Les services de sécurité réseau d'authentification, d'autorisation et de gestion des comptes fournissent la structure principale permettant de mettre en place un contrôle d'accès sur un périphérique réseau. Ces services permettent de contrôler les utilisateurs autorisés à accéder à un réseau (authentification), ce que ces derniers peuvent faire lorsqu'ils sont connectés (autorisation) et les actions qu'ils exécutent lors de l'accès au réseau (gestion des comptes). Les services d'authentification, d'autorisation et de gestion des comptes offrent une évolutivité supérieure à celle des commandes d'authentification AUX, VTY et mode d'exécution privilégiée seules de la console.
Authentification
Les utilisateurs et les administrateurs doivent prouver leur identité. L'authentification peut être implémentée à l'aide de combinaisons de nom d'utilisateur et de mot de passe, de questions d'authentification, de jetons et d'autres méthodes. Par exemple : « Je suis un utilisateur « étudiant ». Je connais le mot de passe qui prouve que je suis un utilisateur « étudiant ». »
Dans un réseau de petite taille, l'authentification locale est souvent utilisée. Dans ce cas, chaque périphérique met à jour sa propre base de données de combinaisons identifiant/mot de passe. Cependant, lorsqu'il existe un certain nombre de comptes d'utilisateur dans une base de données du périphérique local, leur gestion devient complexe. En outre, à mesure que le réseau se développe et davantage de périphériques y sont ajoutés, l'authentification locale devient difficile à maintenir à jour et n'offre pas d'évolutivité. Par exemple, s'il existe 100 périphériques réseau, tous les comptes d'utilisateur doivent être ajoutés sur chacun des 100 périphériques.
Dans les réseaux de plus grande envergure, l'authentification externe est une solution plus évolutive. Celle-ci permet à tous les utilisateurs d'être authentifiés par le biais d'un serveur réseau externe. Les deux options les plus utilisées pour l'authentification externe des utilisateurs sont RADIUS et TACACS+ :
- RADIUS est une norme ouverte qui utilise peu de ressources de processeur et peu de mémoire. Cette méthode est utilisée par un large éventail de périphériques réseau, tels que des commutateurs, des routeurs et des périphériques sans fil.
- TACACS+ est un mécanisme de sécurité qui active des services d'authentification, d'autorisation et de gestion des comptes modulaires. Il fait appel à un démon TACACS+ exécuté sur un serveur de sécurité.
Autorisation
Une fois que l'utilisateur est authentifié, les services d'autorisation déterminent les ressources auxquelles l'utilisateur peut accéder et les opérations qu'il est autorisé à effectuer. Exemple : « L'utilisateur « étudiant » peut accéder au serveur hôte XYZ via Telnet uniquement. »
Accounting
Les services de gestion des comptes consignent les actions de l'utilisateur, notamment les ressources auxquelles il accède et pendant combien de temps, et toutes les modifications apportées. Ces services permettent de contrôler la manière dont les ressources réseau sont utilisées. Exemple : « L'utilisateur « étudiant » a accédé au serveur hôte XYZ via Telnet pendant 15 minutes. »
Le concept des services d'authentification, d'autorisation et de gestion des comptes est similaire à l'utilisation d'une carte de crédit. La carte de crédit identifie qui est autorisé à l'utiliser, combien cet utilisateur peut dépenser et consigne les achats de l'utilisateur (cf figure).