📖 Resumo - Capítulo 4: Identity & Access Management (IAM)
🎯 CONCEITOS MAIS IMPORTANTES PARA PROVA:
- Autenticação vs Autorização: Autenticação = QUEM você é; Autorização = O QUE pode fazer
- MFA: Combina fatores DIFERENTES (saber + ter + ser)
- Modelos de Acesso: DAC (dono), MAC (rótulos), RBAC (funções), ABAC (atributos)
- Kerberos: Protocolo do AD, usa tickets, NÃO transmite senha
- RADIUS vs TACACS+: RADIUS (UDP, criptografa só senha), TACACS+ (TCP, criptografa tudo)
1️⃣ Fundamentos de IAM
Tríade CIA vs IAM
- Confidencialidade: Apenas usuários autorizados acessam
- Integridade: Dados não alterados por não autorizados
- Disponibilidade: Usuários legítimos acessam quando necessário
- Non-repudiação: Impedir que usuário negue ação realizada
Princípios Fundamentais
| Princípio |
Descrição |
| Menor Privilégio (PoLP) |
Conceder apenas as permissões mínimas necessárias |
| Need to Know |
Acesso apenas a informações estritamente necessárias |
| Segregação de Funções (SoD) |
Dividir tarefas críticas entre múltiplas pessoas |
| Job Rotation |
Rodízio de funções para detectar fraudes |
| Férias Obrigatórias |
Detecta fraudes que exigem presença constante |
⚠️ REGRA DE OURO: Menor Privilégio + Segregação de Funções são a base para prevenir fraudes internas e limitar danos de contas comprometidas.
2️⃣ Modelos de Controle de Acesso
DAC (Discretionary Access Control)
Proprietário do recurso define permissões. Flexível, menos seguro. Ex: NTFS, Linux padrão.
MAC (Mandatory Access Control)
Sistema define por rótulos/clearance. Alta segurança, rígido. Ex: SELinux, sistemas militares. "Write up, read down".
RBAC (Role-Based Access Control)
Permissões por função/cargo. Mais comum em empresas. Ex: Admin, User, Manager.
ABAC (Attribute-Based Access Control)
Políticas baseadas em atributos (tempo, local, dispositivo). Mais granular. Ex: role=manager AND department=dev.
Rule-Based Access Control
Regras definidas pelo sistema. Ex: ACLs em roteadores, acesso condicional.
3️⃣ Fatores de Autenticação (MFA)
🗝️ Tipo 1
Algo que você SABE
Senha, PIN, pergunta secreta
📱 Tipo 2
Algo que você TEM
Smart card, token, celular, YubiKey
👆 Tipo 3
Algo que você É
Biometria (digital, íris, face)
🌍 Tipo 4
Algum lugar que você ESTÁ
Geolocalização, IP, VLAN
✍️ Tipo 5
Algo que você FAZ
Assinatura, padrão de digitação
💡 MFA FORTE vs FRACO:
- ✅ FORTE: Senha (saber) + Biometria (ser) - fatores DIFERENTES
- ❌ FRACO: Senha + SMS - ambos "ter" (SMS é algo que você tem)
Métodos de Autenticação
| Método |
Descrição |
| Senha/Passphrase |
Mais comum, mais fraco se não houver complexidade |
| TOTP (Time-based OTP) |
Código temporário baseado em tempo. Ex: Google Authenticator, Microsoft Authenticator |
| HOTP (HMAC-based OTP) |
Código baseado em contador |
| Push Notification |
Aprovação no celular (Duo, Microsoft Authenticator) |
| Smart Card |
Cartão com chip e certificado. MFA: tem + PIN (sabe) |
| FIDO2/WebAuthn |
Passwordless: biometria/PIN libera chave privada |
4️⃣ Biometria - Métricas
| Métrica |
Descrição |
| FAR (False Acceptance Rate) |
Taxa de aceitar impostores - MAIS GRAVE! |
| FRR (False Rejection Rate) |
Taxa de rejeitar legítimos - frustrante, mas menos grave |
| CER (Crossover Error Rate) |
Ponto onde FAR = FRR. Quanto menor, melhor o sistema |
| FER (Failure to Enroll Rate) |
Falha no cadastro biométrico |
| Throughput |
Velocidade de autenticação |
Tipos de Biometria
- Fisiológica: Impressão digital, íris, retina, face, veia da palma
- Comportamental: Marcha (gait), padrão de digitação, voz
5️⃣ SSO e Federação
SSO (Single Sign-On)
- Autentica uma vez, acessa múltiplos sistemas
- Vantagem: Conveniência, menos senhas
- Risco: Se comprometido, acesso a tudo
Tecnologias de SSO
| Tecnologia |
Descrição |
| SAML |
XML-based, SSO corporativo. IdP + SP. Muito usado em cloud. |
| OAuth 2.0 |
Framework de AUTORIZAÇÃO (não autenticação!). "Login com Google/Facebook". Access tokens. |
| OpenID Connect (OIDC) |
Camada de autenticação sobre OAuth 2.0. ID token em JWT. SSO moderno. |
| Kerberos |
Protocolo do AD, usa tickets. Porta 88. |
6️⃣ Kerberos
Componentes
- KDC (Key Distribution Center): Emite tickets (Authentication Service + Ticket Granting Service)
- Principal: Usuários e serviços
- TGT (Ticket Granting Ticket): Ticket inicial após autenticação
- Service Ticket: Acesso a recurso específico
Fluxo Kerberos
- Usuário solicita TGT ao AS (usa hash da senha)
- AS valida e retorna TGT + session key
- Usuário solicita Service Ticket ao TGS (apresenta TGT)
- TGS retorna Service Ticket
- Usuário apresenta Service Ticket ao Application Server
- Acesso concedido
🔑 PONTOS CRÍTICOS DO KERBEROS:
- Senha NÃO é transmitida pela rede
- Tickets têm timestamp e validade (tolerância de 5 min)
- KDC é ponto único de falha (backup recomendado)
7️⃣ LDAP e Active Directory
LDAP
- Porta 389: sem segurança
- LDAPS: porta 636, com SSL/TLS
- DN (Distinguished Name): CN=Bobby,CN=Users,DC=dominio,DC=com
Active Directory - Hierarquia
🌳 Forest (coleção de árvores)
⬇️
🌲 Tree (domínios com namespace contíguo)
⬇️
🏢 Domain (unidade administrativa)
⬇️
📁 OU (Organizational Unit)
Componentes do AD
- Domain Controller (DC): Servidor que autentica usuários
- Objetos: Usuários, grupos, computadores, pastas compartilhadas
- GPO (Group Policy Object): Configurações centralizadas
Group Policy - Ordem LSDOU
- Local
- Site
- Domínio
- OU (da mais alta à mais baixa)
Regra: Última aplicada prevalece. Deny sempre prevalece sobre Allow.
8️⃣ RADIUS vs TACACS+
|
RADIUS |
TACACS+ |
| Protocolo |
UDP (1812/1813) |
TCP (49) |
| Criptografia |
Apenas senha |
Pacote inteiro |
| AAA |
Combinado |
Separado (mais granular) |
| Proprietário |
Aberto |
Cisco |
| Uso |
Wi-Fi (802.1X), VPN |
Roteadores, switches Cisco |
802.1X e EAP
- 802.1X: Controle de acesso baseado em porta (Wi-Fi corporativo, switches)
- EAP-TLS: Certificados cliente e servidor (mais seguro)
- PEAP: Túnel TLS com autenticação interna
9️⃣ Linux - Usuários e Grupos
Arquivos de Configuração
| Arquivo |
Descrição |
| /etc/passwd |
Informações da conta (username, UID, GID, home, shell) |
| /etc/shadow |
Hashes de senha + aging info. Apenas root lê. |
| /etc/group |
Informações de grupos (nome, GID, membros) |
| /etc/skel |
Modelos para diretório home |
Comandos de Usuário
| Comando |
Descrição |
| useradd -m -s /bin/bash nome |
Criar usuário com home e shell |
| passwd nome |
Definir/alterar senha |
| usermod -aG grupo nome |
Adicionar usuário a grupo suplementar |
| userdel -r nome |
Remover usuário e home |
| chage -M 90 nome |
Expirar senha em 90 dias |
SELinux
- Modos: Enforcing (aplica), Permissive (registra), Disabled
- Implementação de MAC no Linux
🔟 Hardening de Autenticação
Políticas de Senha
- Comprimento mínimo: 12-16+ caracteres
- Complexidade: Maiúscula, minúscula, número, símbolo
- Histórico: 12-24 senhas anteriores
- Idade máxima: 60-90 dias
- Idade mínima: 1 dia (evita troca rápida)
Account Lockout
- Threshold: Número de tentativas até bloquear
- Duration: Minutos bloqueado
- Reset counter: Minutos até resetar contador
Indicadores de Comprometimento
- Account Lockout: Muitas falhas ou senha alterada
- Concurrent Session: Mesma conta em múltiplos locais
- Impossible Travel: Login em locais geograficamente impossíveis
Gerenciadores de Senha
- Armazenam senhas criptografadas
- Geram senhas fortes e únicas
- Riscos: Senha mestra fraca, comprometimento do fornecedor
1️⃣1️⃣ Acesso Remoto
| Protocolo |
Porta |
Descrição |
| SSH |
22 |
Acesso remoto criptografado, substitui Telnet |
| RDP |
3389 |
Remote Desktop Protocol (Windows) |
| Telnet |
23 |
Texto claro - INSEGURO! |
| VNC |
5900+ |
Multiplataforma |
VPN
- Site-to-Site: Conecta redes (matriz-filial)
- Remote Access: Usuários individuais
- Split Tunnel: Só tráfego corporativo via VPN (risco de bypass)
- Full Tunnel: Todo tráfego via VPN (mais seguro)
🎯 DICAS FINAIS PARA PROVA:
- Autenticação = quem é; Autorização = o que pode fazer
- Kerberos: tickets, NÃO transmite senha, tolerância de 5 min
- RADIUS: UDP, criptografa só senha; TACACS+: TCP, criptografa tudo
- FAR (aceitar impostor) é MAIS GRAVE que FRR (rejeitar legítimo)
- GPO: ordem LSDOU (Local, Site, Domain, OU) - última prevalece
- Deny sempre prevalece sobre Allow no Windows
- Linux: /etc/passwd (info), /etc/shadow (senhas), /etc/group (grupos)