para a criao de regras de controle de acesso. Por ser um texto introdutrio, comearemos
justamente pelos conceitos mais bsicos. Por exemplo: o que identidade ?
Autenticao: processo de verificao de uma identidade alegada, por meio de comparao das
credenciais apresentadas pelo sujeito com outras pr-definidas. A combinao
username/password muito comum mas vrios outros mtodos esto disponveis (certificados
digitais, biometria, etc).
Autorizao: processo que ocorre aps a autenticao e que tem a funo de diferenciar os
privilgios atribudos ao sujeito autenticado. Os atributos de autorizao normalmente so
definidos em grupos mantidos em um base de dados centralizada. (Cada sujeito herda as
caractersticas do grupo a que pertence)
Accounting: processo por meio do qual um equipamento de Rede que implementa uma poltica
de acesso (accounting client), coleta informaes sobre a atividade do elemento autenticado e
as envia ao servidor de autenticao.
Balrog
A arquitetura AAA (Autenticao, Autorizao e Accounting) define uma forma estruturada para
integrao dessas trs funcionalidades. Talvez seja mais fcil visualizar o papel de cada um dos
componentes se os associarmos s questes que eles foram projetados para responder:
Accounting: est relacionada com a questo o que o usurio fez?. Atravs desse processo o
cliente de autenticao (equipamento de rede), coleta os dados de atividade do usurio e os
envia ao servidor de accounting (o qual, normalmente, contempla todos os elementos AAA).
Listamos abaixo alguns cenrios de uso dos conceitos AAA para controle de acesso a servios de
Rede.
Controle de acesso em ambientes LAN: permite habilitar o acesso (Layer 2) porta fsica (no
caso de switches) ou ao segmento ereo (no caso Wi-fi). Para viabilizar tal validao, foi criado o
padro IEEE 802.1X, disponvel em Wireless APs e switches LAN modernos. Um cuidado a se
tomar que a expresso suportar 802.1X significa basicamente controlar o status up/down
da porta aps autenticao, o que muito pouco diante das possibilidades da soluo. Para ter
os benefcios vital especificar detalhadamente todas as funes AAA desejadas.
Controle de acesso atravs de firewalls: podem ser citados como exemplo as funcionalidades
Authentication Proxy (Cisco IOS) e Cut-through Proxy (Cisco ASA). Nesses casos, o firewall
intercepta as requisies e aplica regras dinmicas conforme permisses informadas pelo
servidor AAA.
Controle de Acesso avanado atravs de Firewalls: especificamente para a famlia ASA, existem
as possibilidades de criao de polticas de acesso baseadas em usurios/grupos da estrutura de
diretrio corporativo bem como o uso do atributo avanado Security Group Tag. (Mas esse
tema certamente merece outro post).
Controle de acesso Internet num ambiente corporativo, definindo polticas aceitveis de uso
conforme o grupo ao que o usurio pertena (por exemplo: funcionrios regulares, sub-
contratados e visitantes).
Bem, esse foi apenas um texto inicial. Em breve teremos outros posts tratando de usos
especficos dos conceitos aqui discutidos.
** Notas:
Apesar de no mundo de TI o sujeito clssico ser um username, tem se tornado cada vez mais
freqente a utilizao do termo identidade para definir elementos tais como: dispositivo (ou tipo
de dispositivo) de onde partiu o acesso, localidade em que o usurio se encontra (rede
corporativa, VPN, ou rede externa) ou aplicao solicitando acesso a um determinado recurso ou
processo.
Dentre as opes existentes para obteno do username, podemos citar o uso de um prompt
apresentado por alguma aplicao ou a extrao direta da algum atributo de um certificado
digital.