Nasazení 802.1X
Předejděte 802.1X autentifikačním konfliktům na kabelových sítích
Díky svým skvělým zabezpečovacím vlastnostem byl autentifikační protokol 802.1X široce implementován ve sféře bezdrátových sítích. Pomáhá administrátorům udržovat zabezpečení tím, že jim umožňuje povolovat nebo blokovat přístup k síťovým službám na základě identity klienta. Vzrostla však potřeba lépe zabezpečit i běžné kabelové sítě, takže administrátoři stále častěji nasazují technologii 802.1X i na těchto sítích, přidělují certifikáty a poskytují autentifikaci různým zařízením připojených k LAN portům.
Upravit vaši síť tak, aby podporovala zabezpečení na úrovni portů standardu 802.1X, není maličkost. Zařízení musí poslat autentifikační údaje se správným certifikátem na RADIUS server, který teprve povolí přístup na síť. Aby se zabránilo problémům s konektivitou, je třeba před instalací nových zařízení ověřit funkčnost autentifikací. Nové přenosné nástroje, které podporují technologii 802.1X vám mohou s tímto ověřováním pomoci.
Zde je několik jednoduchých kroků, které můžete následovat:
Krok 1: Nakonfigurujte 802.1x žádost
Pro testování budeme potřebovat identitu na autentifikačním serveru, o které víme, že je v pořádku. Pomocí přístroje s 802.1x žádostí vložte tuto identitu do konfigurace přístroje. Ujistěte se, že jste vybrali správný druh EAP (Extensible Authentication Protocol). Obvyklé příklady jsou EAP-TLS, EAP-TTLS a PEAP-CHAP. Především se ujistěte, že testovací přístroj je nakonfigurován na stejnou autentifikaci, kterou server očekává. Po nastavení EAP na testovacím přístroji vložte příslušné uživatelské jméno a heslo nebo požadovaný klientský certifikát.
Krok 2: Připojte se k síti a autentifikujte se
Lokalizujte síťové porty, ke kterým budou přidána/odebrána/změněna zařízení. Testovací přístroj připojte přímo k portu, který chcete ověřit a vytvořte síťové propojení. Ve většině implementací 801.1X vyšle příslušný přepínač žádost o autentifikaci do přístroje. Testovací přístroj zobrazí, jestli byla úvodní komunikace úspěšná nebo autentifikační proces neuspěl. Pokud se přístroji nepodařilo autentifikovat, ověřte nejdříve nastavení přepínače. Pokud to nepomůže, ověřte údaje nastavené na samotném testovacím přístroji. Poslední šance je kontrola RADIUS serveru, abyste se ujistili, že přístroj posílá žádost o autentifikaci pomocí existujících údajů.
Krok 3: Vyžádejte si DHCP adresu a kontaktujte klíčové služby
Jakmile se přístroj správně autentifikuje a připojí se pomocí 802.1X klienta, použijte ho k připojení na síťovou adresu, ke které má teď přístup. Port přepínače můžete nakonfigurovat pro jakýkoli VLAN. Ověřte adresu, kterou dostal přístroj přidělenu, především jestli je na správné podsíti, která přísluší jeho přihlašovacím údajům. Poté pingněte na klíčová síťová zařízení, abyste se ujistili, že jsou z dané adresy přístupná. Měli byste ověřit připojení k aplikačním serverům, e-mailovým serverům a DNS serverům. Testovací přístroj se správným softwarem vám ušetří čas a úsilí, pokud budete konfigurovat více služeb, zařízení nebo adres.