Podkast 22T13 802 1x PortalBased

WERSJA TEKSTOWA

Cześć, witam Cię w dzisiejszym odcinku mojego podkastu. Dzisiejszy temat to uwierzytelnianie 802.1X MAC authentication pomiędzy różnymi urządzeniami sieciowymi. Standardowy scenariusz przy uwierzytelnianiu jest oczywiście taki, że mamy urządzenie dostępowe, które ma suplikanta 802.1X lub MAC authentication, będziemy realizować dla urządzeń, które nie mają takiego suplikanta. Co w przypadku, gdy mamy taką sytuację, że chcemy podłączyć punkt dostępowy do przełącznika? Zakładamy, że uwierzytelniamy na wszystkich tych portach. Czy jest to możliwe? Jest. W zależności od punktu dostępowego mamy na niektórych implementację 802.1X suplikanta, więc możemy uwierzytelnić urządzenie podając użytkownika lub hasło, bądź certyfikatem. Możemy również uwierzytelnić, jeśli punkt dostępowy nie ma takiej możliwości, używając Mac adresu, czyli typowy MAC authentication.

Problem jaki się pojawia przy tego typu scenariuszach tj. pytanie: co się stanie z VLANami tagowanymi? Bo standardowo urządzenie typu punkt dostępowy może działać tylko w jednym VLANie. Tutaj problemu wtedy nie ma. W bardziej rozbudowanych implementacjach mamy różne VLANy przydzielone na podstawie różnych zasad lub przydzielone do różnych profili SSID. Wtedy, jeśli uwierzytelniamy taki punkt dostępowy na przełączniku, to powinniśmy dopisać do tego profilu również tagowane VLANy. Jest to również możliwe. Pojawia się natomiast pewien problem polegający na tym, że użytkownicy raz się muszą zalogować do punktu dostępowego, zostają przydzieleni do odpowiedniego profilu i VLANu a następnie będą proszeni o uwierzytelnienie ponowne na przełączniku. Tutaj też w zależności od konfiguracji tego klienta końcowego można to wykonać. Może to być również przedłużanie tego procesu uwierzytelniania. Niekoniecznie jest to optymalny sposób, jeśli chodzi o stronę funkcjonalną. Natomiast jeśli chodzi o stronę bezpieczeństwa, to jest to lepszy sposób podłączenia niż przyłączenie na stałe odpowiedniego profilu VLANów tagowanych, nietagowanych na trunku. Wtedy niezależnie co podłączymy do tego nieuwierzytelnianego portu, będzie miało dostęp do odpowiednich VLANów.

Wróćmy więc do scenariusza z uwierzytelnieniem. Opcje są typowo dwie: możemy uwierzytelniać 802.1X per port i wtedy pierwsze urządzenie, które się uwierzytelnia przejdzie to uwierzytelnianie prawidłowo, to przypisujemy pewien profil na port. Wtedy możemy oczywiście przekazywać cały ruch, który idzie z tego access pointa już bez kolejnych etapów uwierzytelnień. Czyli jest możliwość realizacji takiego profilu. Z drugiej strony, jeżeli mówimy o użytkownikach indywidualnych, to najczęściej zakładamy taką możliwość, że może tam być po drodze dla urządzeń przewodowych jakiś niezarządzany switch lub coś co już tam istnieje wcześniej. Oznacza to, że uwierzytelnianie per user a nie per port jest lepszym rozwiązaniem. Tutaj mamy dylemat. Możemy rozwiązać ten problem, planując odpowiednio tą instalację np mówiąc, że te porty od końcowych np 4, możemy przeznaczyć na uwierzytelnianie urządzeń i wtedy mamy uwierzytelnianie per port i przypisujemy pewien profil. Możemy też pozostałe porty przypisać w trybie uwierzytelnienia per użytkownik, czyli każdy osobny MAC address będzie uwierzytelniany jako MAC authentication i każdy suplikant osobno dostanie swój profil przydzielony do odpowiedniego VLANu. Te dwie rzeczy można połączyć, trzeba tylko zastanowić się jak chcemy to zrealizować, jakie są nasze potrzeby w danym konkretnym scenariuszu. Na pewno nie jest optymalne łączenie dwóch etapów uwierzytelnień, więc jeśli podłączamy urządzenia zewnętrzne, to lepiej jest przełączyć tryb uwierzytelniania per port. Natomiast jeżeli uwierzytelniamy użytkowników, to tryb uwierzytelniania per użytkownik.

Mam nadzieję, że to trochę Ci pomoże, jeśli zastanawiasz się nad tego typu zagadnieniami. Ja spotykam się z tego typu pytaniami na co dzień, więc mogę się podzielić z Tobą swoimi przemyśleniami i doświadczeniem w tym zakresie. Na dzisiaj to tyle, dziękuję Ci za uwagę i do usłyszenia już za tydzień.