M6 · Segurança

Configuração de AAA

O que é AAA

AAA é o framework de segurança que controla quem acessa os dispositivos de rede, o que pode fazer e registra as ações realizadas. As três funções são:

  • Authentication — verifica a identidade do usuário
  • Authorization — define os privilégios concedidos
  • Accounting — registra comandos e sessões para auditoria

Sem AAA, o acesso a roteadores e switches depende apenas de senhas locais (enable secret, line vty password), sem controle granular por usuário.

Modos de autenticação

Local (sem servidor AAA)

O dispositivo autentica com base em usuários criados localmente:

Router(config)# username admin privilege 15 secret Senha@123
Router(config)# aaa new-model
Router(config)# aaa authentication login default local
Router(config)# line vty 0 4
Router(config-line)# login authentication default

Com servidor RADIUS ou TACACS+

Para ambientes corporativos, o ideal é centralizar a autenticação em um servidor dedicado:

Router(config)# aaa new-model
Router(config)# tacacs server SRV-TAC
Router(config-server-tacacs)# address ipv4 192.168.1.10
Router(config-server-tacacs)# key ChaveSecreta
Router(config)# aaa authentication login default group tacacs+ local

O método local ao final serve como fallback — se o servidor estiver inacessível, o dispositivo usa os usuários locais.

TACACS+ vs RADIUS

Característica TACACS+ RADIUS
Protocolo TCP 49 UDP 1812/1813
Criptografia Todo o pacote Somente a senha
Separação AAA Sim (granular) Parcial
Vendor Cisco (proprietário) Padrão aberto (RFC)
Uso típico Acesso de administração Acesso de usuários/VPN

Para o CCNA: TACACS+ é preferido para administração de dispositivos; RADIUS é mais comum para acesso de usuários finais (Wi-Fi, VPN).

Autorização e Accounting

Autorização por exec

Router(config)# aaa authorization exec default group tacacs+ local
Router(config)# aaa authorization commands 15 default group tacacs+ local

Accounting

Router(config)# aaa accounting exec default start-stop group tacacs+
Router(config)# aaa accounting commands 15 default start-stop group tacacs+

start-stop envia registro no início e no fim da sessão. stop-only envia apenas ao terminar.

Verificação

Router# show aaa sessions
Router# show aaa local user lockout
Router# debug aaa authentication

O comando show aaa sessions lista sessões ativas com detalhes de usuário, método utilizado e duração.

Pontos críticos para o exame

  • aaa new-model deve ser o primeiro comando — ativa o framework AAA e desativa a autenticação por line password
  • Sempre configure um método de fallback local para evitar lockout
  • TACACS+ separa autenticação, autorização e accounting em mensagens distintas; RADIUS combina autenticação e autorização
  • privilege 15 concede acesso total ao exec privilegiado sem precisar do comando enable
  • Named method lists permitem políticas diferentes por linha (console, vty)
Router(config)# aaa authentication login VTY-POLICY group tacacs+ local
Router(config)# line vty 0 4
Router(config-line)# login authentication VTY-POLICY