Jump to content

802.х стоит ли?

user_145
 Share

Recommended Posts

user_145

user_145

Posted
Posted (edited)

Доброго времени суток.

 

Хотелось заюзать в сети такую схемку:

 

пользователь включает комп вводит логин-пароль и ему радиус выдает его айпи с помощью 802.1Х.

И тогда я уверен, что юзер 45 это 192 168 99 45.

 

Кто что думает о 802.1Х и вообще кто-то пробовал эту беду?

Edited by user_145
A79

A79

Posted
Posted

идея хорошая, сплош применяется у интерпрайза тока почасти безапастности.Но тока в домашней сетке проще мас адреса в DHCP зарезервировать? чем бегать по юзверям и предлагать им авторизаватьтся по md5 :)

user_145

user_145

Posted
  • Author
Posted

Но тока в домашней сетке проще мас адреса в DHCP зарезервировать? чем бегать по юзверям и предлагать им авторизаватьтся по md5 :)

Ну и что тут страшного? :)

No_name

No_name

Posted
Posted

идея хорошая, сплош применяется у интерпрайза тока почасти безапастности.Но тока в домашней сетке проще мас адреса в DHCP зарезервировать? чем бегать по юзверям и предлагать им авторизаватьтся по md5 :)

Ну и ничего такого, будет нужно-научатся, а то блин порой до смеха доходит, не знают где кнопка пуск в винде. Пусть повышают свой уровень :)

Tt002

Tt002

Posted
Posted
Хм.. а как быть с тем что не поддерживает этот механизм тогда
В таком случае на том порту где СТБ, VoIp девайсы и прочее не включать 802.1x.

Ну и плюс IP-mac-port binding на всех портах.

Kaban

Kaban

Posted
Posted

В dot1.x не силен, поэтому возник вопрос - а если на одном порту свича который поддерживает dot1x висит 5-ти портовый тупой свич ? Допускается в этом случае аутентификация отдельных МАК-адресов а не порта в целом ?

andriko

andriko

Posted
Posted
нет

немного даже сложнее, видел у длинка картинку, где к каждому порту хабик а не нем 3 рабстанции, а сам длинк авторизирует по трех маках. Почему по трех? Сами наверное не знают :)

user_145

user_145

Posted
  • Author
Posted

Хм.. а как быть с тем что не поддерживает этот механизм тогда

В таком случае на том порту где СТБ, VoIp девайсы и прочее не включать 802.1x.

Ну и плюс IP-mac-port binding на всех портах.

+1

 

Я в плане того, что в порт 802.1х включаю машину пользователя.

А если маршутизаторы и тп то мне тогда уже не нужно 802.1ха.

 

 

В dot1.x не силен, поэтому возник вопрос - а если на одном порту свича который поддерживает dot1x висит 5-ти портовый тупой свич ? Допускается в этом случае аутентификация отдельных МАК-адресов а не порта в целом ?
Ну народ зачем технологию сразу "кулибить" ?
Alferov

Alferov

Posted
Posted
В dot1.x не силен, поэтому возник вопрос - а если на одном порту свича который поддерживает dot1x висит 5-ти портовый тупой свич ? Допускается в этом случае аутентификация отдельных МАК-адресов а не порта в целом ?

Да. MAC-Based auth.

LostSoul

LostSoul

Posted
Posted
Выдать то он его выдаст. А вот клиент (если это ethernet) его не примет. Только на впн или диалап. ((

Почему не примет-то? Сперва проходит авторизация доступа к среде.... сервер ( комбинированный самописный 802.x авторизации и dhcp ) примет запрос, авторизует доступ к среде и запомнит что на таком-то маке висит юзер с таким логином ( или ключем ).

 

После этого на данный мак можно по dhcp отдавать нужный адрес.

 

 

Я это предлагал ещё давным давно, для полностью неуправляемой сети ( на простых свитчах )

 

Что каждая винда думает что она авторизуется к среде, а реально просто подтверждает для сервера с файрволом, что данный MAC имеет такой-то подлинный приватный ключ.

Барий

Барий

Posted
Posted
Почему не примет-то? Сперва проходит авторизация доступа к среде.... сервер ( комбинированный самописный 802.x авторизации и dhcp ) примет запрос, авторизует доступ к среде и запомнит что на таком-то маке висит юзер с таким логином ( или ключем ).

 

После этого на данный мак можно по dhcp отдавать нужный адрес.

А кто сказал что авторизация будет сперва, а потом уже выдача адреса? Да и какой запрос примет сервер? В данном случае надо будет принудительно авторизовывать клиента (причем EAPOL на L2), а не ждать пока он сам соозволит чего-то там спросить (кстате он вообще не захочет ничего запрашивать).

 

То, что "каждая винда умеет", еще не значит, что она должна вообще это делать и именно в такой последовательности.

Kuzmich

Kuzmich

Posted
Posted

802.1х успешно использую в сетях абонентского доступа. Работает.

Одно плохо - 802.1х не может сконфигурировать комп абонента. Вся польза от него - что можно не фиксировать MAC-адрес абонента навсегда, а привязывать его к логину в момент авторизации. Если аксесс-коммутаторы еще и умные, т.е. умеют ограничивать количество изучаемых MAC-адресов на порту одним адресом - мы защищены от подмены абонентом мак-адреса. Но все пляски с подменой IP-дреса остаются, и следить за парами (а теперь даже за тройками!) MAC-IP-LOGIN всё равно приходится.

 

Если под 802.1х понимать несколько больше, чем обычно понимают производители оборудования, например почитав RFC 3580 - можно добиться очень интересных и полезных эффектов, осталось только уговорить производителей оборудования его поддерживать. Что частично сделано....

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.