Jump to content

802.1 x Authentication

mav
 Share

Recommended Posts

mav

mav

Posted
Posted

Сейчас многие свичи с поддержкой 802.1 x Authentication на порту, как происходит эта авторизация на стороне клиента, дает ли она какую-то безопасность?

karyon

karyon

Posted
Posted

Порт коммутатора "выключен" если пользователь не авторизирован, безопастность отличная. Но для того, чтобы Windows поддерживал данную технологию нужно поставить неприятное количество патчей.

Nallien

Nallien

Posted
Posted

а к слову действительно, ЧТО авторизирует ?? кто выдаст приглашения к логину пользователю ? свитч ? в какой форме? после какого запроса и куда ?

karyon

karyon

Posted
Posted
karyon, хм.. у вас виндвоз не правильный...

У клиентов неправильный :(.

 

а к слову действительно, ЧТО авторизирует ?? кто выдаст приглашения к логину пользователю ? свитч ? в какой форме? после какого запроса и куда?

При подключении к сети, на таскбаре (возле часов) появляется уведомления при щелчке на котором, открывается стандартное окно ввода имени пользователя и пароля (как при авторизации по модему), далее вводите данные, коммутатор проверяет правильность по своей таблице либо запрашивает у внешнего radius-сервера, если данные верны сетевое подключение активируется и можете работать в сети.

Через хх сек авторизация производится заново по введенным ранее данным. Протокол EAP.

Shiva

Shiva

Posted
Posted

karyon,

Shiva писал(а):

 

а к слову действительно, ЧТО авторизирует ?? кто выдаст приглашения к логину пользователю ? свитч ? в какой форме? после какого запроса и куда?

Это не я писал :)

Nallien

Nallien

Posted
Posted

хммммм :) надо попробовать.

 

mav, а что, собственно - мало ? мак и айпи - меняется, логин и пароль - уже не так просто.

ram_scan

ram_scan

Posted
Posted

Кстати можно настроить коммутаторы так, чтобы без авторизации клиента пускало в "гостевой" вилан, а после авторизации в рабочий. Оч удобно и красиво получается.

Kuzmich

Kuzmich

Posted
Posted

В зависимости от мозгов коммутатора в запросе к радиусу на авторизацию может присутствовать много дополнительной инфы - идентификатор коммутатора (практически всегда есть), номер порта, MAC-адрес клиента.

 

В зависимости от тех же мозгов коммутатор может принимать от радиуса большой набор параметров для порта - номер VLAN, ограничение скорости на порту, приоритет 802.1p... В принципе, нет никаких ограничений на то, чтобы все port-based настройки коммутаторов скармливать через радиус в ответ на запрос авторизации - только мало кто из производителей реализовал что-то посерьезнее, чем "можно-нельзя"...

 

Нативная поддержка 802.1х есть начиная с Windows 2000 (только по умолчанию отдизейблена, нужно поднять сервис типа "конфигурация беспроводной сети"). Для 9X существуют сторонние клиенты. На юниксе - xsupplicant (если склероз не изменил).

 

У меня есть надежда убедить одного из производителей сделать для его линейки Access-уоммутаторов дополнительную хитрую функциональность - по ответу от радиуса поднимать на порту эмуляцию DHCP-сервера, который будет отдавать только полученный с радиуса IP-адрес, с одновременным поднятием ACL, фильтрующим только этот IP.

Nailer

Nailer

Posted
Posted
В зависимости от мозгов коммутатора в запросе к радиусу на авторизацию может присутствовать много дополнительной инфы - идентификатор коммутатора (практически всегда есть), номер порта, MAC-адрес клиента.

 

В зависимости от тех же мозгов коммутатор может принимать от радиуса большой набор параметров для порта - номер VLAN, ограничение скорости на порту, приоритет 802.1p... В принципе, нет никаких ограничений на то, чтобы все port-based настройки коммутаторов скармливать через радиус в ответ на запрос авторизации - только мало кто из производителей реализовал что-то посерьезнее, чем "можно-нельзя"...

 

Нативная поддержка 802.1х есть начиная с Windows 2000 (только по умолчанию отдизейблена, нужно поднять сервис типа "конфигурация беспроводной сети"). Для 9X существуют сторонние клиенты. На юниксе - xsupplicant (если склероз не изменил).  

 

У меня есть надежда убедить одного из производителей сделать для его линейки Access-уоммутаторов дополнительную хитрую функциональность - по ответу от радиуса поднимать на порту эмуляцию DHCP-сервера, который будет отдавать только полученный с радиуса IP-адрес, с одновременным поднятием ACL, фильтрующим только этот IP.

 

Это уже давно есть.

Называется DHCP Snooping + option82 + IP Source Guard.

Dynamic ARP Inspection туда же.

 

Только стоит дорого - это есть в 3560/3750.

LostSoul

LostSoul

Posted
Posted

Так :) А вот теперь главный вопрос - а можно ли поставить 802.1X демон посередине неуправлямой сети, который бы используя "предустановленный" в Windows клиентов службу аутентефикации, проверял подлинность компьютеров?

 

То есть что данный IP и MAC действительно имеет этот сертификат или логин-пароль.

 

Вместо дурных программ-пинговалок...

Nailer

Nailer

Posted
Posted
Так :) А вот теперь главный вопрос -  а можно ли поставить 802.1X демон посередине неуправлямой сети, который бы используя "предустановленный" в Windows клиентов службу аутентефикации, проверял подлинность компьютеров?

 

То есть что данный IP и MAC действительно имеет этот сертификат или логин-пароль.

 

Вместо дурных программ-пинговалок...

 

:-)

 

Ну неполучится из неуправляемого говна конфетку сделать, не получится, сколько еще раз надо сказать..

LostSoul

LostSoul

Posted
Posted
:-)

 

Ну неполучится из неуправляемого говна конфетку сделать, не получится, сколько еще раз надо сказать..

 

Если всё может получится так, как я себе представляю - то это хорошая альтернатива, для тех сетей кто до сих пор использует связки mac/ip.

Kuzmich

Kuzmich

Posted
Posted

Либо аксесс-коммутаторы должны быть управляемыми, либо с изоляцией портов. Во втором случае весь трафик с клиентских портов должен прокидываться приват-вланами на центральный коммутатор с поддержкой 802.1х, который умеет авторизовать по MAC-адресам, а не по портам. Только большинство "ширпотреба" умеют не более 16 маков на порт по 802.1х авторизовать, насколько я знаю.

 

Только стоит дорого - это есть в 3560/3750.

А вот я хочу по цене 15у.е. за порт получить такое. Причем еще и без дополнительного ПО в виде тонко настроенного DHCP-сервера и всяческих связок snmp...

vIv

vIv

Posted
Posted
Так :) А вот теперь главный вопрос - а можно ли поставить 802.1X демон посередине неуправлямой сети, который бы используя "предустановленный" в Windows клиентов службу аутентефикации, проверял подлинность компьютеров?

 

То есть что данный IP и MAC действительно имеет этот сертификат или логин-пароль.

 

Можно. Но это не запретит соседям ставить себе МАС соседа. Сосед откроет доступ - и вселоманутся под видом его =)

Kuzmich

Kuzmich

Posted
Posted
Так :) А вот теперь главный вопрос - а можно ли поставить 802.1X демон посередине неуправлямой сети, который бы используя "предустановленный" в Windows клиентов службу аутентефикации, проверял подлинность компьютеров?

 

То есть что данный IP и MAC действительно имеет этот сертификат или логин-пароль.

 

Можно. Но это не запретит соседям ставить себе МАС соседа. Сосед откроет доступ - и вселоманутся под видом его =)

 

Запретит. Использование тех-же перепаянных мыльниц, устраивающих изоляцию трафика - т.е. абонент может послать пакет только через аплинковый порт, и никак не соседу. Враг просто не сможет вычислить мак соседа без затроянивания последнего.

LostSoul

LostSoul

Posted
Posted
Запретит. Использование тех-же перепаянных мыльниц, устраивающих изоляцию трафика - т.е. абонент может послать пакет только через аплинковый порт, и никак не соседу. Враг просто не сможет вычислить мак соседа без затроянивания последнего.

 

Не , перепаянные мыльницы это хреновая идея... вся красота то решения как раз в том, чтоб локальный трафик через центр не гонять)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.