WEBVTT 00:00.090 --> 00:00.930 Instrutor: Nesta 00:00.930 --> 00:03.360 lição, falaremos sobre servidores AAA, que significa 00:03.360 --> 00:06.210 autenticação, autorização e contabilidade, e para entender 00:06.210 --> 00:09.000 os servidores AAA, a primeira coisa que precisamos fazer 00:09.000 --> 00:12.327 é entender como o 802. O 1X funciona como uma estrutura. 00:12.327 --> 00:15.240 Instrutor: 802. 1X é uma estrutura padronizada 00:15.240 --> 00:17.040 usada para autenticação baseada 00:17.040 --> 00:19.650 em porta em redes com e sem fio. 00:19.650 --> 00:22.800 Agora, como o 802. O 1X é apenas a estrutura; na verdade, 00:22.800 --> 00:24.840 ele utilizará outros mecanismos para 00:24.840 --> 00:27.210 fazer a autenticação real para nós. 00:27.210 --> 00:28.140 Por exemplo, tanto 00:28.140 --> 00:30.690 o Remote Authentication Dial-In User Service, conhecido 00:30.690 --> 00:31.800 como RADIUS, quanto o Terminal 00:31.800 --> 00:33.510 Access Controller Access-Control 00:33.510 --> 00:36.510 System Plus, ou TACACS+, podem ser utilizados para conduzir 00:36.510 --> 00:41.700 a autenticação usando o 802. 00:41.700 --> 00:41.700 Protocolo 1X. 00:41.700 --> 00:43.410 Há três funções que são necessárias para 00:43.410 --> 00:46.920 que ocorra uma autenticação no 802. 1X. 00:46.920 --> 00:49.830 O primeiro é o suplicante, que é o dispositivo ou 00:49.830 --> 00:51.660 usuário que está solicitando 00:51.660 --> 00:54.030 acesso à rede, como o PC1 nesta imagem. 00:54.030 --> 00:56.430 Depois, há um autenticador, que é o dispositivo 00:56.430 --> 00:58.080 por meio do qual o suplicante está 00:58.080 --> 00:59.370 tentando acessar a rede. 00:59.370 --> 01:01.620 Normalmente, isso será algo como um switch, 01:01.620 --> 01:04.860 um ponto de acesso sem fio ou um concentrador de VPN. 01:04.860 --> 01:07.230 Por fim, há o servidor de autenticação, que 01:07.230 --> 01:08.760 será o dispositivo centralizado 01:08.760 --> 01:10.350 que realiza a autenticação, 01:10.350 --> 01:11.970 que normalmente será o servidor 01:11.970 --> 01:13.920 RADIUS ou TACACS+. 01:13.920 --> 01:16.230 A autenticação ocorre quando a identidade de uma 01:16.230 --> 01:19.500 pessoa é estabelecida com provas e é confirmada pelo sistema. 01:19.500 --> 01:21.180 Você faz isso todos os dias. 01:21.180 --> 01:23.850 Na verdade, você fez isso quando entrou neste curso. 01:23.850 --> 01:26.340 Quando você digitou seu endereço de e-mail e sua 01:26.340 --> 01:28.380 senha, estava afirmando que é o aluno que 01:28.380 --> 01:30.660 pagou por este curso e, ao fazer isso, foi verificado 01:30.660 --> 01:33.150 pelo sistema e recebeu acesso. 01:33.150 --> 01:36.330 Agora, há diferentes maneiras de autenticar quem você é. 01:36.330 --> 01:38.700 No mundo real, por exemplo, se você for parado 01:38.700 --> 01:40.380 por um policial por excesso de velocidade, 01:40.380 --> 01:42.000 poderá retirar sua carteira de 01:42.000 --> 01:43.860 motorista e mostrar que é você e que 01:43.860 --> 01:45.780 é quem diz ser. 01:45.780 --> 01:47.220 Essa é sua prova. 01:47.220 --> 01:48.600 Agora, no mundo digital, 01:48.600 --> 01:51.000 temos cinco métodos de autenticação. 01:51.000 --> 01:52.800 Temos algo que você sabe, que seria 01:52.800 --> 01:55.050 algo como uma senha ou um nome de usuário, temos 01:55.050 --> 01:57.150 algo que você é, que seria algo como sua impressão 01:57.150 --> 02:00.390 digital ou um exame de olhos ou de retina, temos algo que você tem, 02:00.390 --> 02:02.280 que seria algo como um token, uma carteira 02:02.280 --> 02:05.430 de motorista ou um cartão de crédito, pode ser algo que você faz, 02:05.430 --> 02:07.410 que é a maneira como você fala ou a maneira 02:07.410 --> 02:10.020 como assina seu nome, e pode ser algum lugar onde você 02:10.020 --> 02:12.540 está, que conhecemos como seu fator de localização 02:12.540 --> 02:15.930 com base em sua localização GPS. 02:15.930 --> 02:19.080 LDAP é o Lightweight Directory Access Protocol (Protocolo de Acesso a Diretórios Leves). 02:19.080 --> 02:21.630 Esse é um banco de dados usado para centralizar as informações 02:21.630 --> 02:24.510 sobre seus clientes e seus objetos na rede. 02:24.510 --> 02:28.050 O LDAP é essencialmente uma versão simplificada do X. 500, que é um serviço de diretório 02:28.050 --> 02:29.490 e contém uma organização 02:29.490 --> 02:32.460 hierárquica dos usuários, grupos, servidores 02:32.460 --> 02:36.360 e sistemas dentro da sua rede. 02:36.360 --> 02:39.000 O LDAP se comunica pela porta 389 quando está 02:39.000 --> 02:41.400 fazendo isso sem criptografia e, se você 02:41.400 --> 02:46.290 decidir criptografá-lo usando SSL ou TLS, ele usará a porta 636. 02:46.290 --> 02:48.960 Agora, embora o LDAP seja considerado multiplataforma, 02:48.960 --> 02:51.390 a Microsoft criou sua própria implementação, 02:51.390 --> 02:54.060 conhecida como AD ou Active Directory. 02:54.060 --> 02:56.370 No domínio do Windows, o Active Directory é 02:56.370 --> 02:58.710 usado para organizar e gerenciar tudo na rede, 02:58.710 --> 03:00.570 inclusive clientes, servidores, 03:00.570 --> 03:02.730 dispositivos, usuários e grupos. 03:02.730 --> 03:04.650 Agora, o Active Directory também pode ser usado 03:04.650 --> 03:07.410 como parte de suas políticas de segurança ou controle de acesso por 03:07.410 --> 03:08.883 meio de suas políticas de grupo. 03:09.990 --> 03:13.770 RADIUS é o Remote Authentication Dial-In User Service (Serviço de Autenticação Remota para Usuários Dial-In). 03:13.770 --> 03:17.130 Ele fornece administração centralizada de autenticação de conexão 03:17.130 --> 03:18.750 discada, VPN e sem fio, de modo que 03:18.750 --> 03:21.660 você possa usá-lo com o 802. 1X e o Extensible Authentication 03:21.660 --> 03:25.350 Protocol (Protocolo de autenticação extensível), ou EAP. 03:25.350 --> 03:27.870 O RADIUS é um protocolo cliente-servidor que é executado 03:27.870 --> 03:29.940 na sétima camada do modelo OSI, a camada 03:29.940 --> 03:31.470 de aplicativos. 03:31.470 --> 03:34.470 Normalmente, o RADIUS é configurado para ser executado em um servidor 03:34.470 --> 03:36.810 separado, mas também pode ser carregado em um servidor 03:36.810 --> 03:38.880 Windows em ambientes de domínio menores. 03:38.880 --> 03:40.950 O RADIUS é usado para autenticar usuários, 03:40.950 --> 03:42.390 autorizá-los a usar serviços 03:42.390 --> 03:44.970 e contabilizar o uso desses serviços. 03:44.970 --> 03:48.120 O RADIUS também utiliza UDP para fazer suas conexões, o que 03:48.120 --> 03:49.470 o torna bastante rápido durante 03:49.470 --> 03:52.380 suas funções de autenticação e autorização. 03:52.380 --> 03:55.140 Embora o RADIUS seja um padrão de plataforma cruzada, 03:55.140 --> 03:58.590 há um protocolo proprietário da Cisco chamado TACACS+. 03:58.590 --> 04:00.300 Este é o Terminal Access Controller Access-Control 04:00.300 --> 04:03.060 System Plus, que pode desempenhar a função de um autenticador 04:03.060 --> 04:06.300 em um sistema 802. Rede 1X. 04:06.300 --> 04:08.640 Agora, cabe a você determinar qual é a melhor opção para 04:08.640 --> 04:10.500 as necessidades da sua organização. 04:10.500 --> 04:12.810 Pessoalmente, tenho usado o RADIUS quase exclusivamente 04:12.810 --> 04:14.370 em minhas organizações. 04:14.370 --> 04:17.490 Descobri que o TACACS+ é um pouco mais lento para operar 04:17.490 --> 04:20.100 porque depende de TCP em vez de UDP, mas o TACACS+ 04:20.100 --> 04:22.620 tem algumas vantagens. 04:22.620 --> 04:24.090 Ele oferece segurança adicional 04:24.090 --> 04:26.550 e conduz de forma independente seus processos de autenticação, 04:26.550 --> 04:29.070 autorização e contabilidade. 04:29.070 --> 04:31.560 O TACACS+ é compatível com todos os protocolos de rede, 04:31.560 --> 04:32.880 mas o RADIUS, por outro lado, 04:32.880 --> 04:35.070 não é compatível com o protocolo de acesso remoto, 04:35.070 --> 04:38.850 o protocolo NetBIOS Frame, o X. 25 conexões fixas e algumas 04:38.850 --> 04:39.840 outras. 04:39.840 --> 04:42.480 Em geral, o TACACS+ é uma excelente opção, mas somente 04:42.480 --> 04:44.490 se você for usar dispositivos Cisco em 04:44.490 --> 04:45.630 toda a sua rede, pois se 04:45.630 --> 04:48.270 quiser ter esse recurso de plataforma cruzada, terá 04:48.270 --> 04:49.770 que usar o RADIUS, que foi a forma 04:49.770 --> 04:51.840 que escolhi no passado. 04:51.840 --> 04:54.360 O segundo A é autorização. 04:54.360 --> 04:57.000 A autorização ocorre quando um usuário recebe 04:57.000 --> 05:00.990 acesso a um determinado dado ou a determinadas áreas do edifício. 05:00.990 --> 05:03.120 Você já entrou em um prédio e viu uma placa 05:03.120 --> 05:06.570 que dizia acesso restrito, somente para pessoal autorizado? 05:06.570 --> 05:09.180 Bem, isso significa que você não pode entrar nessa área. 05:09.180 --> 05:11.100 Pode ser algo como uma sala de manutenção 05:11.100 --> 05:12.840 ou algum lugar onde há geradores e somente 05:12.840 --> 05:14.790 os mecânicos podem entrar. 05:14.790 --> 05:16.650 Eles têm chaves especiais ou crachás especiais 05:16.650 --> 05:18.450 que lhes permitem entrar nessas áreas. 05:18.450 --> 05:21.900 Essa área é um lugar onde você não está autorizado a ir. 05:21.900 --> 05:25.170 O Kerberos se concentra em autenticação e autorização. 05:25.170 --> 05:27.570 Isso é realizado por meio do nosso sistema de emissão de tíquetes 05:27.570 --> 05:29.280 Kerberos em um domínio do Windows. 05:29.280 --> 05:31.860 O Kerberos é um protocolo de autenticação que fornece 05:31.860 --> 05:34.350 autenticação bidirecional ou mútua. 05:34.350 --> 05:36.330 Quando o usuário faz login no domínio, ele 05:36.330 --> 05:38.400 primeiro entra em contato com o controlador 05:38.400 --> 05:42.120 de domínio, que atua como o centro de distribuição de chaves, ou KDC. 05:42.120 --> 05:44.550 Esse KDC tem duas funções básicas: autenticação 05:44.550 --> 05:46.980 e concessão de tíquetes. 05:46.980 --> 05:49.410 Portanto, se o cliente for autenticado 05:49.410 --> 05:51.990 corretamente, o KDC emitirá um TGT, que 05:51.990 --> 05:54.570 é chamado de Ticket Granting Ticket. 05:54.570 --> 05:56.520 Esse Ticket de Concessão de Ticket é fornecido 05:56.520 --> 05:58.740 ao controlador de domínio sempre que o usuário quiser 05:58.740 --> 06:00.060 acessar um recurso e, em seguida, 06:00.060 --> 06:02.460 o controlador de domínio pode fornecer a esse usuário um 06:02.460 --> 06:04.920 ticket de serviço ou uma chave de sessão para uso, o que for 06:04.920 --> 06:07.260 mais adequado às suas necessidades. 06:07.260 --> 06:09.150 Esses tíquetes são apresentados ao recurso, 06:09.150 --> 06:10.680 e o acesso é concedido porque o recurso 06:10.680 --> 06:12.180 sempre confia nos tíquetes fornecidos 06:12.180 --> 06:14.580 pelos controladores de domínio. 06:14.580 --> 06:16.860 Agora, como o Kerberos depende do controlador de 06:16.860 --> 06:19.080 domínio para servir como centro de distribuição 06:19.080 --> 06:21.840 de chaves, esse é um ponto único de falha no domínio. 06:21.840 --> 06:23.550 Se o controlador de domínio estiver inativo, 06:23.550 --> 06:26.190 os serviços de concessão de tíquetes também serão desligados. 06:26.190 --> 06:28.350 No entanto, para evitar isso, a maioria das pessoas 06:28.350 --> 06:31.530 tem um controlador de domínio ativo primário e um secundário. 06:31.530 --> 06:33.330 Isso lhe dará essa forma de redundância 06:33.330 --> 06:36.900 para garantir que o Kerberos esteja ativo e o LDAP ainda esteja em execução. 06:36.900 --> 06:38.790 O terceiro A é contabilidade. 06:38.790 --> 06:40.980 A contabilidade garante que o rastreamento de 06:40.980 --> 06:44.220 dados, o uso de computadores e os recursos de rede sejam mantidos. 06:44.220 --> 06:46.170 Agora, quando fazemos isso, geralmente é colocado 06:46.170 --> 06:48.150 em algo chamado arquivo de registro. 06:48.150 --> 06:49.680 Trata-se de um arquivo em um computador 06:49.680 --> 06:51.930 que é basicamente um documento de texto grande e 06:51.930 --> 06:54.450 mantém o controle de todos os tipos de coisas. 06:54.450 --> 06:56.340 Isso pode ser todas as conexões de Internet 06:56.340 --> 06:58.980 que estão saindo da rede, como mostrado aqui na tela, 06:58.980 --> 07:01.140 ou pode ser uma lista de todas as pessoas que 07:01.140 --> 07:04.680 tentaram fazer logon em um determinado arquivo ou site. 07:04.680 --> 07:07.320 Todos os tipos de registros diferentes são mantidos 07:07.320 --> 07:09.180 em seu computador para acompanhar todas 07:09.180 --> 07:11.100 as coisas que estão sendo feitas, e tudo 07:11.100 --> 07:14.250 isso é para garantir que boas práticas contábeis estejam sendo 07:14.250 --> 07:16.170 usadas porque, se houver uma violação 07:16.170 --> 07:18.270 de dados ou algum tipo de ameaça interna, você 07:18.270 --> 07:21.090 poderá voltar e examinar os dados em seus arquivos de registro 07:21.090 --> 07:23.880 para descobrir quem fez o quê e quando. 07:23.880 --> 07:26.310 É isso que a contabilidade permite que você faça. 07:26.310 --> 07:29.130 Agora, se você tiver provas de que alguém fez algo, 07:29.130 --> 07:32.850 que realizou uma ação, chamamos isso de não repúdio. 07:32.850 --> 07:35.790 O não repúdio significa simplesmente que o usuário não pode dizer 07:35.790 --> 07:39.060 que não realizou a ação porque você tem provas de que ele a realizou. 07:39.060 --> 07:41.160 Por exemplo, se você enviou um e-mail para 07:41.160 --> 07:43.200 mim e o assinou com uma assinatura digital, 07:43.200 --> 07:45.360 você é a única pessoa no mundo inteiro que tem 07:45.360 --> 07:47.910 essa chave privada de assinatura digital. 07:47.910 --> 07:50.400 Tenho certeza de que você enviou esse e-mail. 07:50.400 --> 07:52.350 Você não pode me dizer mais tarde que não a 07:52.350 --> 07:54.060 enviou, pois agora tenho provas. 07:54.060 --> 07:55.593 Isso é não repúdio.