공부중

• AAA란 사용자가 네트워크에 접근하여 자원을 사용하려고 하는 것을 제어하기 위해 사용되는 기술이다. 이 용어는 인증(Authentication), 인가(Authorization), 회계/계정 관리/과금(Accounting)를 제공하는 정보 보호 기술들을 총칭한다. 인증이란 사용자의 신원을 검증하는 것이다. 인가란 신원이 검증된 사용자에게 특정 수준의 권한과 서비스를 허용하는 것을 말한다. 계정관리/과금이란 사용자의 사용 정보를 수집하여 이에 대해 감사, 과금, 보고 등을 수행하는 것을 의미한다. 이 AAA를 구현한 대표적인 프로토콜에는 RADIUS, DIAMETER, TACACS+, Kerberos 등이 있다. 이 AAA 기술은 ISP같은 사업자에게 매우 중요한데, 인터넷망 가입자의 접근 권한 레벨을 부여하고 검증해야하며, 이 가입자가 네트워크를 사용한 만큼 기록하여 과금해야하기 때문이다. AAA 구조는 아래와 같은 그림으로 볼 수 있다.

그림 출처 : http://www.itfind.or.kr/WZIN/jugidong/981/98101.htm

• AAA 구조에서 각 사용자들은 먼저 네트워크 망에 대한 접근을 요청한다. 이 요청을 받은 NAS(Network Access Server)의 AAA Client는, 사용자가 제공한 정보를 AAA Server에게 전달하여 적절한 인증 및 인가가 이뤄질 수 있도록 한다. AAA Server가 해당 사용자에 대한 인증과 인가를 마치게되면, AAA Client는 이 결과 및 관련 데이터를 전달받아서 해당 사용자의 접근을 허용하거나 거부한다. 또한 NAS는 연결이 설정되어 종료되기까지 일어나는 사용자의 기록들을 수집함으로써 AAA 서버에게 과금 메시지를 보낼 수 있다.

• RADIUS(Remote Authentication Dial-in User Service)는, 1990년 중반에 리빙스턴사에 의해 개발된 분산 보안 시스템이다. 보통 UDP에 의해 전달되며, 인증/인가용으로 1812번 포트 번호를, 계정 관리용으로 1813 포트 번호를 사용한다. 보통 NAS(Network Access Server)가 RADIUS client를 가지고 있고, 이것은 RADIUS server와 통신하여 사용자의 네트워크 접근을 제어하게 된다. RADIUS server는 접근 정책을 구현하고 있거나(자체적으로 정책 DB를 가지고 있음.), LDAP(Lightweight Directory Access Protocol)을 통해 데이터베이스로부터 접근 정책을 추출해온다.

그림 출처 : https://www.slideshare.net/PeterREgli/aaa-radius

• DIAMETER 프로토콜은 RADIUS를 대체하게된 새로운 유용한 기술이다. 참고로 diameter(직경)은 radius(반지름)의 2배라는 뜻에서 이름이 비롯되었다고 한다. RADIUS에 비해 가벼우면서도 확장성이 좋다고 평가받고 있다. RADIUS가 서버-클라이언트 간 단방향 통신인 것에 비해, DIAMETER는 Peer-to-Peer의 양방향 통신을 지원한다. 또한 TCP 및 SCTP에서 동작하여 신뢰성 있는 AAA를 제공한다. 그리고 RADIUS가 비밀번호만 암호화하는 것과는 달리 DIAMETER는 패킷 payload 전체를 암호화한다.

• TACACS+(Terminal Access Controller Access Control System) 프로토콜은, RADIUS 프로토콜과 거의 비슷한 방식이지만, UDP를 사용하며 패킷 payload 전체를 암호화하는 차이점이 있다.