Autenticação, Autorização e Accounting: Conceitos Fundamentais

O presente artigo é o primeiro de uma série que discute a utilização do conceito de identidade para a criação de regras de controle de acesso. Por ser um texto introdutório, começaremos justamente pelos conceitos mais básicos. Por exemplo:  – o que é identidade ?

Identidade pode ser definida como “um conjunto de características próprias e exclusivas de um sujeito”. (Vale registrar que, no universo de Redes e Segurança, o sujeito mais comum ainda é o username). Mas para que os processos de diferenciação entre os usuários possam ser iniciados, é necessário primeiramente validar a identidade apresentada. E, para entender como isso acontece, é fundamental conhecer a terminologia a seguir:

  • Autenticação: processo de verificação de uma identidade alegada, por meio de comparação das credenciais apresentadas pelo sujeito com outras pré-definidas. A combinação username/password é muito comum mas vários outros métodos estão disponíveis (certificados digitais, biometria, etc).
  • Autorização: processo que ocorre após a autenticação e que tem a função de diferenciar os privilégios atribuídos ao sujeito autenticado. Os atributos de autorização normalmente são definidos em grupos mantidos em um base de dados centralizada. (Cada sujeito herda as características do grupo a que pertence…)
  • Accounting: processo por meio do qual um equipamento de Rede que implementa uma política de acesso (accounting client), coleta informações sobre a atividade do elemento autenticado e as envia ao servidor de autenticação.

Balrog

A arquitetura AAA (Autenticação, Autorização e Accounting) define uma forma estruturada para integração dessas três funcionalidades.  Talvez seja mais fácil visualizar o papel de cada um dos componentes se os associarmos às questões que eles foram projetados para responder:

  • Autenticação: trata de responder a questão “quem é o usuário ?”
  • Autorização: tem a função de definir “o que um usuário (já autenticado) tem permissão de fazer” ?
  • Accounting: está relacionada com a questão “o que o usuário fez?”. Através desse processo o cliente de autenticação (equipamento de rede), coleta os dados de atividade do usuário e os envia ao servidor de accounting (o qual, normalmente, contempla todos os elementos AAA).

Listamos abaixo alguns cenários de uso dos conceitos AAA para controle de acesso a serviços de Rede.

  • Controle de acesso em ambientes LAN: permite habilitar o acesso (Layer 2) à porta física (no caso de switches) ou ao segmento áereo (no caso Wi-fi). Para viabilizar tal validação, foi criado o padrão IEEE 802.1X, disponível em Wireless APs e switches LAN modernos. Um cuidado a se tomar é que a expressão “suportar 802.1X” significa basicamente controlar o status “up/down” da porta após autenticação, o que é muito pouco diante das possibilidades da solução. Para ter os benefícios é vital especificar detalhadamente todas as funções AAA desejadas.
  • Controle de acesso em ambientes VPN de acesso remoto (client-to-site): verifica-se inicialmente o direito de montar o túnel e, a seguir, são validadas as credenciais daquele usuário (extended authentication).
  • Controle de acesso através de firewalls: podem ser citados como exemplo as funcionalidades Authentication Proxy (Cisco IOS) e Cut-through Proxy (Cisco ASA). Nesses casos, o firewall intercepta as requisições e aplica regras dinâmicas conforme permissões informadas pelo servidor AAA.
  • Controle de Acesso avançado através de Firewalls: especificamente para a família ASA, existem as possibilidades de criação de políticas de acesso baseadas em usuários/grupos da estrutura de diretório corporativo bem como o uso do atributo avançado “Security Group Tag”. (Mas esse tema certamente merece outro post).
  • Controle de acesso à Internet num ambiente corporativo, definindo políticas aceitáveis de uso conforme o grupo ao que o usuário pertença (por exemplo: funcionários regulares, sub-contratados e visitantes).

Outra aplicação importante da arquitetura AAA está relacionada ao controle de acesso administrativo aos equipamentos de Rede, tarefa essa para o qual o protocol o TACACS+ é otimizado. Recomando fortemente a leitura do texto “RADIUS e TACACS+: dois protocolos complementares“, para saber mais detalhes sobre o tema.

Bem, esse foi apenas um texto inicial. Em breve teremos outros posts tratando de usos específicos dos conceitos aqui discutidos.

** Notas:

  • Apesar de no mundo de TI o sujeito clássico ser um username, tem se tornado cada vez mais freqüente a utilização do termo identidade para definir elementos tais como: dispositivo (ou tipo de dispositivo) de onde partiu o acesso, localidade em que o usuário se encontra (rede corporativa, VPN, ou rede externa) ou aplicação solicitando acesso a um determinado recurso ou processo.
  • Dentre as opções existentes para obtenção do username, podemos citar o uso de um prompt apresentado por alguma aplicação ou a extração direta da algum atributo de um certificado digital.

** Artigos Relacionados:

Alguns cenários práticos de uso do conceito de Identidade: https://alexandremspmoraes.wordpress.com/tag/identity/

Para entender sobre a evolução do controle de acesso baseado em Identidade nos Firewalls, veja o seguinte artigo:

http://wp.me/p1loe7-l2

 

** Agradecimentos:

Registro aqui os agradecimentos ao meu grande amigo Andrey Lee por gentilmente ter produzido (e cedido) a ilustração usada nesse post (espero que se lembrem do filme 1 de “O Senhor dos Anéis”…)

5 Comments

Filed under Português, Segurança

5 responses to “Autenticação, Autorização e Accounting: Conceitos Fundamentais

  1. Muito bom Alexandre.
    Que venham os próximos posts.

  2. Fábio

    Você poderia trocar ‘accounting’ por auditoria, já que ‘authentication’ e ‘authorization’ foram traduzidos. Parabéns pelo site.

    • Fábio,
      Em meu entendimento, os dados de “Accounting” servem, dentre outras coisas, para subsidiar o processo de Auditoria. Mas, sinceramente, não acho que seja apropriado associar diretamente uma palavra à outra para ter AAA em Português.
      De qualquer forma, obrigado pelo comentário.

      Abraço,
      Alexandre
      Alex

  3. Alexandre boa tarde,

    Gostaria de tirar uma duvida que aconteceu comigo e tem a ver com essa publicação.
    Utilizamos o Cisco ACS para controle de usuários e equipamentos utilizando o protocolo TACACS+ para AAA.Um usuário que estava com perfil em um grupo de apenas view(show) acessou um equipamento via Terminal Server na porta console e logou com seu usuário de view.Os logs de acesso vieram para nossa base,ou seja,podemos dizer que efetuou o Accounting e Athentication,pois nos logs trouxe a informação do usuário e seu grupo.
    Só que ele com o usuário de apenas view conseguiu executar comando de configuração.Nos logs vieram como origem não o IP e sim escrito async.Duvida:
    O Authorization não funciona quando acessamos um equipamento via porta console?É uma restrição do protocolo ou pode ser uma falha na configuração das caixas?

    Muito obrigado!

    • Há toda uma configuração no lado do equipamento (AAA client) para garantir que os comandos sejam autorizados no servidor TACACS+ (AAA Server). Talvez tenha faltado algum comando no lado do equipamento. (No capítulo 14 do livro “Cisco Firewalls” eu coloquei exemplos bastante detalhados sobre o tema, tanto para roteadores como para Firewalls). Abraço, Alexandre

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s