[Study Notes] AAA Fundamentals
Sedikit review mengenai AAA protocol. Pemahaman konsep ini penting dalam memahami implementasi RADIUS dan TACACS yang digunakan di Cisco ISE
AAA Protocols
Digunakan untuk administrasi network access dan device administration (wireless & wired)
Network Access:
1. Mengetahui siapa user atau endpoint sebelum mengijinkan entitas itu login dan menggunakan sumberdaya jaringan.
2. Teknologi IEEE 802.1x tidak bisa menggunakan TACACS sebagai protokol yang membawa authentication traffic, karena itu harus menggunakan RADIUS
3. Merupakan fokus utama pada ujian SISASv1.0
4. Protokol yang digunakan adalah RADIUS (Remote Authentication Dial-In User Service)
Sebenarnya ada protokol selain RADIUS, yaitu Diameter. Namun penggunaannya lebih banyak di Service Provider.
Device Administration:
1. Metode AAA yang mengatur akses ke perangkat via console, sesi SSH, sesi Telnet yang bertujuan mengkonfigurasi perangkat tersebut.
2. Lebih granular
3. Protokol yang digunakan adalah TACACS (Terminal Access Controller Access Control System)
Perbedaan antara TACACS dan RADIUS yang paling mencolok adalah, TACACS memisahkan fungsi Authentication dan Authorization. Memungkinkan untuk 1 authentication dengan lebih dari 1 proses authorization. RADIUS menggabungkan proses authentication dengan authorization, sehingga saat satu entitas sudah di-authenticate, maka secara default, entitas itu juga akan secara otomatis ter-authorized.
AAA merupakan singkatan dari Authentication, Authorization, dan Accounting.
Authentication
- Memastikan identitas yang mencoba masuk ke jaringan
- Identifikasi bisa dari username dan password, atau sertifikat
Authorization
- Mengijinkan akses kepada entitas yang telah diautentikasi
- Mengautorisasi command set apa saja yang bisa dieksekusi oleh entitas sesuai dengan hak akses mereka.
- Memberikan ijin perangkat apa saja yang boleh diakses sesuai dengan hak akses.
- Biasanya perbedaan hak akses, command set-nya juga berbeda.
Accounting
- Merekam command yang dieksekusi pada perangkat untuk keperluan auditing dan analisis forensik.
- Yang direkam biasanya adalah command, session id, session statistic, session state
AAA Models
Supplicant/End Client
- Device yang meminta access.
- Device yang berinteraksi dengan authenticator.
Authenticator (Network Access Devices)
- Device yang meng-enforce authentication, disebut juga network access devices (NAD).
- Sebagai bridge antara supplicant & authentication server.
Authentication Server
- Berfungsi untuk mengautentikasi permintaan akses dari supplicant.
- Terhubung ke identity source untuk mengambil parameter seperti username dan password, certificate.
- Bisa juga sebagai proxy ke authentication server lain.
Diantara fungsi network access dan device admin, bagian supplicant dan authenticator ada perbedaan protokol yang dilewatkan:
- Device Admin: console, telnet, ssh, http, https
- Network Access: EAPOL, HTTP/HTTPS