IEEE 802.1X

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку

IEEE 802.1X — протокол контролю доступу клієнт-сервер, що дозволяє встановлювати автентичність та забороняє підключатись до локальної мережі через загальнодоступні порти комутатора. До того, як клієнта буде автентифіковано, згідно протоколу 802.1X дозволяється пересилка лише трафіку Протоколу розширеної перевірки автентичності через локальну мережу (Extensible Authentication Protocol over LAN, EAPOL) через порт, до якого підключений клієнт. Після успішної автентифікації звичайний трафік може проходити через порт. Аутентифікація 802.1X передбачає три сторони: заявник (supplicant), автентифікатор (authenticator) та сервер автентифікації (authentication server). Заявник — це клієнтський пристрій (наприклад, ноутбук), який під'єднується до локальної мережі або бездротової локальної мережі. Термін «supplicant» також може позначати програмне забезпечення, яке працює на клієнтському пристрої та надає облікові дані автентифікатору. Аутентифікатор — це мережевий пристрій, такий як комутатор Ethernet або бездротова точка доступу. Сервер автентифікації, зазвичай, хост, який підтримує протоколи RADIUS і EAP. У деяких випадках програмне забезпечення сервера автентифікації може працювати на апаратному засобі автентифікатора.[1]

Пакети EAP від Заявника до Автентифікатора інкапсулюються у фрейми EAPOL, від Автентифікатора до Сервера аутентифікації — RADIUS

Стани портів[ред. | ред. код]

802.1X-2001 визначає два логічних стани для порту Автентифікатору — «контрольований порт» і «неконтрольований порт». Контрольований порт керується 802.1X PAE (Access Entity Port), щоб дозволити (у авторизованому стані) або заборонити (у несанкціонованому стані) мережевий трафік, який передається або приймається через цей порт. Неконтрольований порт використовується 802.1X PAE для передачі та прийому кадрів EAPOL.

Процес перевірки автентичності[ред. | ред. код]

  • Автентифікатор відправляє пакет «EAP-Request / Identity» заявнику, як тільки він виявить, що з'явився несучий сигнал, наприклад, при підключенні клієнтського обладнання до порту.
  • Заявник надсилає автентифікатору пакет «EAP-Response / Identity», який потім передається на Сервер аутентифікації (RADIUS).
  • Сервер аутентифікації відправляє текстове повідомлення, яке має зашифрувати Заявник, автентифікатору. Автентифікатор з повідомлення виокремлює інформацію L2 та інкапсулює повідомлення в кадр EAPOL і відправляє його заявнику. В залежності від способів автентифікації це повідомлення а також їх кількість може різнитись. EAP підтримує лише клієнтську автентифікацію та двосторонню автентифікацію. Лише двостороння автентифікація вважається доречною при встановленні підключення через бездротові мережі.
  • Заявник опрацьовує повідомлення через автентифікатора та передає відповідь на сервер автентифікації.
  • Якщо Заявник підтверджує ідентичність, сервер автентифікації відповідає повідомленням про успішну аутентифікацію, яке потім передається Заявнику. Автентифікатор тепер дозволяє отримати доступ до локальної мережі (можливо, обмежений на основі атрибутів, повернутих з сервера автентифікації).[2]
Auth dot1x.tif

При активації контролю доступу 802.1X на портах комутатора, можливі такі варіанти розвитку подій:

  • Якщо клієнт підтримує клієнтське програмне забезпечення, сумісне з 802.1X, а облікові дані надані Заявником є дійсними, то 802.1X аутентифікація виконується успішно, і Автентифікатор надає Заявнику доступ до мережі.
  • Якщо перевірка автентичності 802.1X провалилась під час очікування обміну повідомленнями EAPOL, Автентифікатор може використовуйте альтернативні методи автентифікації, наприклад, протокол автентифікації за допомогою MAC-адрес (MAB) або веб-інтерфейс аутентифікації (webauth):
    • Якщо включена аутентифікація за допомогою MAC-адрес, то комутатор надсилає MAC-адресу клієнта до Серверу аутентифікації для авторизації. Якщо MAC-адреса Заявника є дійсною, авторизація виконується успішно і цей Автентифікатор надає Заявнику доступ до мережі.
    • Якщо ввімкнена веб-аутентифікація, Автентифікатор надсилає клієнту сторінку входу HTTP. Автентифікатор реєструє ім'я користувача та пароль Заявника на сервері Сервері аутентифікації для авторизації. Якщо облікові дані є дійсними і вхід в систему вдається, Автентифікатор надає Заявнику доступ до мережі.
  • У разі помилки ідентифікації Заявника, а також якщо налаштована гостьова віртуальна мережа (VLAN) налаштований комутатор призначає клієнта гостьовій VLAN, яка надає обмежені послуги.
  • Якщо комутатор отримує недійсні облікові дані клієнта, що підтримує стандарт 802.1X, порт залишається в неавторизованому стані та приймає лише EAP пакети.[3]

Автентифікація 802.1X з використанням MAC-адреси[ред. | ред. код]

Комутатори для авторизації клієнтів можуть використовувати клієнтську MAC-адресу за допомогою функції обходу MAC-аутентифікації. Виправдане використання цієї функції на портах 802.1X, підключених до пристроїв, таких як принтери. Коли на порту 802.1X активовано функцію обходу перевірки автентичності MAC, комутатор використовує MAC-адресу як облікові дані. Сервер аутентифікації має базу даних клієнтських MAC-адрес, яким дозволений доступ до мережі. Після виявлення клієнта на порту 802.1X, комутатор чекає Ethernet пакет від клієнта. Автентифікатор надсилає Серверу автентифікації кадр на доступ до мережі, в якому замість імені користувача та паролю використовується MAC-адреса. Якщо на Сервері автентифікації міститься інформація про МАС-адресу, то комутатор надає програмі доступ до мережі. Якщо авторизація не пройдена, то комутатор призначає на порт гостьовий VLAN, якщо він налаштований. Якщо на інтерфейсі під час сеансу включення зустрічається пакет EAPOL, то Автентифікатор визначає пристрій, підключений до цього інтерфейсу, таким, що підтримує 802.1X, та використовує 802.1X аутентифікацію з пересиланням ЕАР кадрів для авторизації інтерфейсу. Історія EAPOL очищується, якщо статус інтерфейсу змінюється на «Вимкнено». Якщо Сервер автентифікації вже дозволив обмін даними через порт, використовуючи обхідну аутентифікацію за допомогою MAC-адрес і виявляється, що Заявник підтримує протокол 802.1X, то Автентифікатор не змінює статус порту на «не авторизований». При повторній автентифікації комутатор використовує аутентифікацію 802.1X як бажаний процес повторної аутентифікації. Якщо попередня сесія закінчилася та значення атрибута на Сервері автентифікації припинення дії — DEFAULT, то клієнти, що використовують обхідну автентифікацію по MAC-адресах, можуть бути знову авторизовані. Процес повторної аутентифікації такий самий, як і для клієнтів, які були автентифіковані з 802.1X. Протягом повторної автентифікації, порт залишається в раніше визначеній VLAN. Якщо повторна автентифікація буде успішною, то комутатор присвоює VLAN згідно розрахунку.

Див. також[ред. | ред. код]

Примітки[ред. | ред. код]

Джерела[ред. | ред. код]

  • 802.1x. Wikipedia (англійська). Процитовано 12/04/2018.