WEBVTT 00:00.090 --> 00:00.930 Instructeur: In 00:00.930 --> 00:03.360 deze les gaan we het hebben over AAA servers, wat 00:03.360 --> 00:06.210 staat voor authenticatie, autorisatie en accounting, 00:06.210 --> 00:09.000 en om AAA servers te begrijpen is het eerste wat we moeten 00:09.000 --> 00:12.327 doen begrijpen hoe 802. 1X werkt als een raamwerk. 00:12.327 --> 00:15.240 Instructeur: 802. 1X is een gestandaardiseerd raamwerk 00:15.240 --> 00:17.040 dat wordt gebruikt voor poortgebaseerde authenticatie 00:17.040 --> 00:19.650 op zowel bekabelde als draadloze netwerken. 00:19.650 --> 00:22.800 Nu, sinds 802. 1X is slechts het raamwerk, het gaat 00:22.800 --> 00:24.840 eigenlijk andere mechanismen gebruiken 00:24.840 --> 00:27.210 om de echte authenticatie voor ons te doen. 00:27.210 --> 00:28.140 Bijvoorbeeld, zowel 00:28.140 --> 00:30.690 de Remote Authentication Dial-In User Service, bekend 00:30.690 --> 00:31.800 als RADIUS, als het Terminal 00:31.800 --> 00:33.510 Access Controller Access-Control System 00:33.510 --> 00:36.510 Plus, of TACACS+, kunnen beide gebruikt worden om de authenticatie 00:36.510 --> 00:41.700 uit te voeren met behulp van de 802. 00:41.700 --> 00:41.700 1X protocol. 00:41.700 --> 00:43.410 Er zijn drie rollen nodig voor 00:43.410 --> 00:46.920 een authenticatie onder 802. 1X. 00:46.920 --> 00:49.830 De eerste is de supplicant, dat is het apparaat of de gebruiker 00:49.830 --> 00:51.660 die toegang vraagt tot het netwerk, 00:51.660 --> 00:54.030 zoals PC1 in deze afbeelding. 00:54.030 --> 00:56.430 Dan is er een authenticator, het apparaat waarmee 00:56.430 --> 00:58.080 de supplicant toegang probeert te 00:58.080 --> 00:59.370 krijgen tot het netwerk. 00:59.370 --> 01:01.620 Normaal gesproken is dit zoiets als een switch, 01:01.620 --> 01:04.860 een draadloos toegangspunt of een VPN-concentrator. 01:04.860 --> 01:07.230 Tenslotte is er de authenticatieserver, 01:07.230 --> 01:08.760 het centrale apparaat 01:08.760 --> 01:10.350 dat de authenticatie uitvoert, 01:10.350 --> 01:11.970 meestal de RADIUS of TACACS+ 01:11.970 --> 01:13.920 server. 01:13.920 --> 01:16.230 Authenticatie vindt plaats wanneer de identiteit van een 01:16.230 --> 01:19.500 persoon wordt vastgesteld met bewijs en wordt bevestigd door het systeem. 01:19.500 --> 01:21.180 Je doet dit elke dag. 01:21.180 --> 01:23.850 In feite heb je dat al gedaan toen je inlogde op deze cursus. 01:23.850 --> 01:26.340 Toen je je e-mailadres en wachtwoord invoerde, beweerde 01:26.340 --> 01:28.380 je dat jij de student bent die voor deze cursus 01:28.380 --> 01:30.660 betaald heeft en door dat te doen, wordt je gecontroleerd 01:30.660 --> 01:33.150 door het systeem en krijg je toegang. 01:33.150 --> 01:36.330 Er zijn verschillende manieren om te verifiëren wie je bent. 01:36.330 --> 01:38.700 In de echte wereld bijvoorbeeld, als een politieagent 01:38.700 --> 01:40.380 je aan de kant zet voor te hard rijden, 01:40.380 --> 01:42.000 kun je je rijbewijs tevoorschijn halen 01:42.000 --> 01:43.860 en laten zien dat jij het bent en dat je bent 01:43.860 --> 01:45.780 wie je zegt dat je bent. 01:45.780 --> 01:47.220 Dit is je bewijs. 01:47.220 --> 01:48.600 In de digitale wereld hebben 01:48.600 --> 01:51.000 we vijf authenticatiemethoden. 01:51.000 --> 01:52.800 We hebben iets dat je weet, wat zoiets 01:52.800 --> 01:55.050 is als een wachtwoord of een gebruikersnaam, 01:55.050 --> 01:57.150 we hebben iets dat je bent, wat zoiets is als 01:57.150 --> 02:00.390 je vingerafdruk of een oogscan of een netvliesscan, we hebben iets 02:00.390 --> 02:02.280 dat je hebt, dit zou zoiets kunnen zijn 02:02.280 --> 02:05.430 als een token, een rijbewijs of een creditcard, het zou iets kunnen 02:05.430 --> 02:07.410 zijn dat je doet, wat de manier is waarop 02:07.410 --> 02:10.020 je spreekt of de manier waarop je je naam ondertekent, 02:10.020 --> 02:12.540 en het kan ergens zijn waar je bent, wat we kennen als 02:12.540 --> 02:15.930 je locatiefactor op basis van je GPS-locatie. 02:15.930 --> 02:19.080 LDAP is het Lightweight Directory Access Protocol. 02:19.080 --> 02:21.630 Dit is een database die wordt gebruikt om informatie over 02:21.630 --> 02:24.510 je clients en je objecten op het netwerk te centraliseren. 02:24.510 --> 02:28.050 LDAP is in wezen een vereenvoudigde versie van X. 500, wat een directoryservice 02:28.050 --> 02:29.490 is en een hiërarchische 02:29.490 --> 02:32.460 organisatie bevat van de gebruikers, groepen, 02:32.460 --> 02:36.360 servers en systemen in je netwerk. 02:36.360 --> 02:39.000 LDAP communiceert over poort 389 als het 02:39.000 --> 02:41.400 dit onversleuteld doet, en als je besluit 02:41.400 --> 02:46.290 om het te versleutelen met SSL of TLS, dan gebruikt het poort 636. 02:46.290 --> 02:48.960 Hoewel LDAP als platformonafhankelijk wordt beschouwd, 02:48.960 --> 02:51.390 heeft Microsoft zijn eigen implementatie hiervan 02:51.390 --> 02:54.060 gemaakt, bekend als AD of Active Directory. 02:54.060 --> 02:56.370 In het Windows-domein wordt Active Directory gebruikt 02:56.370 --> 02:58.710 om alles op het netwerk te organiseren en te beheren, 02:58.710 --> 03:00.570 inclusief die clients, servers, apparaten, 03:00.570 --> 03:02.730 gebruikers en groepen. 03:02.730 --> 03:04.650 Active Directory kan nu ook worden gebruikt 03:04.650 --> 03:07.410 als onderdeel van je beveiligingsbeleid of toegangscontrole 03:07.410 --> 03:08.883 via je groepsbeleid. 03:09.990 --> 03:13.770 RADIUS is de Remote Authentication Dial-In User Service. 03:13.770 --> 03:17.130 Het biedt gecentraliseerd beheer van inbel-, VPN- en draadloze 03:17.130 --> 03:18.750 verificatie, zodat je die kunt 03:18.750 --> 03:21.660 gebruiken met zowel 802. 1X en het Extensible 03:21.660 --> 03:25.350 Authentication Protocol, of EAP. 03:25.350 --> 03:27.870 RADIUS is een client-serverprotocol dat over 03:27.870 --> 03:29.940 de zevende laag van het OSI-model loopt, 03:29.940 --> 03:31.470 de applicatielaag. 03:31.470 --> 03:34.470 RADIUS wordt meestal geconfigureerd om op een aparte server te draaien, 03:34.470 --> 03:36.810 maar het kan ook op een Windows server geladen worden 03:36.810 --> 03:38.880 in kleinere domeinomgevingen. 03:38.880 --> 03:40.950 RADIUS wordt gebruikt om gebruikers te authenticeren, 03:40.950 --> 03:42.390 hen te autoriseren tot diensten en 03:42.390 --> 03:44.970 hun gebruik van die diensten te verantwoorden. 03:44.970 --> 03:48.120 RADIUS gebruikt ook UDP voor het maken van verbindingen, waardoor 03:48.120 --> 03:49.470 het redelijk snel is tijdens 03:49.470 --> 03:52.380 de authenticatie- en autorisatiefuncties. 03:52.380 --> 03:55.140 Hoewel RADIUS een platformoverschrijdende standaard 03:55.140 --> 03:58.590 is, is er een eigen protocol van Cisco genaamd TACACS+. 03:58.590 --> 04:00.300 Dit is het Terminal Access Controller 04:00.300 --> 04:03.060 Access-Control System Plus, dat de rol van authenticator in 04:03.060 --> 04:06.300 een 802.0 systeem kan vervullen. 1X netwerk. 04:06.300 --> 04:08.640 Nu is het aan jou om te bepalen welke het beste is voor 04:08.640 --> 04:10.500 de behoeften van jouw organisatie. 04:10.500 --> 04:12.810 Persoonlijk heb ik RADIUS bijna uitsluitend binnen 04:12.810 --> 04:14.370 mijn organisaties gebruikt. 04:14.370 --> 04:17.490 Ik vond dat TACACS+ iets langzamer werkt omdat het 04:17.490 --> 04:20.100 vertrouwt op TCP in plaats van UDP, maar TACACS+ 04:20.100 --> 04:22.620 heeft een aantal voordelen. 04:22.620 --> 04:24.090 Het geeft je wat extra beveiliging 04:24.090 --> 04:26.550 en voert onafhankelijk zijn authenticatie-, autorisatie- 04:26.550 --> 04:29.070 en accountingprocessen uit. 04:29.070 --> 04:31.560 TACACS+ ondersteunt alle netwerkprotocollen, 04:31.560 --> 04:32.880 maar RADIUS ondersteunt daarentegen 04:32.880 --> 04:35.070 niet het remote access protocol, het NetBIOS 04:35.070 --> 04:38.850 Frame protocol, X. 25 gekoppelde verbindingen en 04:38.850 --> 04:39.840 enkele andere. 04:39.840 --> 04:42.480 Over het algemeen is TACACS+ een uitstekende keuze, maar 04:42.480 --> 04:44.490 alleen als je Cisco apparaten gaat gebruiken 04:44.490 --> 04:45.630 in je netwerk, want als je 04:45.630 --> 04:48.270 die cross-platform mogelijkheid wilt, dan moet je overgaan 04:48.270 --> 04:49.770 op RADIUS, de manier die ik in het 04:49.770 --> 04:51.840 verleden heb gekozen. 04:51.840 --> 04:54.360 De tweede A is autorisatie. 04:54.360 --> 04:57.000 Autorisatie vindt plaats wanneer een gebruiker 04:57.000 --> 05:00.990 toegang krijgt tot bepaalde gegevens of bepaalde delen van het gebouw. 05:00.990 --> 05:03.120 Ben je ooit een gebouw binnengelopen en zag je 05:03.120 --> 05:06.570 een bordje met daarop verboden toegang, alleen voor bevoegd personeel? 05:06.570 --> 05:09.180 Dat betekent dat je dat gebied niet in kunt. 05:09.180 --> 05:11.100 Het kan zoiets zijn als een onderhoudsruimte 05:11.100 --> 05:12.840 of een plek waar generatoren staan en alleen 05:12.840 --> 05:14.790 de monteurs naar binnen kunnen. 05:14.790 --> 05:16.650 Ze hebben speciale sleutels of speciale badges 05:16.650 --> 05:18.450 waarmee ze in die gebieden kunnen komen. 05:18.450 --> 05:21.900 Dat gebied is een plek waar je niet mag komen. 05:21.900 --> 05:25.170 Kerberos is gericht op authenticatie en autorisatie. 05:25.170 --> 05:27.570 Dit wordt uitgevoerd via ons Kerberos ticketing 05:27.570 --> 05:29.280 systeem in een Windows domein. 05:29.280 --> 05:31.860 Kerberos is een authenticatieprotocol dat bidirectionele 05:31.860 --> 05:34.350 of wederzijdse authenticatie biedt. 05:34.350 --> 05:36.330 Als een gebruiker inlogt op het domein, 05:36.330 --> 05:38.400 neemt hij eerst contact op met de domeincontroller, 05:38.400 --> 05:42.120 die fungeert als key distribution center (KDC). 05:42.120 --> 05:44.550 Deze KDC heeft twee basisfuncties, authenticatie 05:44.550 --> 05:46.980 en ticket toekenning. 05:46.980 --> 05:49.410 Dus als de cliënt goed is geverifieerd, 05:49.410 --> 05:51.990 zal de KDC een TGT uitgeven, wat een Ticket 05:51.990 --> 05:54.570 Granting Ticket wordt genoemd. 05:54.570 --> 05:56.520 Dit Ticket Granting Ticket wordt dan verstrekt 05:56.520 --> 05:58.740 aan de domeincontroller wanneer die gebruiker toegang 05:58.740 --> 06:00.060 wil tot een bron, en dan kan de 06:00.060 --> 06:02.460 domeincontroller die gebruiker een serviceticket 06:02.460 --> 06:04.920 of een sessiesleutel verstrekken, afhankelijk van wat 06:04.920 --> 06:07.260 geschikt is voor hun behoeften. 06:07.260 --> 06:09.150 Deze tickets worden aan de bron gepresenteerd 06:09.150 --> 06:10.680 en de toegang wordt dan verleend omdat 06:10.680 --> 06:12.180 de bron altijd de door de domeincontrollers 06:12.180 --> 06:14.580 verstrekte tickets vertrouwt. 06:14.580 --> 06:16.860 Omdat Kerberos afhankelijk is van de domeincontroller 06:16.860 --> 06:19.080 om te dienen als het centrum voor sleuteldistributie, 06:19.080 --> 06:21.840 is dit een single point of failure in het domein. 06:21.840 --> 06:23.550 Als de domeincontroller uitvalt, worden 06:23.550 --> 06:26.190 de ticketverstrekkende services ook uitgeschakeld. 06:26.190 --> 06:28.350 Om dit te voorkomen hebben de meeste mensen echter 06:28.350 --> 06:31.530 een primaire en een secundaire actieve domeincontroller. 06:31.530 --> 06:33.330 Dat geeft je deze vorm van redundantie 06:33.330 --> 06:36.900 om er zeker van te zijn dat Kerberos aanstaat en LDAP nog steeds draait. 06:36.900 --> 06:38.790 De derde A is boekhouding. 06:38.790 --> 06:40.980 De boekhouding zorgt ervoor dat gegevens, 06:40.980 --> 06:44.220 computergebruik en netwerkbronnen worden bijgehouden. 06:44.220 --> 06:46.170 Als we dat doen, wordt het meestal 06:46.170 --> 06:48.150 in een logbestand gezet. 06:48.150 --> 06:49.680 Dit is een bestand op een computer 06:49.680 --> 06:51.930 dat in wezen gewoon een groot tekstdocument 06:51.930 --> 06:54.450 is, en het houdt allerlei dingen bij. 06:54.450 --> 06:56.340 Dit kunnen alle internetverbindingen 06:56.340 --> 06:58.980 zijn die het netwerk verlaten, zoals hier op het scherm, 06:58.980 --> 07:01.140 of het kan een lijst zijn van alle mensen die geprobeerd 07:01.140 --> 07:04.680 hebben om in te loggen op een bepaald bestand of website. 07:04.680 --> 07:07.320 Er worden allerlei verschillende logbestanden bijgehouden 07:07.320 --> 07:09.180 op je computer om alle verschillende dingen 07:09.180 --> 07:11.100 die worden gedaan bij te houden, en dit is allemaal 07:11.100 --> 07:14.250 om ervoor te zorgen dat er goede boekhoudpraktijken worden gebruikt, 07:14.250 --> 07:16.170 want als je een datalek hebt of als je een soort 07:16.170 --> 07:18.270 bedreiging van binnenuit hebt, kun je teruggaan 07:18.270 --> 07:21.090 en naar de gegevens in je logbestanden kijken om erachter te komen 07:21.090 --> 07:23.880 wie wat wanneer heeft gedaan. 07:23.880 --> 07:26.310 Dat is wat je met boekhouden kunt doen. 07:26.310 --> 07:29.130 Als je bewijs hebt dat iemand iets heeft gedaan, dat hij 07:29.130 --> 07:32.850 een actie heeft ondernomen, dan noemen we dit onweerlegbaarheid. 07:32.850 --> 07:35.790 Onweerlegbaarheid betekent simpelweg dat de gebruiker niet kan zeggen dat hij 07:35.790 --> 07:39.060 de actie niet heeft ondernomen, omdat jij bewijs hebt dat hij dat wel heeft gedaan. 07:39.060 --> 07:41.160 Als je bijvoorbeeld een e-mail naar mij hebt gestuurd 07:41.160 --> 07:43.200 en je hebt die ondertekend met een digitale handtekening, 07:43.200 --> 07:45.360 dan ben je de enige persoon op de hele wereld die over die 07:45.360 --> 07:47.910 private digitale handtekeningensleutel beschikt. 07:47.910 --> 07:50.400 Ik weet zeker dat je die e-mail hebt gestuurd. 07:50.400 --> 07:52.350 Je kunt me later niet vertellen dat je het niet 07:52.350 --> 07:54.060 hebt verstuurd, want nu heb ik bewijs. 07:54.060 --> 07:55.593 Dat is onweerlegbaarheid.