[MÚSICA] Olá. Bem-vinda ou bem-vindo a esse treinamento da Aruba Mobility Essentials. Meu nome é Ricardo Cobos, e agora eu vou começar com a parte 2-5, que é Segurança na WLAN e Controle de Acesso. Quando nós estamos falando de controle de acesso, nós podemos incluir esse termo aqui: Role Based Access Control. E este termo Role Based Access Control, ou Controle de Acesso Baseado Papéis, se aplica tanto para a gerência dos equipamentos de rede, assim como quando usuário quer ter acesso à rede. Nesse caso eu vou focar no segundo, e aqui obviamente implica que para nós podermos controlar o acesso à rede, nós precisamos saber quais são os usuários que estão pedindo esse acesso. Agora, obviamente, como nós vamos controlar o acesso também depende do equipamento de rede que vai oferecer a ele, e entre alguns deles nós temos switches, também nós temos access points mesmo, os [INCOMPREENSÍVEL] ou, como no caso deste slide, nós podemos falar do controller. Agora, quando nós temos controller, realmente você tem que lembrar que os controladores na Aruba são firewalls, são caixas de multiacesso, e uma das funções que eles suportam é a funcionalidade de firewall. Agora, já que nós sabemos que eles têm essa funcionalidade, é importante entender como ela trabalha, e ela trabalha com algo que nós chamamos de user roles. E o que é role? Role é praticamente uma função, que você pode atribuir a cada dos usuários que estão se conectando à rede. Agora, é importante entender que para poder atribuir a função certa ao user role certo você tem que saber quais são os dispositivos e os usuários por trás desses dispositivos. Então o que nós precisamos é avaliar a identidade do usuário, e isso nós podemos fazer com o processo da autenticação. E aqui nós podemos receber as credenciais com nome de usuário e senha, ou certificado digital. Além disso, nós também podemos analisar características do dispositivo com que o usuário está se conectando, por exemplo, fazer algo que nós chamamos de fingerprinting, que é praticamente saber qual é a categoria do dispositivo de [INCOMPREENSÍVEL], o sistema operacional; o tipo de dispositivo, se é laptop, smartphone, tablet, ou barcode scanner; também nós podemos avaliar o endereço MAC; e outros atributos, como a localização, o access point onde o dispositivo está se conectando ou se ligando. E, finalmente, uma coisa mais que nós poderíamos ter, atributos associados com a conta do usuário. Isso quer dizer que a conta do usuário poderia incluir informação do departamento, ou group membership, etc. Então realmente, para que toda essa informação seja processada, nós realmente temos que eleger método de autenticação. Agora, métodos de autenticação há muitos lá, nós suportamos entre alguns, 802.1x, captive portal, MAC authentication, etc. Agora, é importante entender que quando você tem uma rede empresa, para os empregados normalmente o que nós vamos precisar, o que nós vamos usar é 802.1x. 802.1x é realmente framework, isso quer dizer que é conjunto de funcionalidades que vão fazer possível a autenticação do usuário. Então se nós estamos fazendo 802.1x neste caso, o que o framework especifica são três funções para os dispositivos mesmos. E estas funções eu não estou falando das funções do firewall no controller, eu estou falando das funções dentro do framework de 802.1x, e elas incluem o supplicant, que é praticamente software que vai estar trabalhando dentro do cliente, e é aquilo que vai oferecer as credenciais. Depois nós temos o authenticator, que é o dispositivo de rede que vai bloquear o acesso à rede até que o usuário complete a autenticação. E finalmente nós temos o servidor de autenticação, que é aquilo que vai avaliar a solicitação de autenticação e as credenciais do cliente. Para este último, normalmente é o que nós usamos com 802.1x e o servidor de RADIUS. Este é o nome do protocolo de AAA. AAA é tipo de serviço que significa Authentication and Authorization Accounting, e há dois protocolos lá, TACACS+ é deles e outro é RADIUS. RADIUS é realmente o mais comum para controle de acesso à rede. Agora, com isto na mente, é importante saber que há quarto componente que nós poderíamos ter, mas é importante que ele dentro do framework 802.1x não realmente existe, desse ponto de vista de 802.1x apenas supplicant, athenticator, e authentication server existem, mas a verdade é que dentro de toda esta solução você poderia ter também algum outro servidor, que é aquilo que realmente tem as credenciais, que tem a base de dados onde ficam as credenciais e os atributos dessas credenciais. Esse servidor comumente pode ser servidor LDAP ou, como neste caso, ter active directory de Windows, e realmente o active directory do servidor é a implementação de LDAP da Microsoft. Então realmente ter servidor de LDAP ou active directory é quase a mesma coisa. Agora, já que nós sabemos quais são os componentes dentro do framework 802.1x, é o momento de entender como a solução trabalha. O cliente vai ser associar à rede, ele realmente vai tentar se aliar com esse ID, e aí é quando o supplicant automaticamente vai saber "eu estou pronto para me autenticar com 802.1x". De fato, o authenticator outro lado vai solicitar, vai pedir ao supplicant "ei, por favor, você entregue as suas credenciais". E então o supplicant, que já está pronto, vai fazer isso, vai fazer essa entrega de credenciais, realmente esta mensagem aqui que nós vamos ter vai ser uma mensagem de EAP. A mensagem de EAP significa Extensible Authentication Protocol, e é o protocolo que 802.1x vai usar para o processo de autenticação. Então EAP realmente vai vir encapsulada ou com encapsulamento de 802.11. Então o que eu estou querendo dizer aqui é que realmente o EAP e o payload incluem as credenciais do usuário e isso apenas vai ter cabeçalho 802.11 ou cabeçalho de wi-fi. Agora, quando esta mensagem chega até o controller, ele vai gerar algo que nós chamamos de RADIUS access request. Eu vou usar outra cor para isto, RADIUS access request. E ele inclui realmente dentro dele a informação dentro do EAP. Os dados que ficam dentro do EAP vão ser encapsulados uma vez mais pelo RADIUS, e agora RADIUS vai enviar uma mensagem de RADIUS access request. Outras palavras, o mobility controller vai pegar o payload de EAP, os dados de EAP, e incluir eles dentro de uma mensagem de RADIUS e enviar ela para o servidor de autenticação. Agora, além de incluir as credenciais, isto também pode incluir outros atributos. Nós chamamos de atributos de RADIUS, e esses atributos são informação adicional que o mobility controller pode enviar para o servidor de RADIUS. Agora, o servidor de RADIUS aqui onde ele pode pegar o RADIUS access request, as informações credenciais, os atributos, ele também poderia, por exemplo, fazer fingerprint ao dispositivo do usuário, ao computador, ele poderia também receber informação como qual é o controller que está enviando a solicitação, a hora do dia, e tudo mais. As credenciais podem ficar dentro do servidor de RADIUS, mas neste caso particular realmente nós temos servidor atrás dele que é o servidor de active directory. Aqui é importante entender que active directory, como eu falei há uns minutos atrás, é realmente servidor de LDAP, então o servidor de RADIUS vai enviar uma mensagem de LDAP para active directory e vai incluir as credenciais. LDAP, ou o servidor de active directory, vai avaliar, vai revisar, e ele pode, se tudo der certo, ele poderia realmente contestar com authentication response, ele poderia responder com authentication response e incluir os atributos que estão associados à conta do usuário. E agora é o ponto onde o servidor de RADIUS vai processar o resultado da autenticação, os atributos ligados à conta, as características do dispositivo, se eu fiz fingerprinting, mais os atributos que ele recebeu da mensagem de RADIUS access request. E como resultado agora o servidor de autenticação pode responder com RADIUS access accept e também incluir attributes. Isto é importante, ele pode incluir alguns attributes. Esses atributos o mobility controller poderia entender e com base nelas atribuir uma VLAN ou atribuir uma lista de controlo de acesso ou algo melhor que é exclusivo da Aruba que são as user roles ou as funções do firewall dentro do Mobility Controller. Então é aqui que o Mobility Controller realmente começa a trabalhar como firewall porque quando o servidor de RADIUS está incluindo atributo que nós chamamos de ARUBA User Role, então o Controller vai saber qual a função que ele tem que atribuir ao usuário, por exemplo Employee ou Empregado. Nesse caso agora o Mobility Controller pode atribuir essa função e a função dentro do Mobility Controller está configurada com características de acesso, que incluem políticas de firewall, bandwith contracts ou limites de bandwith e também uma VLAN e algumas outras características de sessão. Então realmente é com estas funções de firewall, estes User Roles como o Mobility Controller, uma vez que o cliente já foi autenticado, pode controlar este cliente. O Mobility Controller pode controlar o tráfego que o cliente gera porque ao cliente foi atribuído User Role e este User Role diz que tráfego, que aplicações e que tipo de pacotes o usuário pode enviar. E se há mensagens ou pacotes que o cliente está a enviar que não são permitidos então o firewall dentro do Controller vai colocar isso no lixo. Mas se os pacotes que o cliente está enviando são permitidos então o Mobility Controller recebe eles desde o AP e uma vez que eles já foram permitidos então podem ir para a rede. Então este é todo o processo que inclui cada destes componentes. Por último temos slide muito semelhante que fala da mesma coisa, mas no lugar do Mobility Controller o que nós temos é apenas Instant Access Point. Você lembra que Instant Access Point pode ser cluster de muitos APs onde deles é o virtual controller. Agora nós não temos uma caixa como tal que tem módulo de firewall lá dentro, mas acontece que os APs da ARUBA quando estão a trabalhar como Instant e geram cluster onde deles é o virtual controller todos eles vão suportar a funcionalidade de firewall dentro deles e é muito poderosa, quase no nível de Mobility Controller. A única limitação é capacidade de tráfego que os access points podem analisar com esse módulo, por outras palavras mesmo que o access point tenha módulo de firewall muito semelhante ao que está dentro dos controllers, a verdade é que a capacidade ou a quantidade de tráfego que esta funcionalidade de firewall pode processar é bem menor, não é tão escalável como controller. No entanto, a verdade é que os Instant Access Points também suportam User Roles ou Funções Usuário com os quais eles poderiam controlar as características da sessão do usuário quando a autenticação do usuário foi bem sucedida. Então vamos analisar isto. O Supplicant vai começar o processo de EAP, o Instant Access Point vai gerar uma mensagem de RADIUS Access Request para o servidor de autenticação e este servidor como vimos anteriormente tem duas opções, avaliar as credenciais localmente, mas se elas não ficam dentro do servidor ele poderia perguntar a servidor de LDAP ou Active Directory. Esse servidor poderia avaliar as credenciais lá e se tudo deu certo ele pode responder com uma mensagem de autentication successful, autenticação bem sucedida e com isso o servidor de RADIUS agora pode analisar toda a informação, o resultado da autenticação, atributos de LDAP, fingerprinting para o dispositivo e tudo mais além dos atributos que ele recebeu do Access Point Instant e finalmente responder com RADIUS Access Accept que inclui a função do usuário. O Instant Access Point vai atribuir esta função para o usuário e depois o cliente já é permitido na rede, mas com as limitações que estão definidas nesta função. Você lembra que vão haver políticas de firewall, limites de bandwith e também uma VLAN entre outras coisas. Então realmente este é o processo completo. A verdade é que independentemente de ter Instant Access Point ou Mobility Controller, o framework, a solução como todo, é bem similar. Por último é importante mencionar que a ARUBA tem servidor de RADIUS, servidor de AAA, bastante robusto, dos melhores no mercado e esse é o Aruba ClearPass. Esse servidor de AAA, servidor de RADIUS, é bem poderoso, inclui funções como portal para convidados, que podemos falar dele no módulo seguinte e também inclui a função de RADIUS, de TACACS, fingerprinting, networking admission control com onGuard e também uma solução de Big IoD com onboard. É realmente produto bem bem poderoso. E bom, com isto já completamos o módulo de segurança na WLAN e controlo do acesso. Eu espero que você tenha gostado do vídeo, que tenha sido informativo para você. Eu verei você no próximo, na parte 2-6, onde eu vou falar do uso das WLANs. Obrigado por assistir. [MÚSICA]
