Zavedení 802.1x v kabelové síti

Zavedení 802.1x v kabelové síti
« kdy: 04. 02. 2025, 09:34:47 »
Navede mě prosím někdo ze zkušenějších síťařů k tomu jak zprovoznit 802.1x ověřování v kabelové síti? Jak ten proces po drátu funguje? Musí tuto funkcionalitu podporovat switch? Nebo se to bude řešit až někde na firewallu? Nemám s tím vůbec žádné zkušenosti. Hledám jen základní obecné informace. Je mě jasné že potřebuji rádius server. Ale není mě jasné co bude potřeba na to, aby se klient "přihlásil", kdo požádá o autorizaci? Jak se klient dozví že se jedná o 802.1x zabezpečení? Googlil jsem a přesto mě to není pořád jasné.

Děkuji.


Re:Zavedení 802.1x v kabelové síťi
« Odpověď #1 kdy: 04. 02. 2025, 09:57:53 »
Musí to umět switch.
Systému musíte říct, že na ETH bude 802.1x. Ve Windows to stačí povolit a systém se pokusí autentizovat a když to tam není, klidně jede normálně.
V Linuxu jsem narazil: zapnete to a pak tam MUSÍ být 802.1x a když tam není, musíte to napřed na rozhraní vypnout. No a když to zase zapínáte, musíte znovu zadat ověřovací údaje.
Závěr: zejména v Linuxu poněkud uživatelsky nepřívětivé třeba na notebooku, který střídavě připojujete do různých sítí s a bez 802.1x

mhepp

  • ***
  • 177
    • Zobrazit profil
    • E-mail
Re:Zavedení 802.1x v kabelové síti
« Odpověď #2 kdy: 04. 02. 2025, 14:01:31 »
Mám to vyřešené pomocí více profilů pro drát. A aktivuji drátovou síť podle aktuální sítě...

Ono je to trochu schizofrenní, co je správný přístup. Ve Win to máš tak, aby to prostě jelo. Pak se hůře mohou hledat chyby. V linuxu to máš tak, že to prostě jede jak sis nastavil.

Re:Zavedení 802.1x v kabelové síti
« Odpověď #3 kdy: 04. 02. 2025, 14:13:10 »
Protokol 802.1x slouží k ověřování přístupu k síti, takže jeho podpora v switchi je nezbytná*. Ten protokol je celkem dobře popsaný na Wikipedii: https://en.wikipedia.org/wiki/IEEE_802.1X

Po připojení počítače tedy začne switch (autentikátor) posílat EAPOL zprávy EAP-Request Identity. Na ty se chytí supplicant v počítači a začne se bavit prostřednictvím autentikátoru přímo s autentikačním serverem - switch tu pouze překládá zprávy EAPOL do zpráv RADIUS, ale jinak do komunikace nezasahuje. Supplikant a autentikační server si některým z mnoha způsobů vzájemně ověří identitu. Mimochodem, autentikační server může být klidně i na druhém konci planety - tak například funguje síť eduroam, kde se každý uživatel ověřuje vždy na RADIUS serveru své domovské instituce.

V případě úspěšného ověření autentikátor dostane od autentikačního serveru zprávu Access-accept, na základě které otevře příslušný port pro veškerý provoz. Volitelně ještě může ve zprávě dostat číslo VLAN, do které má být dané zařízení připojeno, takže je možné na jednom kabelu střídat různé sítě v závislosti na tom, jak se kdo ověří. V neposlední řadě je možné i zařízení, které se úspěšně neověřilo, připojit do speciální VLANy, typicky zobrazující captive portál s uživatelsky přátelskou prezentací chyby a případně samoregistračním formulářem.

*) občas je možné použít v omezené míře i hloupé switche s tím, že autentizace neprobíhá na úrovni fyzického portu, ale na úrovni konkrétní MAC adresy. Pak ale samozřejmě není možné dělat dynamické přiřazování VLAN.

jjrsk

  • *****
  • 670
    • Zobrazit profil
Re:Zavedení 802.1x v kabelové síti
« Odpověď #4 kdy: 04. 02. 2025, 15:21:33 »
*) občas je možné použít v omezené míře i hloupé switche ...
Spis jde o to, ze jakmile je vice zarizeni zapojeno do takovyho hloupyho switche, tak uz se neda nijak resit, ktere z nich kam muze, a je treba k tomu pristupovat jako k jednomu zarizeni. Samozrejme to plati pro L2.

Pro L3 je porad mozny ty krabice rozlisovat, ale ma to svy mouchy.

Vzhledem k cene (predevsim te prace) je to pak zcela nesmyslna konfigurace, tohle umej i fakt levny soho switche.

...typicky zobrazující captive portál...
Tohle je mor sveta kterej je treba nekompromistne vyhladit ... tohle kdyz nekde je, tak to naprosto typicky vypada tak, ze uzivateli proste nefunguje sit, a on netusi proc.