AAA – Authentifizierung, Autorisierung, Accounting
Authentifizierung Identitätsfeststellung des Benutzers vom zuständigen Server
Methoden Besitz Wissen Biometrisches Kann gestohlen / verloren / dupliziert werden RFID, Schlüssel, TAN, Smartcard Wissen Kann vergessen / erraten / weitergegeben / dupliziert werden Passwort, PIN, Antwort auf die Sicherheitsfrage Biometrisches Kann nicht vorgetäuscht werden Finger, Iriserkennung, Unterschrift
RFID (radio-frequency identification) eine Technologie für Sender-Empfänger-Systeme zum automatischen und berührungslosen Identifizieren und Lokalisieren von Objekten und Lebewesen mit Radiowellen. Ein RFID-System besteht aus einem Transponder (umgangssprachlich auch Funketikett genannt), der sich am oder im Gegenstand bzw. Lebewesen befindet und einen kennzeichnenden Code enthält, sowie einem Lesegerät zum Auslesen dieser Kennung.
RFID-Transponder können so klein wie ein Reiskorn sein und implantiert werden, etwa bei Haustieren oder Menschen. Darüber hinaus besteht die Möglichkeit, RFID-Transponder über ein spezielles Druckverfahren stabiler Schaltungen aus Polymeren herzustellen. Die Vorteile: Kombination der geringen Größe, der unauffälligen Auslesemöglichkeit (z. B. bei dem Personalausweis) und dem geringen Preis der Transponder (teilweise im Cent-Bereich). Zukunft: den heute weitverbreiteten Barcode ersetzen.
Zwei-Faktor-Authentifizierung
Vier Augen Prinzip eine Sonderform des Mehr-Augen-Prinzips und besagt, dass wichtige Entscheidungen nicht von einer einzelnen Person getroffen werden oder kritische Tätigkeiten nicht von einer einzelnen Person durchgeführt werden sollen oder dürfen. Ziel: das Risiko von Fehlern und Missbrauch zu reduzieren.
Autorisierung eine Zustimmung, spezieller die Einräumung von Rechten gegenüber Interessenten, ggf. zur Nutzung gegenüber Dritten. Die Autorisierung überwindet Mechanismen von Schutz gegen Unbefugte. Eine Autorisierung gilt gegebenenfalls eingeschränkt nur in einem Kontext und/oder Modus. Die Autorisierung erfolgt sinnvollerweise nicht ohne eine vorherige erfolgreiche Authentifizierung.
Autorisierung in der IT Ist das initiale Zuweisen und das wiederholt einleitende Überprüfen von Zugriffsrechten mittels spezieller Methoden bezüglich interessierter Systemnutzer zu Daten und zu Diensten. Einsatzzwecke: der erlaubte Zugriff auf sogenannte Ressourcen (auf Verzeichnisse oder Dateien) in einem Computernetzwerk. die Erlaubnis zur Installation oder Benutzung von Computerprogrammen (Software).
Accounting Feststellung, in welchem Umfang die Dienste genutzt wurden Protokollierung Abrechnung Sicherheitsprüfung auf Einhaltung der Autorisierung Die Accounting-Funktion ermöglicht bei AAA-Servern die Erstellung eines Prüfprotokolls. Darin wird festgehalten, wie lang die Verbindung der einzelnen Benutzer bestand, können Administratoren gegebenenfalls auf einfache Weise Sicherheitswie sie die Verbindung hergestellt haben und von welcher IP-Adresse sie kamen. Dadurch - und operative Zugriffsprobleme einsehen, die in der Vergangenheit aufgetreten sind.
RADIUS (Remote Authentication Dial-In User Service) Identitätsmanagement Ein RADIUS-Server ist ein zentraler Authentifizierungsserver, an den sich Services für die Authentifizierung von Clients in einem physischen oder virtuellen Netzwerk (VPN), je nach Konfiguration auch über einen RADIUS-Proxy-Server, wenden.
RADIUS (Remote Authentication Dial-In User Service) Der RADIUS-Server übernimmt dabei für den Service die Authentifizierung, das heißt die Überprüfung von Benutzername und Kennwort. Daraufhin werden Parameter für die Verbindung zum Client bereitgestellt. Die dabei verwendeten Daten entnimmt der RADIUS- Server eigenen Konfigurationsdateien, eigenen Konfigurationsdatenbanken oder ermittelt diese durch Anfragen an weitere Datenbanken oder Verzeichnisdienste, in denen die Zugangsdaten wie Benutzername und Kennwort gespeichert sind.
RADIUS (Remote Authentication Dial-In User Service)
RADIUS (Remote Authentication Dial-In User Service) Der Vorteil dieses Verfahrens liegt in den einmalig registrierten Zugangsdaten der Benutzer, die in verteilten Netzwerken überall und jederzeit aktuell verfügbar sind und mit einfachen administrativen Eingriffen an zentraler Stelle registriert und verändert werden können.
TACACS (Terminal Access Controller Access Control System) von der IETF standardisiertes und weit verbreitetes Kommunikations- Protokoll für AAA. Es dient der Client-Server-Kommunikation zwischen AAA-Servern und einem Network Access Server (NAS). TACACS-Server stellen eine zentrale Authentifizierungsinstanz für Benutzer zur Verfügung, die in einem Intranet oder über das Internet eine IP-Verbindung mit einem NAS herstellen möchten. In Cisco-typischen Netzwerkumgebungen wird TACACS für das zentrale Benutzermanagement für Netzwerkadministratoren und -operatoren verwandt. Nutzt TCP / UDP Port 49
Diameter Diameter ist ein Authentifizierungs-, Autorisierungs- und Accountingprotokoll für die Authentifizierung von Kommunikationspartnern in einem Netzwerk. Nachfolger vom RADIUS. Einsatzbereich: In IP Multimedia Subsystem In Mobilfunknetzen für die Signalisierung