یکی از تصمیم های کلیدی برای اعمال کنترل دسترسی، انتخاب رویکرد مدیریت کنترل دسترسی است. رویکرد مدیریت کنترل دسترسی مشخص می سازد که کنترل دسترسی ها به صورت متمرکز انجام شده و یا توزیع شده باشد. در حال حاضر اغلب متخصصان امنیت اطلاعات رویکرد مدیریت کنترل دسترسی متمرکز را انتخاب می کنند، در ادامه هریک از این دو رویکرد توصیف شده است.
رویکرد مدیریت كنترل دسترسي متمركز
در اين رويكرد يك موجوديت دسترسي به تمامي منابع اطلاعاتي را كنترل ميكند. اين موجوديت مركزي كه مدير سيستم نيز ميباشد دسترسي موجوديتهاي مختلف به اشياء را تعريف كرده و اين دسترسيها را كنترل ميكند. همچنين در زمان مورد نياز دسترسيها را محدود كرده و يا به صورت كامل دسترسيهاي موجوديتها را حذف ميكند. اين روش كنترل دسترسي باعث ايجاد هماهنگي و تطابق در تعريف و كنترل دسترسيها ميشود چرا كه يك موجوديت مركزي مسئوليت كنترل دسترسي را برعهده دارد. اين روش با توجه به تمامي مزيتهايي كه به همراه دارد ميتواند محدوديتهايي از جمله سرعت و چابكي كمي داشته باشد چرا كه يك موجوديت مركزي مسئوليت كنترل دسترسي را در سراسر شبكه بر عهده دارد. پروتکل ها و فناوری های مختلفی برای کنترل دسترسی براساس رویکرد متمرکز ارائه شده اند. مهمترین آنها RADIUS و TACACS می باشند که در ادامه معرفی شده اند.
RADIUS
يكي از پروتكلهاي شبكه است كه براي كنترل دسترسي در قالب معماري Client/Server مورد استفاده قرار ميگيرد. يك شبكه ممكن است داراي سرورهاي دسترسي و رسانههاي دسترسي از جمله DSL، ISDN يا T1 باشد. سرورهاي دسترسي براي ارائه خدمات و كاربردها به كاربران نهايي استقرار يافتهاند. هريك از كاربران براي دسترسي به سرويسها ابتدا درخواست خود را به سرورهاي دسترسي ارسال ميكنند. سرور دسترسي نيز اين درخواستها را براي سرور RADIUS ارسال مينمايد. كاربر يك مشتري براي سرورهاي دسترسي و سرورهاي دسترسي يك مشتري براي سرور احراز و كنترل دسترسي به شمار ميرود.
كاربران از طريق پروتكلهايي از جمله (PAP, CHAP, or EAP) با سرورهاي دسترسي در ارتباط ميباشند. سرور دسترسي نيز با استفاده از پروتكل RADIUS با سرور كنترل دسترسي مرتبط هستند. اين پروتكل توسط ISPهايي كه بايد دسترسي را براي كاربران فراهم كنند مورد استفاده قرار ميگيرد.
TACACS
اين پروتكل نيز براي كنترل دسترسي در محيط Client/Server توسعه يافته است. اين پروتكل سه نسل مختلف را تجربه نموده است. در نسل اول آن شناسايي و احراز هويت و اعطاي دسترسي با يكديگر تلفيق شده بودند. در نسل بعدي شناسايي و احراز هويت از اعطاي دسترسي جدا شد. در نسل سوم نيز امكان استفاده از احراز هويت دو عاملي ميسر گرديد. در نسل اول اين پروتكل از كلمه و رمز عبور ثابت استفاده ميشود. ليكن در نسل سوم امكان ايجاد پويايي براي كلمه و رمز عبور و تغيير مداوم در قالب رمزهاي عبور يك بار مصرف ميسر شده است. TACACS مشابه با پروتكل RADIUS عمل مينمايد. ليكن اين دو پروتكل با يكديگر تفاوتهايي دارند.
TACACS از پروتكل TCP براي انتقال دادهها استفاده ميكند. در حالي كه RADIUS پروتكل UDP را بكار ميگيرد. RADIUS رمز عبور كاربران را در زمان انتقال بين سرور و كلاينت رمزنگاري ميكند. ساير اطلاعات به صورت متن عادي منتقل شده و رمزنگاري نميشوند. در اين حال هكرها ميتوانند به راحتي نشستهاي كاري را هك كرده و مورد سو استفاده قرار دهند. TACACS تمامي دادههاي بين سرور و كلاينت را رمزنگاري ميكند. بنابراين آسيبپذيريها در زمان استفاده از اين پروتكل بسيار كمتر ميشود.
RADIUS مراحل شناسايي و احراز هويت و اعطاي دسترسي را با يكديگر تلفيق ميكند. در حالي كه TACACS از معماري پيروي ميكند كه مراحل سه گانه شناسايي و احراز هويت، اعطاي دسترسي و حسابرسي كاربران را از يكديگر تفكيك ميكند. اين رويكرد انعطافپذيري مديران شبكه در اعمال امنيت را بهبود ميبخشد.
در مواقعي كه كنترل دسترسي تنها از طريق يك كلمه عبور و رمز ساده صورت ميگيرد استفاده از پروتكل RADIUS مناسب است. در شرايطي كه كنترل دسترسي حائز اهميت بوده و بايد كنترلهاي تفكيك شده و جزيي اعمال شود استفاده از پروتكل TACACS ضروري است.
رویکرد مدیریت كنترل دسترسي غير متمركز
در اين روش كنترل اشيا به موجوديتهاي واگذار ميشود كه به اشيا نزديكتر هستند. بنابراين به جاي يك كنترلكننده مركزي، چندين كنترلكننده وجود دارند. سرعت و چابكي اين روش نسبت به حالت متمركز بالاتر است، ليكن مخاطره جدي آن عدم وجود همساني و تطابق بين روشها و سياستهاي كنترل دسترسي است. در اين حال به راحتي نميتوان سياستهاي يكساني را براي كنترل دسترسي در تمامي بخشها اعمال نمود.
اين رويكرد ميتواند تضاد سياستها را در عمل به همراه داشته باشد. به عنوان مثال ممكن است يك مديريت سياستهاي سختگيرانهاي را براي كنترل دسترسي به سرويس اينترنت تعريف كند. ليكن مديريت ديگر در سازمان اين سياست را به شكلي سادهتر اعمال نمايد. در اين رويكرد همچنين امكان دارد برخي از كنترلها با يكديگر همپوشان شوند.