segunda-feira, 21 de novembro de 2016

802.1X

O padrão IEEE 802.1X define portas baseadas em controle de acesso com protocolos de autenticação que restringe dispositivos não autorizados de conectar na rede (LAN) através de portas de acesso público.

802.x Members:
  • Suppicant (host) = EAP-TLS - EAP-PEAP - EAP-LEAP
  • Authenticator (switch) - RADIUS or TACACS
  • Autehtication server
Papéis específicos dos dispositivos 802.1X:
  • Client(supplicant): O dispositivo workstation que requer o acesso  na LAN e os serviços de switch. As workstations devem estar rodando 802.1X-compliant client software.
  • Authentication Server: Realiza a autenticação do cliente. O server valida a identidade do cliente e notifica o switch se ou não o cliente esta autorizado par acessar a rede
  • Switch(authenticator): Controla o acesso físico na rede baseado no status da autenticação do cliente. O switch age como um proxy intermediário entre o cliente(supplicant) e o servidor de autenticação. 
Os servidores de autenticação autenticam cada workstation que esta conectada em uma porta do switch antes de disponibilizar os acessos aos serviços oferecidos.

Até a workstation estar autenticada, o protocolo 802.1X permite somente o tráfego do protocolo EAPOL (Extensible Authentication Protocol) através da porta que a workstation esta conectada.

Como o switch age como um proxy, o serviço de autenticação é transparente para o cliente, considerando esse cenário o Remote Authentication Dial-In user Service (RADIUS) server com extensões EAP suportado no servidor de autenticação.

Opções de configuração de autorização de acesso nas interfaces usando o comando: dot1x port-control auto
  • Force-authorized: Desabilita 802.1X port autenticação e causa uma transição na porta para o estado de autorizado sem nenhuma autenticação requirida. (configuração default)
  • Force-unauthorized: Causa a porta para manter em não autorizado estado, ignorando todas as tentativas do cliente para autenticar. O switch não pode prover autenticação através da interface.
  • Auto: Habilita 802.1X port based autenticação e força a porta para começar a não autorizar o acesso, permitindo somente os frames EAPOL.

Exemplo de configuração:

Switch(Config)# aaa new-model (habilita o swith a suportar AAA)
Switch(Config)# radius server host 10.10.10.10 key pass (configura o servidor radius e a senha)
Switch(Config)# aaa authentication dot1x default group radius (especifica o  tipo de autenticação)
Switch(Config)# dot1x system-auth-control (habilita dot1x)
Switch(Config-if)# dot1x port-control auto (configura o tipo de autorização de acesso na interface)

802.1X somente suporta RADIUS authenticator Server com extensões EAP

Nenhum comentário:

Postar um comentário

Deixe seu comentário!