AAA 란 ? (인증서버)

1. AAA 서버란?

AAA는 일관된 방식으로 3 개의 독립적 인 보안 기능의 세트를 구성하기위한 *프레임 워크이다. 

(*프레임워크는 프로그래머가 특정한 컴퓨터 솔루션을 위하여 사용하고 확장하고 수정을 가할 수 있는 조립식 소프트웨어 블록들의 모임이다)

- 인증(Authentication) : 사용자가 장비에 접속해도 될 것인지 결정하기 위해 사용자의 신원을 검증하는 과정

- 권한부여(Authorization) : 사용자의 신원이 확인 되었으면,  해당 장비의 어떤 기능까지 접근가능, 또는 불가 하도록 하는 행위

- 계정관리(Accounting) : 인가가 이루어진 후 사용자가 행한 행위의 기록, 사용자의 자원에 대한 사용 정보를 모아서 과금,감사,용량증설,리포팅 등.

쉽게 말해, 위 세가지를 제공해줌으로써 사용자 계정에대한 인증과 권한을 부여해주는 서버이다.

2. AAA Protocol 종류 ?

- RADIUS

- TACACS+ (Terminal Access Controller Access Control System+)

- Kerberos

- DIAMETER Protocol 

비교-

AAA Protocol	RADIUS	TACACS+	Diameter
인증&권한&검증	Combined (하나로 취급)	Separated(분리하여 취급)	Separated(분리하여 취급)
암호화	패스워드만 암호화	패킷 페이로드 전체 암호화	패킷 페이로드 전체 암호화
Protocol	서버 to 클라이언트 (단방향)	서버 to 클라이언트(단방향)	Peer-to-Peer(양방향)
Layer 3 Protocol	UDP	TCP	TCP/SCTP
보안기능	공유비밀키	공유비밀키	End-To-End(TLS), IPSec/TLS

2.1 Kerberos ?

- 미국 MIT대의 Athena Project에 의해 개발된 비밀키 방식에 의한 인증 시스템

특징

- 주요 보안서비스

- 키 분배 및 사용자 인증

- 사용자가 어떤 서비스 또는 서버에 접속하려면

- 우선 Kerberos(패스워드를  사용해서) 사용자를 인증하고,

- 네트워크 상에 흩어져 존재하는 서버와 호스트들에게 이 사용자의 신분을 보증해 줌

- 인증절차 : 3단계 인증 절차

- 암호화 알고리즘 : DES 사용

- 인증 방식 : 공유 비밀 키 인증방식 (대칭 키 암호방식)

- 시스템 구성 요소

- Kerberos 서버, TGS(Ticket-Granting Service), 접속 클라이언트, 접속 서버

- 주요 사용 버전 : Kerberos Ver.4및 Ver.5 (RFC 1510,4120)

2.2 RADIUS(Remote Authentication Dial in User Service) ?

2.3 DIAMETER  ?  ( RADIUS한계를 극복한 차세대 AAA 프로토콜 )

 기존의 RADIUS보다 전송계층, Proxy환경, 세션관리 및 보안측면 등에서 한층 개선되고 확장성 있는 프로토콜.

(초기 Dial-up PPP, Terminal Server, Mobile IP, Wireless 등 지원) 

DIAMETER의 등장배경(RADIUS의 지원미비)

- Attribute 데이터 크기의 제약

- 동시에 통신할 수 있는 메세지 수의 제약

- 서버 장애에 대한 제한된 감지

- 서버로의 메세지 흐름을 제어할 수 없음.

- Proxy 환경에서 RADIUS 서버의 비효율적인 사용

- Replay 공격 가능

- Hop-by-Hop 보안만 지원하고 end-to-end 보안 미지원

3. 동작원리 & 사용 이유

L2 Switch, Router등의 장비에서 디바이스 내부의 로그인 관련한 계정정보를 이용하지 않고,

RADIUS,DIAMETER 등의 외부 서버에서 계정정보를 처리하도록 변경한다.

이렇게 별도의 AAA 인증을 거치도록 하는 이유는 시스코 장비 접속에 대한 보안이 다소 약하여,

별도의 인증서버에 접속하도록 하여 보안을 강화하기 위함과 수많은 계정들의 생성과 관리 

그리고 각종 로그관리를 위해서 별도의 외부 장치를 이용할 필요성이 있기 때문이다.