Historisk har dette vært uoverkommelig vanskelig fordi for å håndheve noen policy av brukeren på en brannmur eller router eller switch, må du autentisere brukeren i brannmuren, ruteren eller svitsjen, og disse enhetene ble utviklet for å være gjennomsiktig. Det vil si at brukeren ikke engang vet eller bryr seg hvilke eller hvor mange av disse enhetene eksisterer i banen mellom hans klient og server.

I de siste årene, noen funksjoner har gradvis gjort veien til nettverksenheter som gjør dette verdt å gjøre, men de er fortsatt ganske tungvint for brukeren og ikke veldig populært. Det første settet av funksjoner bør du vurdere å utplassere dreier seg om godkjenning. En av de enkleste måtene å gjøre dette innebærer at brukeren starter en telnet, FTP eller HTTP sesjon til nettverksenheten, som er konfigurert til å utfordre brukeren om navn og passord, og muligens digitalt sertifikat eller andre multi-faktor autentisering. Noen eksempler på teknologier som bruker denne metoden er " Lock and Key " og " Auth proxy ".

Ulempen med dette er at brukeren må huske et domenenavn eller IP-adressen til å godkjenne, og åpne en nettleser eller kommandolinje (som er irriterende hvis alt du ønsker å gjøre er å kjøre et regnskapsprogram eller tilgang til en fil server). Kanskje i ikke altfor fjern fremtid 802.1x kunne brukes for en mer sømløs opplevelse, men vi vil trolig måtte vente på IPv6 for en reell løsning.

Selvfølgelig, som en del av autentisering, du ' ll trenger en konto database. Gitt natur nettverk, er du lurt i å distribuere en RADIUS eller tacacs server. Mange freeware produkter er tilgjengelig.

Den andre delen av dette er autorisasjon. Når brukeren autentiserer, kan ruteren eller brannmur (som var blokkerer all trafikk til ressursen) ta brukerspesifikke tilgangslister og legge dem til sine eksisterende ACL. For eksempel, endre " benekter all trafikk til serveren " til " tillate port 80 til serveren, men bare fra IP-adressen som brukeren bare godkjent ". Denne midlertidige endringen i ACL forblir inntil den utløper. Noen leverandører støtter nedlasting av disse midlertidige ACL fra RADIUS-server, noe som kan være ganske hendig.

En viktig ting å vite om disse teknologiene er at selv om autentisering kan kreve brukernavn og passord, en token, retinal skanning og kanskje litt blod arbeid, er fullmakten fortsatt bare av IP-adresse. Det er egentlig bare en hack for å håndtere dynamiske adresser. Det vil si, hvis brukeren hadde en statisk IP-adresse, kan du bare legge til disse reglene permanent til ACL og oppnå tilsvarende sikkerhet. Hvis en bruker autentiserer og blader, og noen andre tar deres IP-adresse før ACL utløper, vil ruteren eller brannmur aldri vite.

Tom Lancaster, CCIE # 8829 CNX # 1105, er en konsulent med 15 års erfaring i nettverk bransjen, og medforfatter av flere bøker om nettverk, sist, etter CCSP ^{TM: Secure PIX og sikker VPN Study Guide utgitt av Sybex.}