ایمن سازی شبکه, تکنولوژی و ویژگی های نرم افزاری

تحلیل جامع و تخصصی معماری پروتکل‌های AAA: از زیرساخت‌های سنتی تا اکوسیستم 5G و IoT

انتشار در تاریخ توسط mkm_tho

در معماری شبکه، چارچوب AAA (احراز هویت، اعطای مجوز، حسابرسی) ستون فقرات مدیریت امنیت است. این مدل فراتر از یک مکانیزم لاگین ساده، با اصول سه‌گانه امنیت (CIA Triad) همگرایی دارد و بر این فرض استوار است که در شبکه‌های توزیع‌یافته، اعتماد ضمنی (Implicit Trust) وجود ندارد.

  • احراز هویت (Authentication): پاسخ به “شما کی هستید؟” با استفاده از فاکتورهای دانش، مالکیت و ویژگی‌های ذاتی. تمرکز مدرن بر احراز هویت متقابل (Mutual Auth) است.
  • اعطای مجوز (Authorization): پاسخ به “چه دسترسی‌هایی دارید؟”. این لایه شامل سیاست‌های پویا (مانند Change of Authorization) است که می‌تواند در طول نشست تغییر کند.
  • حسابرسی (Accounting): پاسخ به “چه کردید؟”. حیاتی برای بیلیگ، ممیزی امنیتی و کشف نفوذ.

مدل سنتی بر پایه NAS (Network Access Server) است که به عنوان دروازه‌بان عمل می‌کند. NAS منطق تصمیم‌گیری ندارد و صرفاً درخواست‌ها را به سرور مرکزی AAA ارسال می‌کند. انتخاب پروتکل (RADIUS/UDP یا TACACS+/TCP) تأثیر مستقیمی بر کارایی و قابلیت اطمینان (Reliability) دارد.

پروتکل‌های AAA در عصر 5G و IoT؛ مقایسه RADIUS، TACACS+ و Diameter

کالبدشکافی عمیق پروتکل RADIUS: استاندارد صنعتی

پروتکل RADIUS (RFC 2865/2866) همچنان پرکاربردترین پروتکل برای دسترسی شبکه (Wi-Fi, VPN, Broadband) است.

معماری UDP و مدیریت نشست

استفاده از UDP (پورت‌های ۱۸۱۲/۱۸۱۳) سربار اتصال را کاهش می‌دهد اما نیازمند مدیریت تایمرها و بازنشانی‌ها (Retransmission) در لایه اپلیکیشن است.

ساختار بسته (Packet Structure) و امنیت

هدر بسته RADIUS همیشه ۲۰ بایت است:

  1. Code (1 Byte): نوع پیام (1: Access-Request, 2: Accept, 3: Reject).
  2. Identifier (1 Byte): شمارنده تطبیق درخواست و پاسخ.
  3. Length (2 Bytes): طول کل بسته (حداکثر ۴۰۹۶ بایت).
  4. Authenticator (16 Bytes): حیاتی‌ترین فیلد امنیتی.
    • در درخواست: یک عدد تصادفی (Nonce).
    • در پاسخ: هشی برای تایید اصالت سرور طبق فرمول:
ResponseAuth=MD5(Code+ID+Length+RequestAuth+Attributes+SharedSecret)ResponseAuth = MD5(Code + ID + Length + RequestAuth + Attributes + SharedSecret)

ویژگی‌ها (Attributes) و ساختار AVP

داده‌ها در قالب TVL (Type-Length-Value) ارسال می‌شوند.

Attribute CodeAttribute NameDescription
1User-Nameنام کاربری
2User-Passwordرمز عبور (رمزنگاری شده)
4NAS-IP-Addressآدرس درخواست‌کننده
26Vendor-Specificکانتینر ویژگی‌های خاص (Cisco, Mikrotik)
80Message-Authenticatorامضای HMAC-MD5 (حیاتی برای امنیت)

مکانیزم پنهان‌سازی رمز عبور (Security Weakness)

رمز عبور با استفاده از XOR و جریان کلید MD5 پنهان می‌شود. اگر P بلوک‌های ۱۶ بایتی رمز عبور باشد:

b1=MD5(SharedSecret+RequestAuthenticator)b_1 = MD5(SharedSecret + RequestAuthenticator)
c1=p1⊕︎b1c_1 = p_1 \oplus b_1

این روش در برابر حملات مدرن (مانند جداول رنگین‌کمانی) آسیب‌پذیر است و وابستگی شدیدی به پیچیدگی SharedSecret دارد.

تحلیل پروتکل TACACS+: حکمرانی بر تجهیزات

پروتکل TACACS+ (RFC 8907) برخلاف RADIUS که برای دسترسی کابر است، برای مدیریت تجهیزات (Device Administration) بهینه شده است.

تفاوت‌های کلیدی با RADIUS

  1. جداسازی AAA: فرآیندهای احراز هویت، مجوز و حسابرسی کاملاً مستقل هستند. این امکان “مجوزدهی دستور به دستور” (Per-Command Authorization) را فراهم می‌کند.
  2. پروتکل TCP: استفاده از پورت ۴۹ و پروتکل TCP قابلیت اطمینان ذاتی را فراهم می‌کند.
  3. رمزنگاری کامل: برخلاف RADIUS که فقط پسورد را رمز می‌کند، TACACS+ تمام بدنه بسته (Payload) را رمزنگاری می‌کند.

مکانیزم رمزنگاری (Obfuscation)

بدنه بسته با یک Pad مجازی XOR می‌شود:

Padn=MD5(SessionID+SharedSecret+Version+SequenceNumber+Padn1)Pad_n = MD5(SessionID + SharedSecret + Version + SequenceNumber + Pad_{n-1})
EncryptedPayload=CleartextPayload⊕︎(Pad1|Pad2|)EncryptedPayload = CleartextPayload \oplus (Pad_1 | Pad_2 | \dots)

پروتکل Diameter: تکامل برای شبکه‌های IMS و LTE

برای رفع محدودیت‌های RADIUS در شبکه‌های مخابراتی بزرگ، Diameter (RFC 6733) طراحی شد.

ویژگی‌های معماری

  • Peer-to-Peer: هر نود می‌تواند درخواست‌کننده یا پاسخ‌دهنده باشد (Server-Initiated Messages).
  • پروتکل انتقال: پشتیبانی از SCTP برای جلوگیری از Head-of-Line Blocking و پایداری بیشتر.
  • فضای آدرس‌دهی: استفاده از شناسه ۳۲ بیتی.

واسط‌های کلیدی در EPC (4G)

جدول زیر دستورات حیاتی Diameter در شبکه موبایل را نشان می‌دهد:

InterfaceApp IDCommand CodeFunctionNodes
S6a16777251316 (ULR/ULA)Update Location (اتصال مشترک به شبکه)MME $\leftrightarrow$ HSS
S6a16777251318 (AIR/AIA)Auth Info (دریافت بردارهای احراز هویت)MME $\leftrightarrow$ HSS
Gx16777238272 (CCR/CCA)اعمال سیاست‌های QoSPCEF $\leftrightarrow$ PCRF
Gy4272 (CCR/CCA)شارژینگ آنلاین (Online Charging)PCEF $\leftrightarrow$ OCS

گذار به 5G: انقلاب معماری مبتنی بر سرویس (SBA)

در 5G، مفاهیم سنتی AAA جای خود را به میکروسرویس‌های متصل با HTTP/2 و JSON داده‌اند.

توابع شبکه نوین (Network Functions)

  • AUSF (Authentication Server Function): لنگرگاه امنیتی که جایگزین سرور AAA شده و تعامل با UDM را مدیریت می‌کند.
  • UDM (Unified Data Management): تولید بردارهای احراز هویت (AV) و مدیریت هویت.
  • UDR: مخزن داده که جدا از منطق پردازشی (Stateless) است.

جریان احراز هویت 5G-AKA

ارتباطات به صورت RESTful است. مثال بدنه درخواست JSON از AMF به AUSF:

JSON

{
  "supiOrSuci": "suci-0-262-01-...",
  "servingNetworkName": "5G:mnc01.mcc262.3gppnetwork.org"
}

در اینجا SUCI شناسه رمزگذاری شده مشترک است که حریم خصوصی را حفظ می‌کند. پاسخ AUSF شامل چالش امنیتی است:

JSON

{
  "authType": "5G_AKA",
  "5gAuthData": {
    "rand": "a1b2c3d4...",
    "autn": "x9y8z7..."
  }
}
آینده شبکه‌ های 5G در ایران: چالش‌ها و فرصت‌ها

بخوانید:

آینده شبکه‌های 5G در ایران: چالش‌ها و فرصت‌ها

چالش‌های AAA در اینترنت اشیاء (IoT) و LoRaWAN

در IoT، محدودیت منابع مانع استفاده از پروتکل‌های سنگین است.

معماری امنیتی LoRaWAN

نقش AAA توسط Join Server ایفا می‌شود. فرآیند “Join” منجر به تولید دو کلید مجزا می‌شود:

  1. NwkSKey: کلید نشست شبکه (در اختیار اپراتور شبکه برای مسیریابی).
  2. AppSKey: کلید نشست اپلیکیشن (برای رمزنگاری Payload داده‌ها).این معماری تضمین می‌کند که حتی اپراتور شبکه (LNS) نمی‌تواند محتوای داده‌های سنسور را بخواند (End-to-End Security).

مدیریت هویت ابری (Cloud IAM)

AWS IAM در برابر AAA سنتی

  • Role-Based: مفهوم Role در AWS اجازه می‌دهد اعتبارنامه‌های موقت (Temporary Credentials) صادر شود که امنیت را نسبت به کلیدهای ثابت RADIUS به شدت افزایش می‌دهد.
  • سیاست‌های ریزدانه (Granular Policies): امکان تعریف دسترسی در سطح Resource و Condition خاص (مثلاً فقط از IP خاص و با MFA).

فدراسیون (Federation)

استفاده از SAML 2.0 یا OIDC برای اتصال Active Directory سازمانی (IdP) به کنسول ابری، نیاز به ایجاد کاربران تکراری را از بین می‌برد.

تحلیل آسیب‌پذیری: حمله Blast-RADIUS

آسیب‌پذیری CVE-2024-3596 نشان داد که RADIUS همچنان آسیب‌پذیر است.

مکانیزم حمله

مهاجم با استفاده از تکنیک Chosen-Prefix Collision بر روی الگوریتم MD5، یک بسته Access-Reject را دستکاری می‌کند تا امضای آن (Authenticator) با یک بسته Access-Accept معتبر یکسان شود. NAS فریب خورده و اجازه دسترسی می‌دهد.

راهکار مقابله

اجباری کردن استفاده از ویژگی Message-Authenticator (Attribute 80) که از HMAC-MD5 استفاده می‌کند و هنوز امن است. همچنین مهاجرت به RadSec (RADIUS over TLS).

پیاده‌سازی عملیاتی و ایمن‌سازی

پیکربندی امن FreeRADIUS

برای مقابله با Blast-RADIUS و ایمن‌سازی:

Bash

# در فایل radiusd.conf
security {
    # مقابله با Blast-RADIUS: الزام HMAC
    require_message_authenticator = true
    limit_proxy_state = yes
}

# در فایل clients.conf
client private-net {
    ipaddr = 192.168.10.0/24
    proto = tcp  # استفاده از TCP
    secret = "HighEntropySecret!@#123" 
}

پیکربندی TACACS+ در سیسکو

جداسازی احراز هویت و مجوزدهی دستوری:

Bash

aaa new-model
! استفاده از کلید AES (نوع 6)
tacacs server ISE
 address ipv4 192.168.1.10
 key 6 <AES-Key>

aaa group server tacacs+ TAC-GRP
 server name ISE

! احراز هویت لاگین
aaa authentication login default group TAC-GRP local
! مجوزدهی هر دستور (حیاتی)
aaa authorization exec default group TAC-GRP local if-authenticated
aaa authorization commands 15 default group TAC-GRP local

نتیجه‌گیری

تکامل از RADIUS به Diameter و سپس معماری‌های مبتنی بر HTTP/2 در 5G نشان‌دهنده حرکت به سمت انعطاف‌پذیری و امنیت بیشتر است. آینده AAA در ادغام با هوش مصنوعی برای تشخیص ناهنجاری رفتاری (Behavioral Analytics) و پیاده‌سازی معماری Zero Trust نهفته است، جایی که هیچ درخواستی، حتی با اعتبارنامه صحیح، بدون بررسی زمینه (Context) تایید نمی‌شود.

منابع: 1، 2، 3، 4

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *