Universidade Católica de Moçambique

Faculdade de Engenharia

Segurança de Redes

3° Ano

Trabalho da Cadeira

Tema: Protocolos AAA (Authentication, Authorization and Accounting)

Estudantes: Docente:

Derson Arnold Dzinduwa Bento Lulu Arão

Edylson Manuel Arlindo Domingos

Inocente Abneiro Chibique

Sacrifício Sithole Júnior

Wilson Nelson Baptista Bonga Júnior

Chimoio, Maio de 2023

Índice
1. Introdução.................................................................................................................................1

2. Protocolo AAA.........................................................................................................................2

2.1. Autenticação......................................................................................................................2

2.2. Autorização........................................................................................................................3

2.3. Contabilidade.....................................................................................................................4

3. Protocolos usados no AAA.......................................................................................................4

3.1. RADIUS............................................................................................................................4

3.2. TACACS............................................................................................................................5

3.3. TACACS+.........................................................................................................................6

3.4. O LDAP.............................................................................................................................7

3.5. Kerberos............................................................................................................................8

4. Conclusão................................................................................................................................10

5. Referências Bibliográficas......................................................................................................11
1. Introdução

A segurança da informação é uma preocupação crescente em todas as áreas de negócios,

educação e governo. À medida que as organizações se tornam cada vez mais dependentes da
tecnologia, a necessidade de proteger seus recursos e informações confidenciais se torna ainda
mais importante. Nesse contexto, a autenticação, autorização e contabilidade (AAA) tornam-se
práticas essenciais para a proteção de sistemas e redes de computadores contra ameaças internas
e externas. A autenticação é o processo de verificar a identidade de um usuário, enquanto a
autorização refere-se à concessão de permissão de acesso com base em credenciais de
autenticação. Por fim, a contabilidade é o monitoramento e registro do uso de recursos de rede.
Este trabalho acadêmico tem como objetivo apresentar uma visão geral das práticas de AAA,
destacando sua importância para a segurança da informação. Serão discutidas as melhores
práticas e técnicas para implementar essas práticas em uma organização, bem como os desafios e
considerações importantes que devem ser levados em conta. A análise desses tópicos permitirá
compreender as vantagens da implementação de AAA em uma organização e os riscos
envolvidos na sua ausência.

1
2. Protocolo AAA

O protocolo AAA é um conjunto de práticas de segurança de rede e gerenciamento de acesso que

são amplamente utilizadas em ambientes corporativos, militares e governamentais em todo o
mundo. O objetivo do protocolo AAA é garantir que apenas usuários autorizados tenham acesso a
recursos de rede e que todas as atividades de rede sejam registradas e auditadas para garantir a
segurança e a integridade dos sistemas e dados.

Segundo o livro "Network Security Essentials: Applications and Standards" de William Stallings
(2017), o protocolo AAA é essencial para a segurança de rede em muitos ambientes, pois fornece
uma camada adicional de segurança que impede que usuários não autorizados acessem recursos
críticos e garante a integridade dos dados. Além disso, a utilização do protocolo AAA permite
que as organizações atendam aos requisitos regulatórios e de conformidade de segurança, bem
como gerenciem o uso de recursos de rede de forma mais eficiente.

O protocolo AAA é composto por três elementos principais:

 Autenticação
 Autorização
 Contabilidade

2.1. Autenticação

A autenticação é o processo pelo qual um sistema verifica a identidade de um usuário ou

dispositivo que solicita acesso a um recurso ou serviço de rede. A autenticação é um aspecto
fundamental da segurança de rede e é usada para garantir que apenas usuários autorizados
possam acessar recursos críticos, protegendo assim os dados e sistemas da organização contra
ameaças internas e externas.

Existem vários métodos de autenticação, sendo o mais comum o uso de senhas. No entanto, a
autenticação pode ser realizada de várias outras maneiras, como biometria, cartões inteligentes,
certificados digitais e tokens de autenticação. Cada método tem suas vantagens e desvantagens e
deve ser selecionado com base nos requisitos de segurança e nas necessidades da organização.

2
Segundo o livro "CISSP All-in-One Exam Guide" de Shon Harris e Fernando Maymi (2018), a
autenticação é o primeiro passo para garantir a segurança de rede e a proteção de dados. A
autenticação pode ser implementada em diferentes níveis, desde o nível do dispositivo até o nível
do aplicativo ou do sistema operacional. Além disso, a autenticação é geralmente combinada com
outros mecanismos de segurança, como criptografia e firewalls, para fornecer um ambiente de
rede seguro e protegido.

2.2. Autorização

Autorização é o processo pelo qual um sistema de segurança de computador determina se um

usuário ou processo tem permissão para acessar um determinado recurso ou executar uma
determinada ação. É uma das três principais funções dos sistemas AAA (Autenticação,
Autorização e Contabilidade).

A autorização envolve a avaliação das permissões de acesso dos usuários com base em suas
identidades e/ou funções atribuídas. As permissões são geralmente definidas por meio de
políticas de segurança, que especificam quais ações são permitidas e quais são restritas. Essas
políticas são normalmente implementadas por meio de listas de controle de acesso (ACLs) ou
atributos de segurança.

A autorização pode ser baseada em regras predefinidas ou em políticas dinâmicas, que são
definidas com base em eventos ou informações contextuais, como a hora do dia, a localização do
usuário ou o tipo de dispositivo usado para acessar o recurso.

A autorização também pode ser aplicada em vários níveis de granularidade, permitindo que os
usuários acessem recursos específicos ou apenas certas partes desses recursos. Por exemplo, um
usuário pode ter permissão para ler um arquivo, mas não para modificá-lo (Bertino & Ferrari,
2011).

Os sistemas de autorização podem ser implementados em vários locais da arquitetura de rede,

como nos servidores de aplicativos, nos sistemas operacionais, nos dispositivos de rede ou em
aplicativos específicos.
3
 2.3. Contabilidade

Contabilidade (Accounting) refere-se ao processo de coleta e registro de informações sobre o uso

de recursos em um sistema de computador. Essas informações podem incluir dados como quem
acessou um recurso, quando o acesso ocorreu, quanto tempo durou o acesso e outras informações
relevantes.

A Contabilidade é uma função importante do AAA porque permite que os administradores de

sistema monitorem o uso de recursos e identifiquem possíveis ameaças ou vulnerabilidades.
Além disso, a Contabilidade pode ser usada para detectar violações de políticas de segurança,
como tentativas de acesso não autorizado ou atividade maliciosa.

Uma técnica comum de contabilidade é o registro de logs de eventos, que podem ser usados para
rastrear a atividade em um sistema e identificar possíveis problemas ou ameaças de segurança.
Os logs podem incluir informações como o horário de uma atividade, o endereço IP do usuário
envolvido e a ação realizada pelo usuário (National Institute of Standards and Technology, 2014).

3. Protocolos usados no AAA

3.1. RADIUS

O protocolo RADIUS (Remote Authentication Dial-In User Service) é um protocolo de rede

amplamente utilizado para autenticação, autorização e contabilidade (AAA) de usuários remotos
que se conectam a redes corporativas por meio de linhas discadas, redes sem fio e VPNs. Ele foi
desenvolvido originalmente pela Livingston Enterprises, Inc. e atualmente é mantido pela
Internet Engineering Task Force (IETF).

O RADIUS fornece uma solução centralizada para autenticação e autorização de usuários, em

vez de exigir que cada dispositivo de rede faça a autenticação de forma independente. Ele
permite que os dispositivos de rede encaminhem as solicitações de autenticação para um servidor
RADIUS central, que verifica as credenciais do usuário e concede ou nega acesso aos recursos de
rede com base nas políticas de segurança estabelecidas.

4
O protocolo RADIUS utiliza UDP (User Datagram Protocol) para comunicação entre o servidor
RADIUS e os dispositivos de rede. Ele é capaz de suportar vários tipos de autenticação, como
senhas, tokens de autenticação, certificados digitais e biometria. Além disso, ele fornece recursos
de contabilidade para rastrear e registrar todas as atividades de usuário em tempo real.

O processo de autenticação no RADIUS envolve três etapas principais:

1. Autenticação do usuário: O usuário tenta se conectar a um dispositivo de rede, como um

roteador ou um servidor VPN. O dispositivo de rede envia uma solicitação de
autenticação para o servidor RADIUS.

2. Verificação das credenciais do usuário: O servidor RADIUS verifica as credenciais do

usuário, como nome de usuário e senha, com um banco de dados de usuários autorizados.

3. Concessão ou negação de acesso: O servidor RADIUS envia uma resposta ao dispositivo

de rede, indicando se o usuário tem permissão para acessar o recurso solicitado ou não.

O protocolo RADIUS é amplamente utilizado em empresas de todos os tamanhos e setores para

fornecer acesso seguro a redes corporativas. Ele é altamente escalável, seguro e flexível,
permitindo que as organizações personalizem as políticas de segurança e autenticação de acordo
com suas necessidades específicas (Rigney, Willens, Rubens, & Simpson, 2000).

Desvantagens

Uma das desvantagens do protocolo RADIUS é a falta de suporte para criptografia na

transferência de informações, o que pode deixar as informações vulneráveis a ataques de
interceptação ou espionagem. Além disso, o RADIUS não fornece autenticação mútua entre o
servidor RADIUS e o cliente, o que significa que o servidor não pode ter certeza de que está se
comunicando com o cliente correto. Outra possível desvantagem é que o RADIUS pode ser mais
complexo de configurar e gerenciar em comparação com outros protocolos de autenticação e
autorização

3.2. TACACS

5
TACACS (Terminal Access Controller Access Control System) é um protocolo de gerenciamento
de acesso remoto que fornece autenticação, autorização e contabilidade (AAA) para serviços de
rede. O TACACS divide os serviços AAA em três componentes separados, cada um com seu
próprio servidor: autenticação, autorização e contabilidade. O TACACS foi originalmente
desenvolvido pela Cisco Systems e é descrito na RFC 1492.

O componente de autenticação do TACACS é responsável por verificar as credenciais de um

usuário, geralmente nome de usuário e senha. O servidor de autenticação TACACS pode ser
configurado para usar vários métodos de autenticação, incluindo senhas criptografadas,
certificados digitais e sistemas de autenticação baseados em tokens.

O componente de autorização do TACACS é responsável por determinar quais recursos e

serviços de rede um usuário tem permissão para acessar após a autenticação. O servidor de
autorização TACACS geralmente é configurado para trabalhar em conjunto com o servidor de
autenticação TACACS para simplificar o gerenciamento de acesso do usuário.

O componente de contabilidade do TACACS é responsável por registrar todas as atividades de

rede de um usuário, incluindo quais recursos foram acessados, quando foram acessados e por
quanto tempo foram acessados. Isso é usado para fins de auditoria e conformidade regulatória
(Cisco Systems, 1993).

Desvantagens

Uma das principais desvantagens do protocolo TACACS é que ele possui uma complexidade
maior em comparação com outros protocolos de autenticação, como o RADIUS. Além disso, o
TACACS não é compatível com alguns dispositivos de rede mais antigos, o que pode limitar sua
utilização em certas situações. Outro aspecto a ser considerado é que o TACACS não possui
suporte nativo para criptografia, o que pode comprometer a segurança dos dados transmitidos em
determinadas configurações.

3.3. TACACS+

TACACS+ (Terminal Access Controller Access-Control System Plus) é um protocolo de rede

usado para fornecer serviços de autenticação, autorização e contabilidade (AAA) para
6
dispositivos de rede. Ele foi criado como uma extensão do protocolo TACACS original, que era
usado para autenticação remota de terminais de rede.

O TACACS+ é um protocolo proprietário desenvolvido pela Cisco Systems e é amplamente

utilizado em redes corporativas. Ele opera na camada de aplicação do modelo OSI e usa o TCP
como protocolo de transporte.

O protocolo TACACS+ separa as funções de autenticação, autorização e contabilidade em três

servidores diferentes, o que oferece maior flexibilidade e segurança. O servidor de autenticação
valida as credenciais do usuário, enquanto o servidor de autorização determina os privilégios de
acesso do usuário. O servidor de contabilidade registra informações sobre as atividades do
usuário, como tempo de login e comando executado.

Além disso, o TACACS+ suporta criptografia de ponta a ponta para garantir a privacidade das
informações de autenticação e autorização. Ele também suporta autenticação de dois fatores, o
que pode aumentar a segurança do sistema.

Desvantagens

Uma desvantagem do TACACS+ é que ele pode ser mais complexo de configurar e manter do
que o RADIUS, exigindo mais conhecimento técnico e especialização em segurança de rede.
Além disso, o TACACS+ pode ter um desempenho ligeiramente inferior em comparação ao
RADIUS em grandes redes, devido à sobrecarga adicional de criptografia e autenticação que ele
coloca no servidor. No entanto, o TACACS+ tem a vantagem de fornecer maior granularidade de
controle de acesso e recursos de auditoria do que o RADIUS.

3.4. O LDAP

O LDAP (Lightweight Directory Access Protocol) é um protocolo de rede padrão para acessar e
gerenciar informações de diretórios. Ele é usado principalmente para autenticação e autorização
de usuários em redes de computadores (Howes, 1997).

O LDAP é projetado para ser simples e fácil de usar, tornando-o uma opção popular para
gerenciar diretórios de usuários em empresas e organizações. Ele usa uma estrutura hierárquica

7
de árvore para armazenar informações, como nomes de usuários, senhas, endereços de e-mail e
outras informações de contato (Smith, 2003).

O LDAP permite que os usuários acessem o diretório de qualquer lugar na rede e é altamente
escalável, permitindo que grandes quantidades de dados sejam gerenciados facilmente. Ele
também é altamente seguro, com recursos como criptografia de dados e autenticação forte para
proteger as informações armazenadas no diretório.

O LDAP é amplamente suportado por sistemas operacionais e aplicativos de software, incluindo

servidores de e-mail, servidores web e sistemas de gerenciamento de identidade. Ele é
amplamente usado em empresas e organizações em todo o mundo para gerenciar informações de
diretórios e fornecer autenticação e autorização para usuários (Zhao & Zhu, 2013).

Desvantagens

Uma desvantagem do LDAP é que, como é um protocolo baseado em texto, pode haver um
impacto na performance quando a quantidade de dados a serem consultados é muito grande.
Além disso, a complexidade de configuração e gerenciamento de um servidor LDAP pode ser
maior do que a de outros sistemas de autenticação e autorização. Outra desvantagem é que, por
padrão, o LDAP não fornece criptografia para dados transmitidos pela rede, o que pode tornar
vulnerável a interceptação de informações confidenciais, como senhas. No entanto, isso pode ser
contornado através da configuração de conexões seguras (por exemplo, usando SSL/TLS).

3.5. Kerberos

Kerberos é um protocolo de autenticação de rede que utiliza criptografia de chave secreta para
autenticar clientes e servidores em um ambiente distribuído. Segundo Lemos (2003), Kerberos
foi desenvolvido no MIT (Instituto de Tecnologia de Massachusetts) nos anos 80 e tem sido
amplamente adotado como um método seguro de autenticação em redes.

O protocolo Kerberos é baseado em um modelo cliente-servidor e é composto por três

componentes principais: um serviço de autenticação, um serviço de ticket-granting e um serviço
de autorização. Quando um cliente deseja acessar um recurso protegido em um servidor, ele
inicia uma solicitação de autenticação com o serviço de autenticação, que fornece um ticket-
8
granting ticket (TGT) que pode ser usado para solicitar ingresso em outros serviços sem ter que
passar por várias etapas de autenticação novamente. Essa abordagem de autenticação única é uma
das principais vantagens do protocolo Kerberos.

Segundo Oliveira (2008), a segurança do protocolo Kerberos é baseada no uso de chaves secretas
compartilhadas entre os diferentes componentes do sistema. Essas chaves secretas são usadas
para criptografar os dados enviados entre os diferentes componentes, tornando-os inacessíveis a
qualquer um que não possua a chave secreta correspondente. Além disso, o protocolo Kerberos
inclui mecanismos para evitar ataques de repetição e garantir a integridade dos dados
transmitidos.

Desvantagens

Uma das desvantagens do protocolo Kerberos é que sua configuração e implementação podem
ser complexas e exigir conhecimentos específicos em redes e segurança da informação. Além
disso, sua utilização pode exigir a configuração de serviços adicionais, como o DNS e o NTP,
para garantir o correto funcionamento do protocolo. Outra possível desvantagem é que o
Kerberos pode ser vulnerável a ataques de força bruta, embora isso possa ser mitigado por meio
da adoção de políticas de senhas seguras e da implementação de medidas adicionais de
segurança.

9
4. Conclusão

Com base na pesquisa realizada, é possível concluir que a implementação de AAA (Autenticação,
Autorização e Auditoria) é crucial para garantir a segurança de sistemas e redes de computadores.
Existem vários protocolos que oferecem diferentes abordagens para implementar o AAA, tais
como RADIUS, TACACS+, LDAP e Kerberos.

Embora esses protocolos tenham sido projetados para diferentes finalidades e apresentem
diferentes níveis de complexidade, todos eles são fundamentais para a implementação bem-
sucedida de um sistema AAA. Cada protocolo tem suas próprias vantagens e desvantagens, e a
escolha do protocolo mais adequado dependerá dos requisitos específicos do sistema e das
necessidades de segurança.

Portanto, é crucial que os profissionais de segurança da informação compreendam a importância

do AAA e dos protocolos de autenticação e autorização, para garantir a integridade e
confidencialidade das informações e dos sistemas que eles protegem.

10
5. Referências Bibliográficas

Bertino, E., & Ferrari, P. S. (2011). Access Control, Security, and Trust: A Logical Approach.
Chapman and Hall/CRC.

Cisco Systems. (1993). An Access Control Protocol, Sometimes Called TACACS (RFC 1492).
Internet Engineering Task Force.

Harris, S., & Maymi, F. (2018). CISSP All-in-One Exam Guide. McGraw-Hill Education.

Howes, C. (1997). The Lightweight Directory Access Protocol (LDAP). Network Working Group.

Lemos, R. R. (2003). Obtido de SecurityFocus: https://www.securityfocus.com

National Institute of Standards and Technology. (2014). Guidelines for auditing and logging in
the cloud. Special Publication 500-293.

Oliveira, R. (2008). Segurança de redes: princípios e práticas. Novatec Editora.

Rigney, C., Willens, S., Rubens, A., & Simpson, W. (2000). Remote authentication dial in user
service (RADIUS). Internet Engineering Task Force.

Smith, M. (2003). LDAP System Administration. Sebastopol: O'Reilly Media, Inc.

Stallings, W. (2017). Network Security Essentials: Applications and Standards. Pearson.

Zhao, L., & Zhu, X. (2013). LDAP-Based Directory Services. International Journal of
Advancements in Computing Technology.

11