Definition

Authentifizierung, Autorisierung und Abrechnung (AAA)

Alexander S. Gillis
von

Was ist Authentifizierung, Autorisierung und Abrechnung (AAA)?

Authentifizierung, Autorisierung und Abrechnung (AAA) ist ein Sicherheitskonzept zur Kontrolle und Verfolgung des Benutzerzugangs in einem Computernetz. AAA steuert auf intelligente Weise den Zugang zu Computerressourcen, setzt Richtlinien durch, prüft die Nutzung und liefert die für die Abrechnung von Diensten erforderlichen Informationen.

Diese kombinierten Prozesse sind wichtig für eine effektive Netzverwaltung und -sicherheit. Netzwerkadministratoren verwenden AAA, um die Netzwerksicherheit aufrechtzuerhalten und gleichzeitig sicherzustellen, dass die Benutzer Zugang zu den von ihnen benötigten Ressourcen haben. Das Framework trägt auch dazu bei, den unbefugten Zugriff auf Netzwerke und Ressourcen zu verhindern, indem es Sicherheitsteams die Kontrolle und den Überblick über die Benutzeraktivitäten ermöglicht.

Das AAA-System (auch Authentication, Authorization und Accounting) geht in chronologischer Reihenfolge von der Authentifizierung über die Autorisierung bis hin zur Abrechnung vor. Der Authentifizierungsprozess identifiziert einen Benutzer, der Benutzer wird autorisiert, bestimmte Aufgaben auszuführen, und der Abrechnungsprozess misst, wie viele Ressourcen der Benutzer verbraucht. Das AAA-Protokoll wird normalerweise auf einem Server ausgeführt, der alle drei Schritte automatisch durchführt. Das Framework verwendet ein Client-Server-Modell für die Bereitstellung des Protokolls. AAA verwendet eine lokale Datenbank, einen automatischen Konfigurationsserver oder einen speziellen AAA-Server.

Die 3 Säulen von AAA

Authentifizierung

Als erstes wird die Authentifizierung zur Identifizierung eines Benutzers eingesetzt, in der Regel durch die Eingabe eines gültigen Benutzernamens und eines Passworts, bevor der Zugang gewährt wird. Stattdessen können auch andere Authentifizierungsverfahren verwendet werden, zum Beispiel biometrische Verfahren oder eine Smartcard.

AAA-Server verarbeiten Benutzeranfragen für den Zugang zu Computerressourcen.
Abbildung 1: AAA-Server verarbeiten Benutzeranfragen für den Zugang zu Computerressourcen.

Der Authentifizierungsprozess basiert darauf, dass jeder Benutzer über einen eindeutigen Satz von Kriterien verfügt, um Zugang zu erhalten. Der AAA-Server vergleicht die Anmeldedaten des Benutzers in der Authentifizierungsanfrage mit anderen in einer Datenbank gespeicherten Anmeldedaten des Benutzers. Stimmen die Anmeldedaten überein, wird dem Benutzer der Zugang zum Netz gewährt. Stimmen die Anmeldedaten nicht überein, schlägt die Authentifizierung fehl, und dem Benutzer wird der Netzzugang verweigert.

Nach der Authentifizierung ist der Benutzer auf die Durchführung von Aktionen beschränkt, die nicht auf bestimmte, von den Netzwerkadministratoren entsprechend konfigurierte Daten oder Ressourcen zugreifen. Die Aktionen des Benutzers werden auch für Metriken wie den Ressourcenverbrauch aufgezeichnet.

Autorisierung

Nach der Authentifizierung muss der Benutzer autorisiert werden, bestimmte Aufgaben auszuführen. Nachdem er sich bei einem System angemeldet hat, könnte er beispielsweise versuchen, Befehle zu auszuführen. Der Autorisierungsprozess stellt fest, ob der Benutzer die Berechtigung hat, solche Befehle zu verwenden. Einfach ausgedrückt, ist die Autorisierung der Prozess der Durchsetzung von Richtlinien, indem festgelegt wird, welche Arten oder Qualitäten von Aktivitäten, Ressourcen oder Diensten dem Benutzer erlaubt sind. Normalerweise erfolgt die Autorisierung im Zusammenhang mit der Authentifizierung. Sobald der Benutzer authentifiziert ist, kann er für verschiedene Arten von Zugriff oder Aktivitäten autorisiert werden.

Abrechnung

Die Abrechnung misst die Ressourcen, die der Benutzer während des Zugriffs verbraucht. Dies kann die Menge an Systemzeit oder Daten umfassen, die der Benutzer während einer Sitzung gesendet und empfangen hat. Die Abrechnung protokolliert Sitzungsstatistiken und Nutzungsinformationen und wird für die Berechtigungskontrolle, Abrechnung, Trendanalyse, Ressourcennutzung und Kapazitätsplanung verwendet.

Die Vorteile des Konzeptes AAA (Authentifizierung, Autorisierung und Abrechnung)

Der AAA-Framework bringt unter anderem folgende Vorteile mit sich

  • Verbesserte Netzwerksicherheit. Jeder Benutzer muss eine auf Anmeldeinformationen basierende Authentifizierung durchlaufen, bevor er Zugang zum Netz erhält. AAA-Sicherheitsprozesse setzen auch das Prinzip der geringsten Privilegien durch, das heißt, den Benutzern wird ein Mindestmaß an Zugang gewährt.
  • Protokollverwaltung. Das für die Zugriffskontrolle verwendete Protokoll ist für Systemadministratoren innerhalb einer Organisation standardisiert.
  • Flexible und granulare Kontrolle. Administratoren und Netzwerksicherheitsteams können die Zugriffsebene jedes Benutzers auf Netzwerkressourcen festlegen.
  • Fundierte Entscheidungsfindung. Administratoren können fundierte Entscheidungen über Autorisierung, Kapazitätsplanung und Ressourcenzuweisung auf der Grundlage von Daten treffen, die in der Abrechnungsphase gesammelt werden, in der die Aktivitäten und Sitzungsstatistiken eines Benutzers protokolliert werden.
  • Standardisierte Authentifizierungsmethoden. Netzwerkzugangsserver verwenden standardisierte Protokolle, wie zum Beispiel RADIUS (Remote Authentication Dial-In User Service), als Schnittstelle zum Server.

AAA-Protokolle

Die Anbieter von Netzsicherheits- und Zugriffskontrollprodukten verwenden in ihren Produkten die folgenden drei Haupttypen von Standardprotokollen:

RADIUS. RADIUS ist ein Client-Server-Protokoll, über das Remote Access Server mit einem zentralen Server zur Authentifizierung kommunizieren. Beim AAA-Verfahren führt RADIUS gleichzeitig eine Authentifizierung und Autorisierung durch. Danach empfängt ein Netzwerkzugangsserver die Benutzeranforderung und nimmt sie an.

RADIUS ist ein Client-Server-Protokoll, über das Remote Access Server mit einem zentralen Server kommunizieren..
Abbildung 2: RADIUS ist ein Client-Server-Protokoll, über das Remote Access Server mit einem zentralen Server kommunizieren..

Terminal Access Controller Access Control System Plus (TACACS+). TACACS+ ist ein AAA-Protokoll für die Fernauthentifizierung, mit dem ein Fernzugriffsserver mit einem Authentifizierungsserver zur Benutzervalidierung kommunizieren kann.

Diameter. Das Diameter AAA-Protokoll hat sich aus dem RADIUS-Protokoll entwickelt. Diameter fügt dem RADIUS-Protokoll neue Befehle und Attribute hinzu, zum Beispiel die Aushandlung von Fähigkeiten, Bestätigungen auf der Anwendungsschicht und Failover-Methoden.

Diese Definition wurde zuletzt im Juni 2024 aktualisiert

Erfahren Sie mehr über Netzwerksicherheit