1. Location:
  2. / Computer learning >> Datamaskin læring >> cyber security >> nettverk >> Lan-Local Area Networks >>

Konfigurering av LAN-kantsvitsjer for nettverkstilgang authentication

I datasenteret, har IT full kontroll over hvem som kan plugge noe inn i nettverket, og som kan ha fysisk tilgang til en enhet i nettverket. Utenfor datasenteret, det er ikke tilfelle. I LAN, det er der autentisert nettverkstilgang kommer i. Det sikrer at brukerne oppgir legitimasjon på bryteren for å snakke med noe utover i nettverket.

Hvordan slå basert nettverkstilgang autentisering fungerer < .no>

IEEE 802.1X standard styrer godkjent tilgang, og både kablede og trådløse nettverk kan kreve 802.1X-godkjenning før det gis tilgang. Standarden definerer trafikk mellom tre enheter: supplikanten, godkjenningsinstansen, og godkjenningsserveren.
Les denne serien på LAN kanten bryter sikkerhetsfunksjoner
LAN kanten bryter sikkerhetsfunksjoner: Switch ACLS; filtrering port trafficIntegrating LAN kantsvitsj sikkerhet med NAC

Søkeren er datamaskinen (eller annen enhet) prøver å koble gjennom autentifikatoren - bryteren eller tilgangspunktet. De kommuniserer via Extensible Access Protocol (EAP). Bryteren eller tilgangspunktet bruker Remote Authentication Dial-In User Service (RADIUS) protokollen for å sende legitimasjon til godkjenningsserveren (AS), som sjekker dem og sender tilbake enten en suksess eller en fiasko, akseptere eller nekte søkeren.

Velge riktig RADIUS-servere og klargjøring dem for 802.1X og EAP

For autentisert nettverkstilgang til arbeid, må nettverket en RADIUS-server som støtter EAP. Aktivere Network Policy Server på en Windows-server (Internet Authentication Service, før Windows 2008) gir tjenesten i et Windows-domene. Mange andre RADIUS-servere er tilgjengelige fra nettverksleverandørene, inkludert Alcatel-Lucent, Cisco og Juniper. Freeware er også tilgjengelig. Nøkkelen til langsiktig administrasjon er å sørge for din RADIUS tjenesten er koblet til domenet autentiseringstjeneste (det være seg Active Directory, Lightweight Directory Access Protocol, eller noe annet), og at det ikke opprettholde et eget sett med legitimasjon.

For å gjøre RADIUS-serveren 802.1X-klar, må en admin sette opp en nøkkel og få et digitalt sertifikat. (Dette kan ha blitt gjort for å støtte en annen sikkerhetsapparat, for eksempel en VPN konsentrator.) Enhver OpenSSL klient eller Windows IIS-server kan be om et sertifikat med de rette attributtene på plass. De sikreste systemer bruker EAP-TTLS eller PEAP, som krever sertifikater på klientmaskinene også, men dette er valgfritt. Dette er ikke nødvendig med EAP-TTLS.

Også anmodere må støtte EAP og grasiøst håndtere overgangen fra un-klarert tilstand (svart hull VLAN og adresse) til den klarerte tilstand (brukbare IP-adresse og VLAN) . Noen operativsystemer eldre stasjonære ikke gjøre det bra med dette, men selv Windows XP (post service pack 1) er tilstrekkelig.

Aktivering av LAN-bryter sikkerhets

Det neste trinnet er å aktivere sikkerhet på bryterne. Metoder varierer fra bryteren leverandøren, men skal se omtrent slik ut (med faktiske IP-adresser substituerte): radius server host 192.168.001.001 nøkkelen RadiusServersEncryptionKey aaa autentisering dot1x standard radius dot1x system-auth-kontrollgrensesnitt Ethernet g2-G48 dot1x port-kontroll auto

Det er:
Fortell bryteren hva RADIUS-server for å snakke med.
Fortell det å bruke RADIUS autentisering med 802.1X.
Fortell det til å slå på 802.1X
Fortell det til å kreve 802.1X på porter g2 gjennom G48

Mange varianter er mulig..; for eksempel kan man ønsker å ha et VLAN som autentisering ikke er nødvendig, men som gir tilgang til Internett, og er ikke til resten av bedriftens LAN: grensesnitt Ethernet g2-G48 dot1x port-kontroll auto unauth-vlan 13

Angi nettverkstilgang autentisering for spesifiserte brukergrupper

Valget om å kreve nettverksgodkjenning, og hva de skal gjøre med uautoriserte forsøk på tilgang, må være drevet av en nøye vurdering av bruker populasjoner og kan straffes for bestemte brukergrupper eller scenarier. En organisasjon kan være lurt å gi mobile, midlertidige Internett-tilgang uten legitimasjon til bruker populasjoner som konsulenter eller profesjonelle tjenester ansatte samtidig ikke ønsker å gi datasenteret tilgang. Den samme organisasjonen kanskje vil kreve autentisering for noen tilgang av en bruker å plugge inn i en vanlig kontor nettverk jack på antagelsen om at eneste selskapet ansatte bør være å bruke dem for å få tilgang.

Jo flere brytere, RADIUS-servere, og relevant VLAN du har, desto viktigere blir det ikke bare å opprettholde standard " golden " bytte konfigurasjoner, men å bruke automatiske konfigurasjonsverktøy og kjøre konfigurasjonsrevisjoner konsekvent.

Les neste del av denne serien på intelligent kantsvitsjer, diskutere integrering av LAN kantsvitsj sikkerhet med NAC.