Tabla de Contenido
Autenticação com uma senha local
No tópico anterior, você aprendeu que um dispositivo NAC fornece serviços AAA. Neste tópico, você aprenderá mais sobre AAA e as maneiras de controlar o acesso.
Muitos tipos de autenticação podem ser executados em dispositivos de rede e cada método oferece vários níveis de segurança. O método mais simples de autenticação de acesso remoto é configurar uma combinação de login e senha no console, linhas vty e portas auxiliares, conforme mostrado nas linhas vty no exemplo a seguir. Esse método é o mais fácil de implementar, mas também o mais fraco e menos seguro. Este método não fornece responsabilidade e a senha é enviada em texto simples. Qualquer pessoa com a senha pode acessar o dispositivo.
R1(config)# line vty 0 4
R1(config-line)# password ci5c0
R1(config-line)# login
SSH é uma forma mais segura de acesso remoto:
- Requer um nome de usuário e uma senha, ambos criptografados durante a transmissão.
- O nome de usuário e a senha podem ser autenticados pelo método de banco de dados local.
- Ele fornece mais responsabilidade porque o nome de usuário é registrado quando um usuário efetua login.
O exemplo a seguir ilustra o SSH e os métodos de banco de dados local de acesso remoto.
R1(config)# ip domain-name example.com
R1(config)# crypto key generate rsa general-keys modulus 2048
R1(config)# username Admin secret Str0ng3rPa55w0rd
R1(config)# ssh version 2
R1(config)# line vty 0 4
R1(config-line)# transport input ssh
R1(config-line)# login local
O método de banco de dados local tem algumas limitações:
- As contas de usuário devem ser configuradas localmente em cada dispositivo. Em um ambiente de grande empresa com vários roteadores e switches para gerenciar, pode levar algum tempo para implementar e alterar os bancos de dados locais em cada dispositivo.
- A configuração do banco de dados local não fornece nenhum método de autenticação de fallback. Por exemplo, e se o administrador esquecer o nome de usuário e a senha desse dispositivo? Sem nenhum método de backup disponível para autenticação, a recuperação de senha se torna a única opção.
Uma solução melhor é fazer com que todos os dispositivos se refiram ao mesmo banco de dados de nomes de usuário e senhas de um servidor central.
Componentes AAA
AAA significa autenticação, autorização e contabilidade. O conceito AAA é semelhante ao uso de um cartão de crédito, conforme mostrado na figura. O cartão de crédito identifica quem pode usá-lo, quanto aquele usuário pode gastar e mantém uma conta de quais itens ou serviços o usuário adquiriu.
AAA fornece a estrutura principal para configurar o controle de acesso em um dispositivo de rede. AAA é uma forma de controlar quem tem permissão para acessar uma rede (autenticação), o que eles podem fazer enquanto estão lá (autorizar) e auditar quais ações eles realizaram ao acessar a rede (contabilidade).
Autenticação
Local e baseado em servidor são dois métodos comuns de implementação de autenticação AAA.
Autenticação AAA Local
AAA local armazena nomes de usuário e senhas localmente em um dispositivo de rede como o roteador Cisco. Os usuários se autenticam no banco de dados local, conforme mostrado na figura. AAA local é ideal para redes pequenas.
- O cliente estabelece uma conexão com o roteador.
- O roteador AAA solicita ao usuário um nome de usuário e uma senha.
- O roteador autentica o nome de usuário e a senha usando o banco de dados local e o usuário tem acesso à rede com base nas informações do banco de dados local.
Autenticação AAA baseada em servidor
Com o método baseado em servidor, o roteador acessa um servidor AAA central, conforme mostrado na figura. O servidor AAA contém os nomes de usuário e a senha de todos os usuários. O roteador usa os protocolos RADIUS (Remote Authentication Dial-In User Service) ou Terminal Access Controller Access Control System (TACACS +) para se comunicar com o servidor AAA. Quando há vários roteadores e switches, o AAA baseado em servidor é mais apropriado.
- O cliente estabelece uma conexão com o roteador.
- O roteador AAA solicita ao usuário um nome de usuário e uma senha.
- O roteador autentica o nome de usuário e a senha usando um servidor AAA.
- O usuário tem acesso à rede com base nas informações do servidor AAA remoto.
Autorização
A autorização AAA é automática e não exige que os usuários executem etapas adicionais após a autenticação. A autorização rege o que os usuários podem e não podem fazer na rede depois de serem autenticados.
A autorização usa um conjunto de atributos que descreve o acesso do usuário à rede. Esses atributos são usados pelo servidor AAA para determinar privilégios e restrições para aquele usuário, conforme mostrado na figura.
- Quando um usuário é autenticado, uma sessão é estabelecida entre o roteador e o servidor AAA.
- O roteador solicita autorização do servidor AAA para o serviço solicitado do cliente.
- O servidor AAA retorna uma resposta PASSA / FALHA para autorização.
Contabilidade
A contabilidade AAA coleta e relata dados de uso. Esses dados podem ser usados para fins de auditoria ou faturamento. Os dados coletados podem incluir os horários de início e término da conexão, comandos executados, número de pacotes e número de bytes.
O principal uso da contabilidade é combiná-la com a autenticação AAA. O servidor AAA mantém um registro detalhado de exatamente o que o usuário autenticado faz no dispositivo, conforme mostrado na figura. Isso inclui todos os comandos EXEC e de configuração emitidos pelo usuário. O registro contém vários campos de dados, incluindo o nome de usuário, a data e a hora e o comando real inserido pelo usuário. Esta informação é útil ao solucionar problemas de dispositivos. Também fornece evidências de quando os indivíduos realizam atos maliciosos.
- Quando um usuário é autenticado, o processo de contabilidade AAA gera uma mensagem inicial para iniciar o processo de contabilidade.
- Quando o usuário termina, uma mensagem de parada é gravada e o processo de contabilidade termina.
802.1X
O padrão IEEE 802.1X é um protocolo de autenticação e controle de acesso baseado em porta. Este protocolo impede que estações de trabalho não autorizadas se conectem a uma LAN por meio de portas de switch acessíveis ao público. O servidor de autenticação autentica cada estação de trabalho conectada a uma porta de switch antes de disponibilizar quaisquer serviços oferecidos pelo switch ou LAN.
Com a autenticação baseada em porta 802.1X, os dispositivos na rede têm funções específicas, conforme mostrado na figura.
- Cliente (Suplicante) – Este é um dispositivo que executa um software cliente compatível com 802.1X, disponível para dispositivos com ou sem fio.
- Switch (Authenticator) – O switch atua como um intermediário entre o cliente e o servidor de autenticação. Ele solicita informações de identificação do cliente, verifica essas informações com o servidor de autenticação e retransmite uma resposta ao cliente. Outro dispositivo que pode atuar como autenticador é um ponto de acesso sem fio.
- Servidor de autenticação – O servidor valida a identidade do cliente e notifica o switch ou ponto de acesso sem fio que o cliente está ou não autorizado a acessar a LAN e os serviços de switch.
Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.