Para que serve o AAA?
Para garantir a segurança da rede, é necessário garantir o controle do acesso dos usuários a diversos elementos da rede. Esses elementos podem ser dispositivos de rede, servidores, computadores, aplicativos ou até mesmo segmentos da própria rede.
Existem dois tipos principais de AAA para redes:
- Administração de Dispositivos de Rede: Gerencia quem tem acesso para efetuar login em um console de dispositivo de rede, sessão Telnet, Secure Shell (sessão SSH) ou outros meios.
- Acesso à Rede: Identifica um usuário ou dispositivo antes que ele receba acesso à rede.
Existem duas soluções principais para AAA em redes modernas: os protocolos RADIUS (Remote Authentication Dial-In User Service) e TACACS+ (Terminal Access Controller Access-Control System Plus) da Cisco. Existe um terceiro protocolo AAA conhecido como DIAMETER, mas ele normalmente é usado apenas por operadoras de telefonia móvel. Analisaremos e compararemos o RADIUS e o TACACS+ para ajudar você a determinar qual é o melhor para sua rede.
Conceitos Básicos de AAA
Antes de nos familiarizarmos com os protocolos RADIUS e TACACS+, vamos entender os conceitos básicos do mecanismo AAA. Por exemplo, usaremos o processo de entrada legal em uma sala com controle de acesso.
Autenticação – determinação da identidade da pessoa que tenta entrar na sala. Em nosso exemplo, isso poderia ser uma leitura de impressão digital, já que cada pessoa possui uma impressão digital única e pode ser um garante da confirmação da identidade. No mundo em rede, a autenticação padrão envolve o uso de um login e uma senha gerados para cada usuário, permitindo que ele confirme sua identidade.
Autorização – a próxima etapa após a autenticação bem-sucedida. Consiste em verificar os direitos de acesso à sala da pessoa que passou na autenticação. Talvez uma pessoa tenha o direito de entrar na primeira sala, mas esteja proibida de prosseguir. Em dispositivos de rede, os direitos de acesso geralmente definem uma lista de comandos que um usuário autenticado pode executar. Por exemplo, um engenheiro de rede com acesso de nível 1 só tem permissão para visualizar a configuração do dispositivo usando o comando show, enquanto um engenheiro com nível 2 pode fazer alterações. Em servidores AAA de operadoras de telecomunicações, o direito de acesso pode determinar a afiliação do assinante a um plano tarifário.
A contabilização é uma etapa paralela à autenticação e autorização, que registra no log o sucesso ou a falha desses processos, se uma pessoa conseguiu ou não entrar nas instalações, se o usuário obteve acesso ao dispositivo de rede e, em caso afirmativo, quais ações ele realizou nele. Esse processo é importante do ponto de vista da segurança e do controle de acesso, pois permite identificar potenciais ameaças e procurar “brechas” no sistema.
Na prática, o processo AAA em redes de operadoras de telecomunicações se parece com isto:
- O assinante se conecta ao dispositivo de acesso AGW (Access Gateway) ou Network Access Server (NAS) e insere seu login e senha.
- O AGW (NAS) gera e envia uma solicitação de autenticação ao servidor AAA e aguarda uma resposta.
- O servidor AAA contata o sistema DPI ou o servidor de faturamento via protocolo RADIUS para verificar o login e a senha do assinante.
- O servidor AAA gera uma resposta e a envia de volta ao AGW (NAS).
- Se a autenticação for bem-sucedida, o AGW (NAS) permite o acesso do assinante à rede, mas ainda não fornece nenhum serviço.
- Se o usuário tentar acessar a internet (inserir uma URL na linha do navegador), o AGW (NAS) gera uma nova solicitação de autorização ao servidor AAA.
- O servidor AAA contata novamente o sistema DPI ou o servidor de faturamento para obter informações sobre o plano tarifário e os serviços conectados ao assinante.
- Após receber uma resposta positiva do faturamento, o servidor AAA envia uma resposta ao AGW (NAS), e o assinante obtém acesso à Internet de acordo com as configurações definidas para o plano tarifário.
RADIUS
O protocolo RADIUS é um padrão IETF para AAA. Ele está em uso desde o início da década de 1990 e era originalmente usado para conexões de modem discado. Foi originalmente usado para estender a Camada 2 do Protocolo Ponto a Ponto (PPP) entre um usuário final e um Servidor de Acesso à Rede (NAS), passando o tráfego de autenticação do NAS para o servidor AAA. As informações de autenticação e autorização são entregues em um único tipo de pacote, e a contabilização é tratada por um processo separado. O RADIUS é amplamente utilizado e suportado pela maioria dos fabricantes de dispositivos e desenvolvedores de software.
Uma implementação moderna do RADIUS utiliza as portas 1812 (autenticação) e 1813 (contabilidade) do protocolo UDP (as portas 1645 e 1646 também podem ser usadas). O UDP é rápido, mas apresenta uma série de desvantagens que devem ser consideradas ao utilizá-lo. Quando o RADIUS foi desenvolvido, as questões de segurança não eram tão urgentes quanto agora, portanto, ele suporta um número relativamente pequeno de tipos de autenticação (texto não criptografado e CHAP), criptografa apenas o campo de senha e, em geral, apresenta um nível de segurança médio.
TACACS+
Este protocolo foi desenvolvido pela Cisco e é uma evolução das versões anteriores do TACACS e do XTACACS. Apesar da semelhança de nomes, o TACACS+ foi bastante modificado e não é compatível com versões anteriores do TACACS, que agora quase não é utilizado. A principal área de uso do TACACS+ é a administração de dispositivos de rede, mas ele pode ser usado para alguns tipos de AAA ao acessar a rede. O TACACS+ utiliza a porta 49 do Protocolo de Controle de Transmissão (TCP), em vez do UDP, pois é mais confiável e permite o recebimento antecipado de informações sobre possíveis erros graças ao pacote TCP-RST. O TCP é um protocolo mais lento, mas possui vantagens adicionais: a capacidade de separar autenticação, autorização e contabilidade como funções separadas e independentes, múltiplas autorizações após uma autenticação e criptografia de todo o conteúdo do pacote.
Para maior clareza, combinaremos as principais características em uma tabela:
Principais diferenças entre RADIUS e TACACS+
As principais diferenças são que o TACACS+ criptografa todo o conteúdo do pacote, deixando apenas um cabeçalho simples. Esse método protege contra invasores que interceptam mensagens enviadas entre dispositivos. O TACACS+ também implementa funções AAA separadamente, o que permite que cada uma delas seja colocada em um servidor separado ou até mesmo que use um protocolo diferente (que não seja o TACACS+).
O TACACS+ também oferece maior integração com dispositivos Cisco e permite o gerenciamento detalhado de roteadores (o processo de autorização). Com um servidor TACACS+, é possível implementar o gerenciamento de comandos usando níveis de acesso (que são então configurados nos próprios dispositivos). O RADIUS permite algumas dessas funcionalidades, mas não tão bem ou com tanta flexibilidade quanto o TACACS+.
Ao utilizar o protocolo TACACS+, não pode haver firewall entre o cliente e o servidor, pois o servidor precisa receber uma solicitação do cliente com seu endereço IP, não o endereço do firewall. Com o RADIUS, o endereço IP do cliente também está contido no próprio pacote, o que permite que o servidor AAA o obtenha de lá.
Mas a maior desvantagem do TACACS+ é que a Cisco desenvolveu este protocolo para suas próprias necessidades e, portanto, seus dispositivos de rede desta empresa receberam o suporte mais amplo. No entanto, a situação está mudando gradualmente e outros fabricantes começaram a oferecer suporte ao TACACS+.
O protocolo a ser usado para o servidor AAA deve ser escolhido dependendo da tarefa. Se for administração de dispositivos, o TACACS+ será a melhor opção, e se for acesso à rede, o RADIUS é mais universal e rápido.
A partir do Stingray Service Gateway 6.0, a autorização de sessões IPoE em RADIUS tornou-se disponível, o que expandiu os recursos da operadora de telecomunicações para controlar o acesso dos assinantes à Internet e aplicar políticas de planos tarifários e opções tarifárias adicionais:
- Atribuição e modificação de políticas (planos tarifários e opções);
- Redirecionamento de usuários para o Portal Cativo (bloqueio);
- Trabalho no nível L3;
- Identificação de usuários por IP ou por tag Q-in-Q.
Para obter informações mais detalhadas sobre as vantagens do Stingray Service Gateway, seu uso eficaz em redes de operadoras de telecomunicações, bem como sobre a migração de outras plataformas, entre em contato com os especialistas da VAS Experts, desenvolvedora e fornecedora do sistema de análise de tráfego Stingray Service Gateway.
