O presente artigo o primeiro de uma srie que discute a utilizao do conceito de identidade

para a criao de regras de controle de acesso. Por ser um texto introdutrio, comearemos
justamente pelos conceitos mais bsicos. Por exemplo: o que identidade ?

Identidade pode ser definida como um conjunto de caractersticas prprias e exclusivas de um

sujeito. (Vale registrar que, no universo de Redes e Segurana, o sujeito mais comum ainda o
username). Mas para que os processos de diferenciao entre os usurios possam ser iniciados,
necessrio primeiramente validar a identidade apresentada. E, para entender como isso
acontece, fundamental conhecer a terminologia a seguir:

Autenticao: processo de verificao de uma identidade alegada, por meio de comparao das
credenciais apresentadas pelo sujeito com outras pr-definidas. A combinao
username/password muito comum mas vrios outros mtodos esto disponveis (certificados
digitais, biometria, etc).

Autorizao: processo que ocorre aps a autenticao e que tem a funo de diferenciar os
privilgios atribudos ao sujeito autenticado. Os atributos de autorizao normalmente so
definidos em grupos mantidos em um base de dados centralizada. (Cada sujeito herda as
caractersticas do grupo a que pertence)

Accounting: processo por meio do qual um equipamento de Rede que implementa uma poltica
de acesso (accounting client), coleta informaes sobre a atividade do elemento autenticado e
as envia ao servidor de autenticao.

Balrog

A arquitetura AAA (Autenticao, Autorizao e Accounting) define uma forma estruturada para
integrao dessas trs funcionalidades. Talvez seja mais fcil visualizar o papel de cada um dos
componentes se os associarmos s questes que eles foram projetados para responder:

Autenticao: trata de responder a questo quem o usurio ?

Autorizao: tem a funo de definir o que um usurio (j autenticado) tem permisso de

fazer ?

Accounting: est relacionada com a questo o que o usurio fez?. Atravs desse processo o
cliente de autenticao (equipamento de rede), coleta os dados de atividade do usurio e os
envia ao servidor de accounting (o qual, normalmente, contempla todos os elementos AAA).
Listamos abaixo alguns cenrios de uso dos conceitos AAA para controle de acesso a servios de
Rede.

Controle de acesso em ambientes LAN: permite habilitar o acesso (Layer 2) porta fsica (no
caso de switches) ou ao segmento ereo (no caso Wi-fi). Para viabilizar tal validao, foi criado o
padro IEEE 802.1X, disponvel em Wireless APs e switches LAN modernos. Um cuidado a se
tomar que a expresso suportar 802.1X significa basicamente controlar o status up/down
da porta aps autenticao, o que muito pouco diante das possibilidades da soluo. Para ter
os benefcios vital especificar detalhadamente todas as funes AAA desejadas.

Controle de acesso em ambientes VPN de acesso remoto (client-to-site): verifica-se inicialmente

o direito de montar o tnel e, a seguir, so validadas as credenciais daquele usurio (extended
authentication).

Controle de acesso atravs de firewalls: podem ser citados como exemplo as funcionalidades
Authentication Proxy (Cisco IOS) e Cut-through Proxy (Cisco ASA). Nesses casos, o firewall
intercepta as requisies e aplica regras dinmicas conforme permisses informadas pelo
servidor AAA.

Controle de Acesso avanado atravs de Firewalls: especificamente para a famlia ASA, existem
as possibilidades de criao de polticas de acesso baseadas em usurios/grupos da estrutura de
diretrio corporativo bem como o uso do atributo avanado Security Group Tag. (Mas esse
tema certamente merece outro post).

Controle de acesso Internet num ambiente corporativo, definindo polticas aceitveis de uso
conforme o grupo ao que o usurio pertena (por exemplo: funcionrios regulares, sub-
contratados e visitantes).

Outra aplicao importante da arquitetura AAA est relacionada ao controle de acesso

administrativo aos equipamentos de Rede, tarefa essa para o qual o protocol o TACACS+
otimizado. Recomando fortemente a leitura do texto RADIUS e TACACS+: dois protocolos
complementares, para saber mais detalhes sobre o tema.

Bem, esse foi apenas um texto inicial. Em breve teremos outros posts tratando de usos
especficos dos conceitos aqui discutidos.

** Notas:
Apesar de no mundo de TI o sujeito clssico ser um username, tem se tornado cada vez mais
freqente a utilizao do termo identidade para definir elementos tais como: dispositivo (ou tipo
de dispositivo) de onde partiu o acesso, localidade em que o usurio se encontra (rede
corporativa, VPN, ou rede externa) ou aplicao solicitando acesso a um determinado recurso ou
processo.

Dentre as opes existentes para obteno do username, podemos citar o uso de um prompt
apresentado por alguma aplicao ou a extrao direta da algum atributo de um certificado
digital.