Controle de acesso
Controle de acesso

Controle de Acesso

[note note_color=”#21ab5136″ text_color=”#2c2c2d” radius=”3″ class=”” id=””]Bem-vindo: este tópico faz parte do Capítulo 10 do curso Cisco CCNA 2, para um melhor acompanhamento do curso você pode ir para a seção CCNA 2 para orientá-lo durante um pedido.[/note]

Autenticação com uma senha local

No tópico anterior, você aprendeu que um dispositivo NAC fornece serviços AAA. Neste tópico, você aprenderá mais sobre AAA e as maneiras de controlar o acesso.

Muitos tipos de autenticação podem ser executados em dispositivos de rede e cada método oferece vários níveis de segurança. O método mais simples de autenticação de acesso remoto é configurar uma combinação de login e senha no console, linhas vty e portas auxiliares, conforme mostrado nas linhas vty no exemplo a seguir. Esse método é o mais fácil de implementar, mas também o mais fraco e menos seguro. Este método não fornece responsabilidade e a senha é enviada em texto simples. Qualquer pessoa com a senha pode acessar o dispositivo.

R1(config)# line vty 0 4
R1(config-line)# password ci5c0
R1(config-line)# login

SSH é uma forma mais segura de acesso remoto:

  • Requer um nome de usuário e uma senha, ambos criptografados durante a transmissão.
  • O nome de usuário e a senha podem ser autenticados pelo método de banco de dados local.
  • Ele fornece mais responsabilidade porque o nome de usuário é registrado quando um usuário efetua login.

O exemplo a seguir ilustra o SSH e os métodos de banco de dados local de acesso remoto.

R1(config)# ip domain-name example.com
R1(config)# crypto key generate rsa general-keys modulus 2048
R1(config)# username Admin secret Str0ng3rPa55w0rd
R1(config)# ssh version 2
R1(config)# line vty 0 4
R1(config-line)# transport input ssh
R1(config-line)# login local

O método de banco de dados local tem algumas limitações:

  • As contas de usuário devem ser configuradas localmente em cada dispositivo. Em um ambiente de grande empresa com vários roteadores e switches para gerenciar, pode levar algum tempo para implementar e alterar os bancos de dados locais em cada dispositivo.
  • A configuração do banco de dados local não fornece nenhum método de autenticação de fallback. Por exemplo, e se o administrador esquecer o nome de usuário e a senha desse dispositivo? Sem nenhum método de backup disponível para autenticação, a recuperação de senha se torna a única opção.

Uma solução melhor é fazer com que todos os dispositivos se refiram ao mesmo banco de dados de nomes de usuário e senhas de um servidor central.

Componentes AAA

AAA significa autenticação, autorização e contabilidade. O conceito AAA é semelhante ao uso de um cartão de crédito, conforme mostrado na figura. O cartão de crédito identifica quem pode usá-lo, quanto aquele usuário pode gastar e mantém uma conta de quais itens ou serviços o usuário adquiriu.

AAA fornece a estrutura principal para configurar o controle de acesso em um dispositivo de rede. AAA é uma forma de controlar quem tem permissão para acessar uma rede (autenticação), o que eles podem fazer enquanto estão lá (autorizar) e auditar quais ações eles realizaram ao acessar a rede (contabilidade).

Componentes AAA

Autenticação

Local e baseado em servidor são dois métodos comuns de implementação de autenticação AAA.

Autenticação AAA Local

AAA local armazena nomes de usuário e senhas localmente em um dispositivo de rede como o roteador Cisco. Os usuários se autenticam no banco de dados local, conforme mostrado na figura. AAA local é ideal para redes pequenas.

Autenticação AAA Local
  1. O cliente estabelece uma conexão com o roteador.
  2. O roteador AAA solicita ao usuário um nome de usuário e uma senha.
  3. O roteador autentica o nome de usuário e a senha usando o banco de dados local e o usuário tem acesso à rede com base nas informações do banco de dados local.

Autenticação AAA baseada em servidor

Com o método baseado em servidor, o roteador acessa um servidor AAA central, conforme mostrado na figura. O servidor AAA contém os nomes de usuário e a senha de todos os usuários. O roteador usa os protocolos RADIUS (Remote Authentication Dial-In User Service) ou Terminal Access Controller Access Control System (TACACS +) para se comunicar com o servidor AAA. Quando há vários roteadores e switches, o AAA baseado em servidor é mais apropriado.

Autenticação AAA baseada em servidor
  1. O cliente estabelece uma conexão com o roteador.
  2. O roteador AAA solicita ao usuário um nome de usuário e uma senha.
  3. O roteador autentica o nome de usuário e a senha usando um servidor AAA.
  4. O usuário tem acesso à rede com base nas informações do servidor AAA remoto.

Autorização

A autorização AAA é automática e não exige que os usuários executem etapas adicionais após a autenticação. A autorização rege o que os usuários podem e não podem fazer na rede depois de serem autenticados.

A autorização usa um conjunto de atributos que descreve o acesso do usuário à rede. Esses atributos são usados pelo servidor AAA para determinar privilégios e restrições para aquele usuário, conforme mostrado na figura.

Autorização AAA
  1. Quando um usuário é autenticado, uma sessão é estabelecida entre o roteador e o servidor AAA.
  2. O roteador solicita autorização do servidor AAA para o serviço solicitado do cliente.
  3. O servidor AAA retorna uma resposta PASSA / FALHA para autorização.

Contabilidade

A contabilidade AAA coleta e relata dados de uso. Esses dados podem ser usados para fins de auditoria ou faturamento. Os dados coletados podem incluir os horários de início e término da conexão, comandos executados, número de pacotes e número de bytes.

O principal uso da contabilidade é combiná-la com a autenticação AAA. O servidor AAA mantém um registro detalhado de exatamente o que o usuário autenticado faz no dispositivo, conforme mostrado na figura. Isso inclui todos os comandos EXEC e de configuração emitidos pelo usuário. O registro contém vários campos de dados, incluindo o nome de usuário, a data e a hora e o comando real inserido pelo usuário. Esta informação é útil ao solucionar problemas de dispositivos. Também fornece evidências de quando os indivíduos realizam atos maliciosos.

Contabilidade AAA
  1. Quando um usuário é autenticado, o processo de contabilidade AAA gera uma mensagem inicial para iniciar o processo de contabilidade.
  2. Quando o usuário termina, uma mensagem de parada é gravada e o processo de contabilidade termina.

802.1X

O padrão IEEE 802.1X é um protocolo de autenticação e controle de acesso baseado em porta. Este protocolo impede que estações de trabalho não autorizadas se conectem a uma LAN por meio de portas de switch acessíveis ao público. O servidor de autenticação autentica cada estação de trabalho conectada a uma porta de switch antes de disponibilizar quaisquer serviços oferecidos pelo switch ou LAN.

Com a autenticação baseada em porta 802.1X, os dispositivos na rede têm funções específicas, conforme mostrado na figura.

IEEE 802.1X
  • Cliente (Suplicante) – Este é um dispositivo que executa um software cliente compatível com 802.1X, disponível para dispositivos com ou sem fio.
  • Switch (Authenticator) – O switch atua como um intermediário entre o cliente e o servidor de autenticação. Ele solicita informações de identificação do cliente, verifica essas informações com o servidor de autenticação e retransmite uma resposta ao cliente. Outro dispositivo que pode atuar como autenticador é um ponto de acesso sem fio.
  • Servidor de autenticação – O servidor valida a identidade do cliente e notifica o switch ou ponto de acesso sem fio que o cliente está ou não autorizado a acessar a LAN e os serviços de switch.

Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.