AAA adalah singkatan dari Authentication, Authorization, dan Accounting. Dalam dunia security, AAA sangat dibutuhkan dalam mengkontrol manajemen akses untuk masuk dan menggunakan sebuah sistem dan mengetahui apa saja yang dilakukan. Sama hal nya dengan masuk rumah orang, siapa yang akan masuk harus memiliki akses masuk, memiliki izin, dan sebisa mungkin pemilik rumah mengetahui apa saja yang dilakukan oleh orang tersebut di rumahnya.
Tapi kali ini kita bukan lagi bahas rumah orang, jadi kita akan berfokus pada Authentication, Authorization, dan Accounting yang ada di jaringan komputer.
Authentication
Authentication adalah otentikasi. Bener dong. Yaitu proses meng-identifikasi siapa yang boleh masuk ke sebuah sistem. Misalnya login menggunakan Username dan Password, membuka smartphone dengan Sidik Jari, atau memasukan Pin saat membayar dengan kartu debit di tempat pijat. Jika username, password, sidik jari, atau pin yang kita masukan salah, maka kita tidak akan bisa masuk ke dalam sistem tersebut.Orang yang jahat (bukannya suudzon) akan berusaha sekali untuk mendapatkan akses ke sistem tersebut. Ada juga yang namanya Brute Force yaitu berusaha untuk masuk / login menggunakan berbagai kemungkinan password atau dengan menggunakan berbagai kombinasi huruf juga angka dengan program otomatis. Itulah alasan kenapa kita harus membuat password dengan minimal banyaknya karakter dan kombinasi yang rumit. Selain itu juga bisa di cegah dengan melakukan block atau mencegah login selama beberapa waktu ketika orang tersebut telah beberapa kali gagal login dan menggunakan captcha untuk memastikan yang login adalah orang bukan program otomatis atau yang biasa disebut robot.
 |
| try another password while the username is typo, wkwk |
Authorization
Setelah authenticated alias masuk ke sebuah sistem, maka orang tersebut juga harus memiliki authorization yaitu wewenang apa saja yang bisa dilakukan terhadap sistem tersebut dan sejauh mana bisa mengakses sebuah sistem atau resource. "Kok bahas akses lagi?". Ya karena meskipun misal sudah berhasil login, belum tentu kita bisa mengakses semua yang ada di dalem sistem tersebut. Smoga paham lah ya bhahaha. Lebih detail contohnya adalah misal seorang operator hanya bisa melihat apa yang ada di sistem tersebut, sedangkan administrator dapat melakukan perubahan pada sistem tersebut.
Apakah authorization dan permission pada "File Permission" seperti Read, Write, Execute adalah hal sama?. Menurut ku keduanya sama ketika konteks nya adalah wewenang atau hak akses untuk mengakses suatu resource. Tapi authorization lebih kompleks seperti command / perintah apa saja yang boleh dan tidak boleh dilakukan.
Accounting
Nahh, semua aktivitas yang kita lakukan terhadap sistem harus bisa tercatat dan tersimpan dengan baik. Log atau catatan tersebut berguna misalnya pada saat dibutuhkan adanya pelacakan atau audit aktivitas apa saja yang sudah terjadi. Misalkan ada perubahan dalam konfigurasi, atau suatu data, dan kita ingin mengetahui siapa yang melakukan, maka kita bisa melihatnya pada log atau catatan accounting ini.
AAA Server
Untuk membuat dan menyimpan data, policy (kebijakan) juga melakukan pencatatan pada AAA, dibutuhkan adanya AAA Server. Ada 2 AAA server yang biasa ditemui, yaitu RADIUS (Remote Authentication Dial-In User Service) dan TACACS+(Terminal Access Controller Access Control System). Cara kerjanya adalah ketika ada orang atau user yang akan login ke sebuah sistem atau device yang selanjutnya disebut sebagai NAS (Network Access Server), NAS tersebut akan berfungsi sebagai client dan akan meneruskan informasi user ke server juga akan bertindak sebagai authenticator.
 |
| server based authentication |
Lalu pilih RADIUS atau TACACS+?. Tergantung dengan kebutuhan dan compatibility dari perangkat tersebut. Karena meskipun lebih secure tapi tidak semua device support TACACS+ dan resource processing yang dibutuhkan juga lebih besar dari RADIUS.
 |
| dapet dari web tacacs, jadi semua kelebihan nya tacacs+, bhahaha |
Kenapa bisa TACACS+ lebih secure, dan RADIUS lebih ringan. Berikut perbedaannya.
Pemerannya adalah PC, Router, dan AAA Server.
RADIUS
PC : "Mas Router, mau login nih"
Router : "Username nya apa ya?"
PC : "admin"
Router : "Password nya?"
PC : "P@ssw0rd"
Router : "Bang Server, ada yang login pakai username `admin` dan password `P@ssw0rd` nih"
Server : "Oke boleh masuk, aku Catat ya, tapi dia bolehnya cuma sampai depan aja ya"
Router : "Oke PC, kamu boleh masuk"
PC : "Aku mau show configuration nih"
Router : "Oke monggo"
TACACS+
PC : "Mas Router, mau login nih"
Router : "Bang Server, ada yang mau login nih, tanyain Username apa ya?"
Server : "Iya tanyain username nya"
Router : "Username kamu apa PC?
PC : "admin"
Router : "`admin` bang, tanyain password juga ga?"
Server : "iya, passwordnya apa?"
Router : "password nya apaan PC?"
PC : "P@ssw0rd"
Router : "`P@ssw0rd` katanya bang"
Server : "Oke boleh masuk, aku catet ya"
Router : "Oke PC, kamu boleh masuk"
PC : "Aku mau show configuration nih"
Router : "Bang server, dia mau show configuration boleh?"
Server : "Boleh kok, aku catat dia show configuration ya"
Router : "Oke PC kamu boleh show configuration".
Jadi perbedaan nya adalah pada TACACS+ akan dilakukan authorizing dan accounting pada setiap aktivitas bahkan command nya, tapi kalau RADIUS tidak bisa, sehingga lebih aman dan memiliki visibilitas lebih baik jika menggunakan TACACS+.
Terus kok ada TACACS aja dan ada yang TACACS+?. Jadi gini, dulu nya emang TACACS doang, tapi disempurnakan oleh CISCO menjadi TACACS+ dan awalnya merupakan Cisco Proprietary. Tapi sekarang sudah banyak juga vendor lain yang support TACACS+.
Do good, be kind, stay positive.
0 comments:
Post a Comment