
Administration des appareils
L’administration des appareils implique le contrôle de l’accès aux sessions, aux consoles des appareils réseau, à la couche de sécurité (SSH), etc. Ce type d’accès est différent de l’accès au réseau, car il ne limite pas qui est autorisé à accéder au réseau, mais plutôt les appareils auxquels il peut avoir accès.
Types de protocoles AAA
Il existe plusieurs protocoles qui intègrent les éléments de l’AAA pour assurer la sécurité de l’identité.
Service utilisateur d’authentification à distance (RADIUS)
RADIUS est un protocole réseau qui exécute des fonctions AAA pour les utilisateurs sur un réseau distant à l’aide d’un modèle client/serveur. RADIUS fournit simultanément l’authentification et l’autorisation aux utilisateurs qui tentent d’accéder au réseau. RADIUS prend également tous les paquets de données AAA et les chiffre, offrant un niveau de sécurité supplémentaire.
RADIUS fonctionne en trois phases : l’utilisateur envoie une demande à un serveur d’accès réseau (NAS), le NAS envoie ensuite une demande d’accès au serveur RADIUS, qui répond à la demande en l’acceptant, en la rejetant ou en la remettant en question en demandant plus d’informations.
Diamètre
Le protocole Diameter est un protocole AAA qui fonctionne avec les réseaux d’évolution à long terme (LTE) et multimédia. Le diamètre est une évolution de RADIUS, qui a longtemps été utilisé pour les télécommunications. Cependant, Diameter est conçu sur mesure pour optimiser les connexions LTE et d’autres types de réseaux mobiles.
Contrôleur d’accès aux terminaux - Système de contrôle d’accès Plus (TACACS+)
Tout comme RADIUS, TACACS+ utilise le modèle client/serveur pour connecter les utilisateurs. Cependant, TACACS+ permet de mieux contrôler les manières dont les commandes sont autorisées. TACACS+ fonctionne en fournissant une clé secrète connue du client et du système TACACS+. Lorsqu’une clé valide est présentée, la connexion est autorisée à continuer.
TACACS+ sépare les processus d’authentification et d’autorisation, ce qui le différencie de RADIUS, qui les combine. De plus, TACACS+, comme RADIUS, chiffre ses paquets AAA.