Ota käyttöön AAA-tietoturvaprotokollat ehkäistäksesi verkkolaitteiden kuten hallittavien kytkinten ja mediamuuntimien sekä Ethernet Extendereiden luvaton käyttö

AAA Security – Authentication (todentaminen, autentikointi), Authorization (valtuutus) ja Accounting (tilastointi).

Jaetut tietoturvajärjestelmät ovat yleisesti käytössä isoissa yrityksissä, jolloin niiden avulla voidaan estää verkon ja sen palveluiden käyttö luvattomilta käyttäjiltä. Järjestelmät kontrolloivat kuka voi kytkeytyä verkkoon ja mitä palveluita he ovat oikeutettuja käyttämään. Niiden ominaisuuksiin kuuluu myös verkon käyttäjien toiminnan jäljitettävyys.

AAA-protokollat kuten Ciscon RADIUS (RFC 2865) ja TACACS+ kehitettiin nimenomaan parantamaan verkkojen ja niiden palveluiden tietoturvaa. AAA-arkkitehtuuri mahdollistaa oikeutettujen käyttäjien pääsyn verkon palveluihin rajoittaen samalla palveluiden luvatonta käyttöä.

Pääsy esimerkiksi hallittavien kytkinten, mediamuuntimien ja Ethernet Extendereiden laitehallintaan on oltava erittäin tarkassa kontrollissa ja suojattua, joten pelkkä käyttäjätunnus ja salasana laitehallintaan ei ole riittävän tehokasta. Ainoana riittävän tehokkaana ratkaisuna luvattoman käytön ehkäisemiseen on käyttää laitehallinnassa RADIUS ja TACACS+ AAA-protokollia. Tällöin voidaan myös keskitetysti valvoa, kenellä on oikeus laitehallintaan, mitä oikeuksia hänellä on ja myös mahdollistaen kunkin käyttäjän toiminnan jäljitettävyyden.

Perle Systems:llä on pitkä ja laaja-alainen kokemus tietoturvaan liittyvistä kysymyksistä, sillä yritys on toimittanut tuhansille yrityksille eri puolilla maailmaa hallittavia teollisuus Ethernet-kytkimiä, mediamuuntimia ja Ethernet Exdendereitä, joissa käytetään RADIUS ja TACACS+ protokollia.

Autentikointi

Pelkkä käyttäjätunnus ja salasana, jotka mahdollistavat pääsyn verkkolaitteiden hallintaan, on käyttäjän tunnistuksessa alkeellinen menetelmä. Tyypillisesti järjestelmään on määritelty vain rajallinen määrä näitä tunnuksia ja ne on määriteltävä jokaiselle laitteelle erikseen. Aina kun lisätään uusi käyttäjä, poistetaan käyttäjä tai muutetaan käyttäjän tietoja, täytyy muutokset kohdistaa jokaiseen laitteeseen, joka on aikaa vievää ja joka mahdollistaa myös virhetoimintoja. Lisäksi jokaisen käyttäjän tarvitsee muistaa oma käyttäjätunnus ja salasana päästäkseen hallinnoimaan verkkolaitetta sekä käyttäjän täytyy pitää tunnukset tietoturvallisessa paikassa.

Ottamalla käyttöön AAA-protokollat kaikki yllä mainitut ongelmat voidaan poistaa: käyttäjätunnnuksia ja salasanoja hallitaan keskitetysti sekä jo olemassa olevat käyttäjät voidaan lisätä ilman muutoksia. Käyttäjätunnukset ja salasanat ovat lisäksi salattu käyttäen hyväksyttyjä salausalgoritmeja.

Perlen hallittavat teollisuus Ethernet-kytkimet (PRO-mallit), mediamuuntimet ja Ethernet Extenderit tukevat RADIUS ja TACACS+ protokollia, joiden lisäksi ne tukevat myös seuraavia palveluita:

  • LDAP
  • Active Directory via LDAP
  • Kerberos
  • NIS
  • RSA’s Secure ID token authentication

Lisäksi voidaan ottaa käyttöön myös vikasietoiset primääri ja sekundääri autentikointi-palvelimet.

Valtuutus

Käyttäjän autentikoinnnin jälkeen valtuutuksella määritellään mihin resursseihin käyttäjällä on pääsy ja mitä käyttäjä voi niillä tehdä. Perlen hallittavat kytkimet, mediamuuntimet ja Ethernet Extenderit mahdollistavat täyden luku/kirjoitus-oikeustason Admin-käyttäjän samoin kuin myös ainoastaan luku-oikeustason Operator-käyttäjän. Ja kaikki voidaan toteuttaa keskitetysti.

Tilastointi

AAA-tilastointi mahdollistaa täyden käyttäjien jäljitettävyyden kuten, kuinka kauan käyttäjä oli kytkeytyneenä, kuinka yhteys muodostettiin ja mistä IP-osoitteesta yhteys muodostettiin.

Linkit tuotetietoihin Perlen sivuille:

Perlen valikoimasta löytyy myös vastaavat tuotteet laajennetulla käyttölämpötila-alueella eli -40 … 75°C.

Kanadalaisen Perle Systems tuotevalikoimaan kuuluu korkealaatuisia, tietoturvallisia ja runsailla ominaisuuksilla varustettuja tuotteita automaatio- ja tietoliikennesovelluksiin kuten teollisuus Ethernet-kytkimet, Ethernet Extenderit, mediamuuntimet, optiset transceiverit, konsolipalvelimet, päätepalvelimet, sarjalaitepalvelimet (serial-to-Ethernet), I/O laitepalvelimet (I/O-to-Ethernet), PoE/PoE+ injektorit ja sarjakortit.

Kerron mielelläni lisätietoja, joten ota yhteyttä!

Kari Ruhanen

+358449988238
kari.ruhanen@timeless.fi