الفبای کنترل دسترسی برای حسابرسان داخلی، رويكردهاي مديريت كنترل دسترسي

یکی از تصمیم های کلیدی برای اعمال کنترل دسترسی، انتخاب رویکرد مدیریت کنترل دسترسی است. رویکرد مدیریت کنترل دسترسی مشخص می سازد که کنترل دسترسی ها به صورت متمرکز انجام شده و یا توزیع شده باشد. در حال حاضر اغلب متخصصان امنیت اطلاعات رویکرد مدیریت کنترل دسترسی متمرکز را انتخاب می کنند، در ادامه هریک از این دو رویکرد توصیف شده است.

 

رویکرد مدیریت كنترل دسترسي متمركز

در اين رويكرد يك موجوديت دسترسي به تمامي منابع اطلاعاتي را كنترل مي‌كند. اين موجوديت مركزي كه مدير سيستم نيز مي‌باشد دسترسي موجوديت‌هاي مختلف به اشياء را تعريف كرده و اين دسترسي‌ها را كنترل مي‌كند. همچنين در زمان مورد نياز دسترسي‌ها را محدود كرده و يا به صورت كامل دسترسي‌هاي موجوديت‌ها را حذف مي‌كند. اين روش كنترل دسترسي باعث ايجاد هماهنگي و تطابق در تعريف و كنترل دسترسي‌ها مي‌شود چرا كه يك موجوديت مركزي مسئوليت كنترل دسترسي را برعهده دارد. اين روش با توجه به تمامي مزيت‌هايي كه به همراه دارد مي‌تواند محدوديت‌هايي از جمله سرعت و چابكي كمي داشته باشد چرا كه يك موجوديت مركزي مسئوليت كنترل دسترسي را در سراسر شبكه بر عهده دارد. پروتکل ها و فناوری های مختلفی برای کنترل دسترسی براساس رویکرد متمرکز ارائه شده اند. مهمترین آنها RADIUS و TACACS می باشند که در ادامه معرفی شده اند.

RADIUS

يكي از پروتكل‌هاي شبكه است كه براي كنترل دسترسي در قالب معماري Client/Server مورد استفاده قرار مي‌گيرد. يك شبكه ممكن است داراي سرورهاي دسترسي و رسانه‌هاي دسترسي از جمله DSL، ISDN يا T1 باشد. سرورهاي دسترسي براي ارائه خدمات و كاربردها به كاربران نهايي استقرار يافته‌اند. هريك از كاربران براي دسترسي به سرويس‌ها ابتدا درخواست خود را به سرورهاي دسترسي ارسال مي‌كنند. سرور دسترسي نيز اين درخواست‌ها را براي سرور RADIUS ارسال مي‌نمايد. كاربر يك مشتري براي سرورهاي دسترسي و سرورهاي دسترسي يك مشتري براي سرور احراز و كنترل دسترسي به شمار مي‌رود.
كاربران از طريق پروتكل‌هايي از جمله (PAP, CHAP, or EAP) با سرورهاي دسترسي در ارتباط مي‌باشند. سرور دسترسي نيز با استفاده از پروتكل RADIUS با سرور كنترل دسترسي مرتبط هستند. اين پروتكل توسط ISPهايي كه بايد دسترسي را براي كاربران فراهم كنند مورد استفاده قرار مي‌گيرد.

TACACS
اين پروتكل نيز براي كنترل دسترسي در محيط Client/Server توسعه يافته است. اين پروتكل سه نسل مختلف را تجربه نموده است. در نسل اول آن شناسايي و احراز هويت و اعطاي دسترسي با يكديگر تلفيق شده بودند. در نسل بعدي شناسايي و احراز هويت از اعطاي دسترسي جدا شد. در نسل سوم نيز امكان استفاده از احراز هويت دو عاملي ميسر گرديد. در نسل اول اين پروتكل از كلمه و رمز عبور ثابت استفاده مي‌شود. ليكن در نسل سوم امكان ايجاد پويايي براي كلمه و رمز عبور و تغيير مداوم در قالب رمزهاي عبور يك بار مصرف ميسر شده است. TACACS مشابه با پروتكل RADIUS عمل مي‌نمايد. ليكن اين دو پروتكل با يكديگر تفاوت‌هايي دارند.

TACACS از پروتكل TCP براي انتقال داده‌ها استفاده مي‌كند. در حالي كه RADIUS پروتكل UDP را بكار مي‌گيرد. RADIUS رمز عبور كاربران را در زمان انتقال بين سرور و كلاينت رمزنگاري مي‌كند. ساير اطلاعات به صورت متن عادي منتقل شده و رمزنگاري نمي‌شوند. در اين حال هكرها مي‌توانند به راحتي نشست‌هاي كاري را هك كرده و مورد سو استفاده قرار دهند. TACACS تمامي داده‌هاي بين سرور و كلاينت را رمزنگاري مي‌كند. بنابراين آسيب‌پذيري‌ها در زمان استفاده از اين پروتكل بسيار كمتر مي‌شود.

RADIUS مراحل شناسايي و احراز هويت و اعطاي دسترسي را با يكديگر تلفيق مي‌كند. در حالي كه TACACS از معماري پيروي مي‌كند كه مراحل سه گانه شناسايي و احراز هويت، اعطاي دسترسي و حسابرسي كاربران را از يكديگر تفكيك مي‌كند. اين رويكرد انعطاف‌پذيري مديران شبكه در اعمال امنيت را بهبود مي‌بخشد.

در مواقعي كه كنترل دسترسي تنها از طريق يك كلمه عبور و رمز ساده صورت مي‌گيرد استفاده از پروتكل RADIUS مناسب است. در شرايطي كه كنترل دسترسي حائز اهميت بوده و بايد كنترل‌هاي تفكيك شده و جزيي اعمال شود استفاده از پروتكل TACACS ضروري است.

 

رویکرد مدیریت كنترل دسترسي غير متمركز

در اين روش كنترل اشيا به موجوديت‌هاي واگذار مي‌شود كه به اشيا نزديك‌تر هستند. بنابراين به جاي يك كنترل‌كننده مركزي، چندين كنترل‌كننده وجود دارند. سرعت و چابكي اين روش نسبت به حالت متمركز بالاتر است، ليكن مخاطره جدي آن عدم وجود همساني و تطابق بين روش‌ها و سياست‌هاي كنترل دسترسي است. در اين حال به راحتي نمي‌توان سياست‌هاي يكساني را براي كنترل دسترسي در تمامي بخش‌ها اعمال نمود.

اين رويكرد مي‌تواند تضاد سياست‌ها را در عمل به همراه داشته باشد. به عنوان مثال ممكن است يك مديريت سياست‌هاي سخت‌گيرانه‌اي را براي كنترل دسترسي به سرويس اينترنت تعريف كند. ليكن مديريت ديگر در سازمان اين سياست را به شكلي ساده‌تر اعمال نمايد. در اين رويكرد همچنين امكان دارد برخي از كنترل‌ها با يكديگر همپوشان شوند.