27 видео на IT - тематику на нашем YouTube канале

ћерион Ќетворкс

4 минуты чтени€

ѕредставьте себе, что р€дом с вами в организации есть сетева€ розетка и все, что туда подключаетс€, автоматически получает туда доступ. Ћюбые устройства - даже если они €вл€ютс€ "шпионскими" или не авторизованными.

¬ы конечно скажете - но есть же простой, как тапок, протокол под названием Port Security!

¬ерно, но как он работает? ¬ы либо указываете MAC-адрес, который может подключитьс€ к порту и получить доступ в сеть, либо указываете какое-то количество таких MAC адресов, которые будут динамически опознаны коммутатором или смешиваете два этих способа.

Ќо что если вы находитесь в публичной зоне, например там, куда вы приглашаете клиентов, или, к примеру вы находитесь на некой веранде, откуда зачастую можно работать. “ам внедрЄн Port Security, все нормально.

Ќо вдруг ваш ноутбук кто-то умудрилс€ ловко спереть и что тогда? ” кого-то постороннего по€витс€ доступ в вашу сеть, так как доступ по его MAC-адресу разрешен. “ут-то и вступает в дело 802.1X - он позвол€ет проводить аутентификацию не устройства, но пользовател€. “аким образом, если устройство будет украдено, злоумышленники все равно не получат доступ в сеть.

Ћогичным вопросом будет " ак же € обеспечу гостей доступом в сеть без предоставлени€ им полного доступа"? ќтвет - легко, и вариантов дес€тки: гостева€ учетка и гостевой VLAN, специальный портал саморегистрации дл€ гостей и так далее и тому подобное.

“акже некоторые скажут - ну конечно, у мен€ в компании доступ к беспроводной сети так и организован, через синхронизацию с AD и по учетным запис€м пользователей. Ќо как это работает в случае проводного доступа? —разу отвечу, что 802.1X используетс€ как в беспроводной сети, так и в проводной. ѕодробнее о принципе действи€, его компонентах € расскажу ниже.


»з чего состоит 802.1X

” 802.1X есть три основных компонента - суппликант, аутентификатор и сервер аутентификации. —уппликант - это ваше оконечное устройство и пользователь с определенным ѕќ (здесь нет смысла углубл€тьс€ в различные виды суппликантов).

јутентификатор - это коммутатор или точка доступа (первое сетевое устройство уровн€ доступа, на который пришел трафик с суппликанта.

», наконец, сервером аутентификации €вл€етс€ специальное ѕќ или устройство, принадлежащее к классу NAC - Network Access Control, или средствам контрол€ сетевого доступа.  онкретный класс решений дл€ реализации 802.1X называетс€ RADIUS-сервером.

»так, пор€док подключени€ следующий: вы пытаетесь получить доступ в сеть и аутентификатор говорит - предъ€вите, пожалуйста документы. ¬аше устройство (суппликант) предоставл€ет нужную информацию - логин и пароль, сертификат, обе этих сущности вместе и прочие. ƒалее аутентификатор отправл€ет полученную информацию на сервер аутентификации и ждЄт ответа. ƒалее, в базовом варианте, сервер аутентификации отправит обратно на аутентификатор разрешение и после этого аутентификатор разрешение суппликанту. ƒо этого момента почти никакой трафик разрешен не будет!

¬ажно понимать, что в сторону аутентификатора уходит фрейм с определенным регистром (дл€ этого и нужен суппликант), а аутентификатор энкапсулирует отправл€ет полученную информацию от суппликанта в сторону сервера аутентификации как IP Ц пакет (чтобы его можно было маршрутизировать).


ѕротоколы в технологии 802.1X

ƒавайте теперь подробнее поговорим о протоколах в этой технологии Ц так как 802.1X €вл€ет собой неикий собирательный термин. ќсновных протоколов 2 Ц EAPoL (Extensible Authentication Protocol over LAN) и RADIUS (Remote Authentication Dial-In User Service).

≈сть очень простые и не очень безопасные формы EAP и очень надежные, но крайне сложные в настройке. ¬ простейшем виде будет необходим только логин и пароль. ¬ более сложных Ц сертификат, токен и прочее. ≈сть правило Ц чем проще настроить EAP Ц тем он менее взломостойкий и наоборот :)

¬ наше врем€ одним из попул€рных и очень умных RADIUS Ц серверов €вл€етс€ Cisco ISE. ќн позвол€ет авторизовывать пользователей в зависимости от их контекста: „то за устройство?  то? √де?  огда? Ѕыло ли устройство скомпрометировано ранее? и автоматически профилировать каждое подключенное устройство дл€ того, чтобы понимать какие устройства есть у вас в сети и в каком состо€нии они наход€тс€ Ц многие даже не подозревают о том, как много у них в организации подключено неизвестных устройств (при количестве пользователей более 1000).

Ќиже на диаграмме можно увидеть весь процесс установлени€ соединени€ при использовании 802.1X:

ѕоследовательна€ диаграмма установлени€ соединени€ с 802.1X

ѕолезна ли ¬ам эта стать€?


Ёти статьи могут быть вам интересны: