AAA - Authentication Authorization Accounting
AAA steht für ein Sicherheitskonzept unter dem Authentication, Authorization und Accounting zusammengefasst sind. Es handelt sich dabei um die drei Hauptaufgaben von AAA.
Vereinfachte Darstellung der Funktionsweise von AAA
Ein Nutzer (Client) möchte einen Dienst in Anspruch nehmen. Ein Network Access Server (NAS) bietet diesen Dienst oder Zugang zum Dienst (Netzwerk) an. Der Client greift auf den NAS zu. Der NAS befragt seinen AAA-Server, der Informationen über die Berechtigung zur Nutzung von Diensten bereitstellt und alles aufzeichnet. Der AAA-Server bestätigt die Freigabe oder lehnt sie ab. Aufgrund der Berechtigung gibt der NAS dem Client den Zugang frei oder lehnt ihn ab.
Authentifizierung / Authentication
Authentifizierung bedeutet, die Identität zu überprüfen. Zum Beispiel mit Benutzername und Passwort. Knackpunkt bei jeder Authentifizierung ist die Übertragung von Benutzername und Passwort. Erfolgt sie unverschlüsselt, dann ist es möglich, dass ein Angreifer beides ausspäht und für die eigene Authentifizierung missbraucht.
Die Bestandteile eines Authentifizierungssystems sind der Supplicant (Antragsteller), der Authenticator (Beglaubigter) und ein Authentication Server, der den Antrag des Supplicant überprüft und seine Entscheidung dem Authenticator mitteilt.
Der Supplicant ist eine Client-seitige Komponente, die für alle gängigen Betriebssysteme existiert und in der die Verfahren für Schlüsselaustausch und Authentifizierung implementiert sind. Der Authenticator regelt den Zugang zum Netz. Solange ein Client nicht authentifiziert ist, werden nur Pakete zur Authentifizierung akzeptiert. Im Erfolgsfall wird jeglicher Verkehr zugelassen.
Der Authentication Server bekommt vom Authenticator Anfragen weitergeleitet. Er ist die Instanz, die den Zugang zum Netzwerk erlaubt oder verweigert. Der Authentication Server wird in der Regel durch einen Radius-Server implementiert.
Die Kommunikation zwischen Supplicant und Authenticator erfolgt zum Beispiel über das Extensible Authentication Protocol over LAN (EAPoL). Die Kommunikation zwischen Authenticator und Authentication Server erfolgt zum Beispiel über in RADIUS-Paketen gekapselte EAP-Paketen.
Autorisierung / Authorization
Bei der Autorisierung stellt man fest, ob ein bestimmter Benutzer einen bestimmten Dienst nutzen darf. Nur weil sich der Benutzer authentifiziert hat bedeutet das nicht, dass er auch berechtigt ist einen bestimmten Dienst zu benutzen. Wenn hinter einer Authentifizierung mehrere Dienste angeboten werden, dann auch die Berechtigungen zu prüfen, wenn nicht alles pauschal freigegeben sein soll.
Accounting
Beim Accounting geht es darum, die Nutzung eines Dienstes durch einen Benutzer festzuhalten und zu dokumentieren. Später kann die Nutzung zum Beispiel abgerechnet werden. Es ist aber auch möglich, für Service-Fälle festzustellen, was der Benutzer gemacht hat, um Fehler aufzuspüren.
Anmerkung zum Schluss
In der Deutschen Sprache gibt es einen Unterschied zwischen "authentifizieren" und "authentisieren". Im Duden steht dazu folgende Erläuterung:
au|then|ti|fi|zie|ren: die Echtheit bezeugen oder beglaubigen
au|then|ti|sie|ren: glaubwürdig oder rechtsgültig machen
"Authentifizieren" bzw. "Authentifizierung" würde demnach bedeuten, dass eine elektronische Unterschrift beglaubigt bzw. dessen Echtheit bezeugt wird.
"Authentisieren" bzw. "Authentisierung" würde demnach bedeutet, dass der Absender seine Identität glaubwürdig machen soll. Demnach wären die typischen Benutzername-Passwort-Abfragen eine Authentisierung.
In der Praxis wird zwischen beiden Formen jedoch nicht unterschieden und "authentifizieren" bzw. "Authentifizierung" verwendet. In den weiteren Erläuterungen wird es ebenso gehandhabt.
Protokolle für die Authentifizierung
- PAP - Password Authentication Protocol
- CHAP - Challenge Handshake Authentication Protocol
- MS-CHAP - Microsoft CHAP
Weitere verwandte Themen:
- PPP - Point-to-Point-Protocol
- RAS - Remote Access Service
- EAP - Extensible Authentication Protocol
- IEEE 802.1x / RADIUS
- Grundlagen der Netzwerk-Sicherheit