AAA: Authentication, Authorization e Accounting
O que é
AAA é um modelo de segurança que define como dispositivos de rede controlam e registram o acesso de usuários. O nome vem das três funções que o compõem: Authentication (autenticação), Authorization (autorização) e Accounting (contabilidade). Juntas, essas três funções formam a base de qualquer política séria de controle de acesso em redes corporativas.
Na prática, toda vez que um técnico acessa um roteador ou switch — seja pelo console, por SSH ou por Telnet — o dispositivo precisa responder três perguntas: quem é essa pessoa? O que ela pode fazer? E o que ela fez durante a sessão? Cada uma dessas perguntas corresponde a um dos pilares do AAA.
Empresas de médio e grande porte raramente gerenciam credenciais de acesso diretamente em cada equipamento. Em vez disso, concentram todo o controle em um servidor AAA centralizado — como o Cisco Identity Services Engine (ISE) — que responde às consultas dos dispositivos usando protocolos padronizados.
Como funciona
Authentication — Quem é você?
Autenticação é o processo de verificar a identidade de quem está tentando acessar o sistema. O exemplo mais comum é o par usuário e senha, mas autenticação robusta pode incluir múltiplos fatores: algo que você sabe (senha), algo que você tem (token OTP) e algo que você é (biometria).
Em dispositivos Cisco, a autenticação pode ser feita de duas formas:
- Local: as credenciais ficam armazenadas no próprio equipamento, configuradas com
usernameesecret. Funciona sem infraestrutura adicional, mas escala mal — alterar a senha de um técnico exige acesso a todos os equipamentos. - Centralizada (servidor AAA): o dispositivo encaminha as credenciais a um servidor RADIUS ou TACACS+. Uma única mudança no servidor reflete imediatamente em toda a rede.
Authorization — O que você pode fazer?
Após confirmar a identidade do usuário, o sistema precisa determinar quais recursos e ações ele pode acessar. Autorização não é autenticação — são etapas distintas.
Um técnico júnior pode ter permissão apenas para visualizar configurações (show commands), enquanto um engenheiro sênior pode executar qualquer comando. Essa granularidade é configurada no servidor AAA e aplicada dinamicamente no momento do acesso.
O TACACS+ tem uma vantagem relevante aqui: ele pode autorizar comando a comando, impedindo que o usuário execute comandos específicos mesmo dentro de uma sessão autenticada.
Accounting — O que você fez?
Contabilidade é o registro das ações do usuário durante a sessão. Inclui horário de login e logout, comandos executados, bytes transferidos e alterações de configuração. Esses registros são enviados ao servidor AAA e armazenados para auditoria.
Em ambientes regulamentados — bancos, operadoras de telecomunicações, órgãos públicos — o accounting é obrigatório para rastreabilidade e conformidade com normas como ISO 27001 e LGPD.
RADIUS vs TACACS+
Os dois principais protocolos usados para comunicação entre dispositivos de rede e servidores AAA têm características bem distintas:
| Característica | RADIUS | TACACS+ |
|---|---|---|
| Origem | Padrão aberto (RFC) | Proprietário Cisco |
| Protocolo de transporte | UDP (portas 1812 e 1813) | TCP (porta 49) |
| Criptografia | Apenas a senha na autenticação | Corpo inteiro do pacote |
| Separação de funções | Authn e authz combinados | Authn, authz e accounting separados |
| Autorização granular | Limitada | Por comando individual |
| Uso típico | Acesso de usuários finais, Wi-Fi, VPN | Acesso administrativo a equipamentos |
RADIUS é a escolha comum para autenticação de usuários em redes Wi-Fi corporativas e VPNs. TACACS+ é preferido para gerenciamento de dispositivos de rede, onde o controle granular por comando faz diferença.
Configuração básica no IOS
O primeiro passo é sempre habilitar o modelo AAA com o comando aaa new-model. Sem ele, os demais comandos AAA não têm efeito.
Autenticação local (fallback sem servidor):
aaa new-model
username admin privilege 15 secret Senha@Forte123
aaa authentication login default localAutenticação via RADIUS com fallback local:
aaa new-model
radius server SERVIDOR-RADIUS
address ipv4 192.168.10.5 auth-port 1812 acct-port 1813
key ChaveCompartilhada
!
aaa authentication login default group radius localAplicar nas linhas VTY:
line vty 0 15
login authentication default
transport input sshNa prática
Imagine uma empresa de telecomunicações em São Paulo com 200 switches e 50 roteadores distribuídos por todo o Brasil. Gerenciar usuário e senha individualmente em cada equipamento seria inviável — qualquer técnico que saísse da empresa exigiria uma jornada de manutenção em todos os dispositivos.
Com AAA centralizado via TACACS+:
- O técnico acessa o roteador por SSH
- O roteador consulta o servidor TACACS+ com as credenciais
- O servidor verifica se o usuário existe, qual o nível de acesso e quais comandos são permitidos
- Cada comando digitado gera um registro de accounting no servidor
- Quando o técnico deixa a empresa, basta desativar a conta no servidor — o acesso é bloqueado imediatamente em toda a rede
Por que cai no exame
O CCNA cobra AAA diretamente nos exam topics (seção 5.0 — Security Fundamentals). As questões mais frequentes testam:
- A diferença entre os três pilares: authentication vs authorization vs accounting
- As diferenças entre RADIUS e TACACS+ (protocolo, porta, criptografia, granularidade)
- A sequência correta de configuração:
aaa new-modelprecisa vir antes de qualquer outro comando AAA - O comportamento do fallback local: se o servidor AAA estiver inacessível, o dispositivo tenta autenticação local
- Qual protocolo é mais adequado para gerenciamento de dispositivos (TACACS+) vs acesso de usuários finais (RADIUS)
Uma armadilha clássica: RADIUS usa UDP e criptografa apenas a senha; TACACS+ usa TCP e criptografa o pacote inteiro. Essa distinção aparece com frequência em questões de cenário.
Resumo em uma linha
AAA é o framework que responde às três perguntas essenciais de segurança em redes: quem você é (authentication), o que pode fazer (authorization) e o que você fez (accounting) — implementado via RADIUS ou TACACS+.