A seguir serão apresentadas outras sugestões de configurações para os NAS e implementações nos servidores RADIUS, visando à redução de carga e à melhoria de desempenho da plataforma de autenticação e bilhetagem.
4.11.1 - Tempo de espera pela autenticação no PPP
Sempre que o sistema operacional do NAS permitir que seja configurado, o tempo de espera pela autenticação no PPP deve ser ajustado para um valor compatível com o tempo
92
necessário para realizar o envio da requisição de autenticação inicial e suas eventuais retransmissões, levando em conta o tempo de espera ajustado.
4.11.2 - PPPoE Throttling
O PPPoE Throttling é um recurso disponível nos NAS do fabricante Cisco Systems e foi criado para minimizar os efeitos de requisições repetidas e contínuas realizadas por um equipamento cliente para iniciar uma sessão PPPoE.
Esse recurso restringe, com base no endereço MAC (Media Access Control) ou VC (Virtual Circuit) de origem da conexão, a quantidade de requisições que pode ser realizada em um determinado período de tempo, bloqueando as solicitações dessa origem por outro período de tempo, caso tal quantidade tenha sido excedida.
Com o uso desse recurso, conexões PPPoE cujo processo de autenticação não obteve sucesso podem ser bloqueadas por um determinado tempo, reduzindo, por conseqüência, a carga na plataforma de autenticação e bilhetagem.
4.11.3 - Autenticação e segregação de usuários inválidos
Diversos nomes de usuário, que não possuem vinculação com provedores de serviços Internet, são utilizados diariamente na configuração de modems de clientes finais. Em geral, estes nomes de usuário (tais como “admin”, “root”, “administrador”, “teste”, “usuário” entre diversos outros) são fruto ou da configuração padrão de fábrica dos modems ou mesmo de tentativas de fraudar o sistema de autenticação e obter o acesso à Internet sem o uso de uma credencial válida.
Esses clientes não conseguem utilizar os serviços ADSL em decorrência de credenciais de autenticação inválidas, porém seus modems ficam continuamente procurando estabelecer uma conexão PPP, o que envolve o processo de autenticação.
Uma maneira de tratar este problema é o servidor RADIUS, ao perceber a utilização de uma destas credenciais, não executar seu fluxo normal de autenticação e imediatamente
93
responder ao pedido com uma mensagem de Acesso Rejeitado. Um pequeno atraso pode ser introduzido antes do envio da resposta para evitar que o modem tente estabelecer outra sessão imediatamente.
Outra ação do servidor RADIUS é retornar ao cliente uma mensagem de Acesso Permitido, porém com parâmetros (enviados através de atributos da mensagem) para estabelecer a conexão PPP dentro de uma rede privada e restrita. Essa segunda proposição segrega a conexão do cliente final em uma rede sem conectividade exterior e faz com que as requisições de autenticação desse acesso cessem, reduzindo a carga no servidor de autenticação e bilhetagem.
Uma evolução dessa alternativa é introduzir um sistema de notificação via WWW ao usuário, indicando a falha na autenticação e sugerindo procedimentos de correção. Um limite de duração de conexão pode ser aplicado para que a conexão seja encerrada automaticamente depois de decorrido um intervalo de tempo.
4.11.4 - Implementação de “lista negra” dinâmica
É razoável conceber que uma consulta do tipo proxy, feita a um provedor de serviços Internet, que resulte em Acesso Rejeitado, receberá a mesma resposta se a mesma consulta – mesmo nome de usuário e mesma senha – for feita alguns instantes de tempo depois. Essa mesma concepção pode ser aplicada para as requisições de acesso que resultem em consulta a uma base de dados local cujo resultado também seja Acesso Rejeitado.
Para reduzir a carga aplicada aos servidores proxy e de base de dados local, a proposta é armazenar em memória, por um intervalo de tempo de duração aleatória, as credenciais de acesso utilizadas nas autenticações que resultaram em Acesso Rejeitado.
O servidor RADIUS, ao receber uma Requisição de Acesso, verificaria em memória a presença das credenciais de acesso, e, encontrando-as, finalizaria o processo imediatamente, enviando uma mensagem de Acesso Rejeitado. Um atraso de tempo poderia ser introduzido antes do envio da mensagem de rejeição.
94
Existem algumas evidências, obtidas pela observação de registros de falhas de autenticação da plataforma AAA da Brasil Telecom, de que são poucos os acessos que produzem as autenticações repetidamente em falha e que tais tentativas ocorrem de forma quase simultânea. A utilização de intervalo de tempo de duração aleatória para o armazenamento das credenciais em memória visa a reduzir a incidência de picos de consultas proxy de autenticação, pela não expiração simultânea das entradas em memória.
4.11.5 - Conformação de bilhetes
Foi dito anteriormente que o bilhete RADIUS é um registro cujas informações foram originadas pelo NAS. É razoável conceber que, pela flexibilidade do protocolo, um fabricante de NAS implemente de forma diferente de outro fabricante o preenchimento de alguns atributos, a disposição dos atributos na mensagem e também a utilização de atributos opcionais.
O servidor de bilhetagem pode ajustar o bilhete que será gravado para que os bilhetes oriundos de equipamentos NAS de distintos fabricantes possuam um registro similar, de forma a reduzir a quantidade de regras de verificação necessárias no sistema de faturamento.
4.11.6 - Adição de informações complementares nos bilhetes
Pela concepção do protocolo RADIUS, os processos de autenticação e bilhetagem são dissociados, ou seja, não existe manutenção de estado entre os dois eventos. A única exceção a essa regra é o atributo Class. Esse atributo, no processo de bilhetagem, conserva o valor retornado ao NAS pelo servidor RADIUS no processo de autenticação. Pode, então, ser utilizado para registrar no bilhete algumas informações pertinentes ao processo de autenticação, tais como a identificação do servidor que realizou a autenticação, o tipo de serviço autorizado, o resultado do processo de autenticação, a área de localização geográfica do cliente, etc.
Novos atributos podem ser adicionados ao bilhete para registrar o resultado de operações realizadas sobre os valores de atributos existentes. Como exemplo temos o valor de
95
consolidação dos dados relacionados ao volume de bytes trafegados em uma conexão, o valor do atributo Event-Timestamp convertido para um formato de data e hora, um valor que represente o fuso horário da região onde está o cliente e a tarifa vigente no momento da conexão. São inúmeras as possibilidades de utilização dessa técnica.