Cisco

AAA para CCNA – Authentication, Authorization, and Accounting

Marcelo Brenzink do Nascimento - 8 de julho de 2019

Nesse artigo vamos falar sobre o AAA para CCNA, ou seja, o que você precisa saber sobre o AAA para as provas de certificação Cisco ICND-2, CCNAX e também para o novo CCNA 200-301 que será lançado em fevereiro de 2020.

AAA ou Authentication, Authorization, and Accounting é um assunto cobrado tanto nas provas atuais como será cobrado quando o CCNA mudar em 24 de fevereiro de 2020.

O AAA (Authentication, Authorization, and Accounting) oferece uma forma para a autenticação de usuários em servidores ou dispositivos de conectividade (router, switch, etc), além de controlar o nível de acesso destes usuários para os recursos desejados e gravar os comandos realizados para futuras auditorias.

Para que isto seja possível, o AAA participa em três etapas durante este processo:

  1. Autenticação de usuários: Com o AAA, é possível centralizar o gerenciamento de todas as contas de usuários e respectivas senhas, facilitando bastante o trabalho do administrador da rede. O administrador da rede poderá especificar diversos mecanismos para a autenticação de usuários, entre eles RADIUS, TACACS+ ou Kerberos e, para que isto ocorra, a ordem de execução destes componentes deverá ser informada e devidamente associada para uma interface ou mais interfaces do equipamento de rede. Por exemplo, um usuário que necessita configurar uma rota em um roteador Cisco poderá informar o seu username e password para o acesso ao equipamento.
  • Autorização para a execução de comandos: Após a autenticação do usuário, o AAA precisa informar ao roteador sobre os comandos que o referido usuário poderá executar no terminal. É possível limitar a quantidade de comandos disponíveis para a execução das seguintes formas: por usuário, perfil ou grupo de usuários.
  • Auditar os acessos ao equipamento: O AAA enviará dados sobre cada comando executado pelo usuário durante uma sessão com o roteador. Com este recurso, poderemos identificar e controlar todas as atividades de configuração e monitoramento efetuadas no roteador. Por exemplo, o administrador de rede pode analisar o que o usuário dltecuser fez durante sua sessão e quando ele executou os comandos.

Mais especificamente em roteadores e switches Cisco o AAA pode utilizar um banco de dados local ou servidor externo para autenticação e autorização.

Quando falamos de AAA para CCNA temos que falar também dos protocolos que podem ser utilizados na implementação prática: RADIUS e TACACS.

Normalmente o que é configurado na prática é o AAA com servidores externos TACACS+ ou RADIUS e o banco de dados local é utilizado como “fallback”, ou seja, caso haja um problema com a comunicação entre o roteador e o servidor ele pode utilizar um usuário do banco de dados local para fazer o login, por exemplo.

A seguir vamos estudar um pouco mais sobre esses protocolos e suas características.

Protocolo RADIUS

O protocolo RADIUS (Remote Authentication Dial-In User Service) hoje faz parte dos padrões da IETF.

Ele pode funcionar juntamente com outros serviços.

O RADIUS tem uma porta para autenticação/autorização (UDP 1645 ou UDP 1812) e outra para contabilidade (accounting – UDP 1646 ou UDP 1813).

O processo de autenticação do RADIUS utiliza um servidor que tem contato com o cliente, um servidor RADIUS e um banco de dados onde os dados dos usuários são armazenados.

A autenticação é feita por meio de uma mensagem que o cliente RADIUS envia para o servidor RADIUS contendo login e senha.

Quando o servidor recebe a mensagem, ele valida o cliente e verifica o login, senha e outros parâmetros que vêm com a mensagem.

Em caso de uma autenticação válida, o servidor envia ao cliente uma mensagem permitindo o acesso bem como as ações permitidas pelo nível de acesso.

Protocolo TACACS+

O protocolo TACACS+ é proprietário da cisco sendo suportado pela grande maioria dos roteadores da cisco.

É uma melhoramento do protocolo aberto TACACS.

O TACACS+ também é um protocolo que veio após o RADIUS e portanto apresenta algumas vantagens em relação a este.

O TACACS+ usa conexões TCP (mais segura) enquanto que o RADIUS faz transporte via UDP (menos seguro).

Do ponto de vista da segurança a diferença entre os protocolos de transporte utilizados é fundamental.

O RADIUS precisa trabalhar com um número maior de variáveis para suprir a falta de serviços do UDP.

Como TACACS+ usa TCP, que é orientado a conexão, esses detalhes não são preocupação do protocolo TACACS+.

Usando TCP é mais fácil descobrir quando um servidor está off-line e quando ele está simplesmente lento.

O TACACS+ criptografa todo o corpo do pacote e faz a separação entre autenticação e autorização e contabilização.

Com essa separação é possível criar soluções de autorização separadas.

O TACACS+ utiliza o protocolo TCP na porta 49 para transmitir suas informações de maneira segura.

Além disso, o TACACS+ tem suporte multiprotocolo.

Qual o Próximo Passo?

Se você está estudando sobre AAA também deve estar interessado em como podemos acessar dispositivos como Roteadores e Switches da Cisco.

Recomendamos a leitura do artigo abaixo:

Descubra Tudo Sobre como Acessar um Switch ou Roteador Cisco

Sou um dos fundadores do Portal da DlteC do Brasil, graduado em Engenharia Eletrônica/Telecomunicações em 1998 pela UTFPR e pós-graduado em Redes e Sistemas Distribuídos pela PUC-PR em 2003. Trabalho na área de Tecnologia da Informação e Telecomunicações desde 1996. Já passei por empresas como Siemens, Impsat (atualmente CenturyLink), Senai-PR, Dimension Data (atualmente NTT) e outras empresas. Sou certificado ITIL Foundations, CCNA, CCNP Enterprise, IPv6 Fórum Certified Network Engineer (Gold), IPv6 Fórum Certified Security Engineer (Silver) e Hurricane Electric IPv6 Certification Sage.

Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.