Press "Enter" to skip to content

Autenticação AAA – O que é

0

Autenticação AAA – O que é? Entenda o funcionamento desse protocolo.

  • Authentication: A autenticação se refere ao processo de se apresentar uma identidade digital de uma entidade para outra. Normalmente, esta autenticação ocorre entre um cliente e um servidor. De uma forma mais geral, a autenticação é efetuada através da apresentação de uma identidade e suas credenciais correspondentes, como a senha associada, tickets, tokens e certificados digitais.
  •  Authorization: A autorização se refere à associação de certos tipos de privilégios para uma entidade, baseados na própria autenticação da entidade e de quais serviços estão sendo requisitados. Dentre as políticas de autorização, podemos utilizar restrições em determinados horários, restrições de acordo com o grupo ao qual pertence o usuário e proteção contra múltiplas conexões simultâneas efetuadas pelo mesmo usuário. Como exemplo de aplicações que utilizam estas políticas de autorização, podemos citar as políticas de Qualidade de Serviço, que podem fornecer mais banda de acordo com o serviço requisitado, o controle de certos tipos de pacotes, como ocorre no traffic shapping, dentre outros.
  •  Accounting: Accounting se refere ao monitoramento do comportamento dos usuários e de que forma estes consomem os recursos da rede. Estas informações podem ser muito úteis para melhor gerenciar os recursos de rede, para a cobrança de serviços e para o planejamento de quais setores da rede precisam ser melhorados.

O processo AAA pode ser resumido nas perguntas:

  • Quem é você?
  •  Quais são suas permissões?
  •  O que você fez na rede com seu usuário?

AAA tem dois modos de acesso, caractere e pacote, que é resumido na seguinte tabela:

Interface Modo Descrição
AUX Caractere Porta Auxiliar DTE
Console Caractere Porta de Console
TTY Caractere Porta Assíncrona
VTY Caractere Terminais Virtuais
PPP Pacote Interface PPP, serial ou ISDN
Arap Pacote AppleTalk Remote Access (ARA)
NASI Pacote NetWare Access Server Interface

PROTOCOLOS TACACS+ E RADIUS

Ambos os protocolos são encarregados de proporcionar serviços AAA, mas existem diferenças entre eles. RADIUS está definido na RFC 2865 e TACACS+ na RFC 1492.

RADIUS utiliza UDP enquanto que TACACS+ utiliza TCP, o que leva uma serie de diferenças no comportamento de ambos os protocolos:

  • TCP proporciona dois mecanismos para saber que o servidor falhou: um através das bandeiras RST e o outro através dos keepalives. No caso de UDP são as aplicações que devem realizar essas funções.
  • TCP escala melhor que UDP em grandes redes, especialmente se a rede estiver congestionada.
  • TCP permite múltiplas conexões simultâneas a múltiplos servidores enviando automaticamente somente aqueles que estão ativos. UDP necessitaria programação extra nas aplicações.

TACACS+ separa completamente os processos de autenticação e autorização e suporta mais protocolos que RADIUS, enquanto que RADIUS os unifica.

Os seguintes protocolos não são suportados por RADIUS:

  • AppleTalk Remote Access (ARA) protocol
  • NetBIOS Frames Protocol Control protocol
  • Novell Asynchronous Services Interface (NASI)
  • 25 PAD connection

RADIUS não permite especificar que comandos pode utilizar o usuário depois de iniciar uma sessão no roteador, simplesmente permite ou denega o acesso ao equipamento.

TACACS+ tem dois métodos de autorizar o uso de comandos no roteador:

  • Especificando no servidor TACACS+ os comandos que são permitidos a um determinado grupo.
  • Confiando nos níveis de privilegio. É lançada uma consulta ao servidor TACACS+ para ver se o usuário ou grupo pode utilizar determinado comando em um determinado nível de privilegio.

CONFIGURAÇÃO DE AAA COM CLI CISCO

Configuração do RADIUS Cisco

Na seguinte sintaxe mostra-se uma configuração AAA utilizando RADIUS:

Aaa new-model
Radius-server host 10.10.1.5
Radius-server key TheKEY123455
Username root password MyS3cr3t1P@ssword
Aaa authentication ppp mydiallist radius local
Aaa authorization network radius local
Aaa accounting network munetwork start-stop group radius

Configuração do TACACS+

Na seguinte sintaxe mostra-se uma configuração AAA utilizando TACACS+:

Aaa new-model
Radius-server host 10.10.1.5
Radius-server key TheKEY123455
Username root password MyS3cr3t1P@ssword
Aaa authentication ppp mydiallist tacacs+ local
Aaa authorization commands 15 tacacs+ if-authenticated none
Aaa accounting network munetwork start-stop tacacs+

Configuração Cisco AAA

  • Aaa new-model, serve para habilitar AAA no roteador.
  • Radius-server host, é utilizado para indicar o servidor RADIUS. O comando tem varias opções, a sintaxe completa é a seguinte:
radius-server host {hostname | ip-address} [auth-port port-number] [acct-port port-number] [timeout seconds] [retransmit retries] [key string] [alias{hostname | ip-address}]

A seguinte tabela descreve os parametros:

Parametro Descrição
Hostname Especifica um nome para o servidor RADIUS
Ip-address Especifica um endereço IP para o servidor RADIUS
Auth-port Especifica uma porta UDP para as solicitações de autenticação.
Port-number Numero de porta para as autenticações (padrão 1645)
Acct-port Especifica a porta UDP para as solicitações de auditoria
Port-number Numero de porta para as auditorias (padrão 1646)
Timeout Especifica o valor em segundos que o roteador esera pela resposta RADIUS antes de reenviar uma petição.
Seconds Especifica o valor de timeout
Retransmit Especifica o numero de vezes que uma petição ao servidor RADIUS é retransmitida.
Retries Especifica o valor da retransmissão.
Key Especifica que uma chave para autenticar e criptografar será utilizada entre o roteador e o servidor RADIUS.
String Especifica o valor de chave
Alias Especifica até 8 alias para o servidor RADIUS

 

  • Tacacs-server host, utiliza para indicar o servidor RADIUS. O comando tem varias opções, vemos a sintaxe completa a continuação:

 Tacacs-server host {hostname | ip-address} [key string] [nat] [port [integer]] [single-connection] [timeout [integer]]

 No tacacs-server host {host-name | host-ip-address}

A seguinte tabela descreve os parâmetros:

Parametro Descrição
Hostname Nome do servidor TACACS+
Ip-address Endereço IP do servidor TACACS+
Key Especifica que uma chave para autenticar e criptografar será utilizada entre o roteador e o servidor TACACS+
String Especifica o valor da chave
Nat Endereço NAT do cliente que é enviado ao servidor TACACS+
Port Especifica o numero de porta TACACS+ (padrão = 49)
Integer Especifica o valor do numero de porta TACACS+
Single-connection Mantem somente uma conexão aberta
Timeout Especifica um valor de timeout
Integer Especifica em segundos o valor de timeout

 

  • Radius-server key e tacacs-server key. Ambos os commandos cumpre a mesma função de configuração da chave de autenticação para a comunicação entre o roteador e o servidor.
[no] radius-server key {0 string | 7 string | string}
[no] tacacs-server key {0 string | 7 string | string}

 

  • Username root password. Não é um comando especifico de AAA. Serve para especificar um usuário e senha.
  • Aaa authentication PPP. Especifica os métodos de autenticação para utilizar em interfaces PPP. A seguinte sintaxe descreve o comando completo:
[no] aaa authentication ppp {default | list-name} method1 [method2...]

 

Parametro Descrição
Default Utiliza os metodos de autenticação padrão quando um usuário incia sessão
List-name Nome para uma lista de métodos de autenticação
Method1 [metrod2…] Ao menos um dos seguintes métodos deve ser indicado:

●     If-needed: não autentica se o usuário já está autenticado.

●     Krb5: Utiliza Kerberos 5.

●     Local: Utiliza a base de dados local.

●     None: no tem autenticação

●     Radius: Utiliza um servidor RADIUS

●     Tacacs+: Utiliza um servidor TACACS+.

 

  • Aaa authorization, permite definir o grau de acesso dos usuários. O comando completo para sua configuração é o seguinte:
 [no] aaa authorizarion {network | exec | commands level | reverse-access} {default | listname} {method1 [method2…]]
  • Aaa accounting, permite guarder um registro com os comnados que cada usuário utilizou. O comando completo é o seguinte:
 [no] aaa accountig {auth-proxy | system | network | exec | connection | commands level} {default | list-name} [vrf vrf-name] {start-stop | stop-only | none} [broadcast] group group-name
Parametro Descrição
Auth-proxy Auditoria de todos os evendos de autenticação no proxy.
System Auditoria de todos os eventos do sistema associado com usuário.
Network Auditoria de todas as petições referentes a rede.
Exec Auditoria de todas as sessões de Shell Exec.
Connection Auditoria de todas as conexões de saída do servidor de acesso a rede.
Commands level Auditoria de todos os comandos do nível especificado.
Default Utiliza os métodos de auditoria a continuação.
Option Descrição
List-name Caracteres utilizada para nomear a lista, as opções são:

●     Group radius: lista de servidores RADIUS

●     Group tacacs: Lista de servidores tacacs+

●     Group group-name: um subconjunto de servidores RADIUS ou TACACS+

Vrf vrf-name Especifica uma configuração de VRF
Start-stop Envia um evento start quando o processo inicia e envia um evento stop quando o processo finaliza.
Broadscast Habilita o envio de registros de auditoria a múltiplos servidores AAA

 

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

%d blogueiros gostam disto: