7.2.2.1 Пример настройки функции ip-mac-Port Binding
На рис. 7.9 показан пример работы функции IP-MAC-Port Binding в режиме ARP. Хакер инициировал атаку типа ARP Spoofing. Коммутатор обнаруживает, что на порт 10 приходят пакеты ARP, связка IP-MAC для которых отсутствует в«белом листе» IMPB, и блокирует МАС-адрес узла.
Рис. 7.9. Пример работы функции IP-MAC-Port Binding в режиме ARP
Настройка коммутатора
· Создать запись IP-MAC-Port Binding, связывающую IP-MAC-адрес узла с портами подключения, и указать режим работы функции.
create address_binding ip_mac ipaddress 192.168.0.10 mac_address 00-C0-9F-86-C2-5C ports 1-10 mode arp
· Активизировать функцию на требуемых портах и указать режим работы портов.
config address_binding ip_mac ports 1-10 state enable loose
На рис. 7.10 приведен пример работы функции IP-MAC-Port Binding в режиме DHCP Snooping. Коммутатор динамически создает запись IMPB после того, как клиент получит IP-адрес от DHCP-сервера.
Рис. 7.10. Пример работы функции IP - MAC - Port Binding в режиме DHCP Snooping
Настройка коммутатора
· Активизировать функцию IP-MAC-Port Binding в режиме DHCP Snooping глобально на коммутаторе.
enable address_binding dhcp_snoop
· Указать максимальное количество создаваемых в процессе автоизучения записей IP-MAC на порт.
config address_binding dhcp_snoop max_entry ports 1-10 limit 10
· Активизировать функцию IP-MAC-Port Binding в режиме DHCP Snooping на соответствующих портах.
config address_binding ip_mac ports 1-10 state enable
7.3 Аутентификация пользователей 802.1x
Стандарт IEEE 802.1X (IEEE Std 802.1x -2010) описывает использование протокола EAP (Extensible Authentication Protocol) для поддержки аутентификации с помощью сервера аутентификации и определяет процесс инкапсуляции данных ЕАР, передаваемых между клиентами (запрашивающими устройствами) и серверами аутентификации. Стандарт IEEE 802.1X осуществляет контроль доступа и не позволяет неавторизованным устройствам подключаться к локальной сети через порты коммутатора .
Сервер аутентификации Remote Authentication in Dial-In User Service (RADIUS) проверяет права доступа каждого клиента,подключаемого к порту коммутатора, прежде чем разрешить доступ к любому из сервисов, предоставляемых коммутатором или локальной сетью.
До тех пор, пока клиент не будет аутентифицирован, через порт коммутатора, к которому он подключен, будет передаваться только трафик протокола Extensible Authentication Protocol over LAN (EAPOL). Обычный трафик начнет передаваться через порт коммутатора сразу после успешной аутентификации клиента.
Внимание: протокол 802.1X не поддерживает работу на агрегированных каналах связи. |
Рис. 7.11. Сеть с аутентификацией 802.1X
7.3.1 Роли устройств в стандарте 802.1х
В стандарте IEEE 802.1X определены следующие три роли, которые могут выполнять устройства:
· Клиент(Client/Supplicant);
· Аутентификатор (Authenticator);
· Сервер аутентификации (Authentication Server).
Клиент (Client/ Supplicant) – это рабочая станция, которая запрашивает доступ к локальной сети и сервисам коммутатора и отвечает на запросы от коммутатора. На рабочей станции должно быть установлено клиентское ПО для 802.1Х, например, то, которое встроено в ОС Microsoft Windows XP.
Рис.
7.12. Клиент 802.1X
Сервер аутентификации (Authentication Server) выполняет фактическую аутентификацию клиента. Он проверяет подлинность клиента и информирует коммутатор предоставлять или нет клиенту доступ к локальной сети. RADIUS (Remote Authentication Dial - In User Service) работает в модели клиент/сервер, в которой информация об аутентификации передается между сервером RADIUS и клиентами RADIUS.
Рис.
7.13. Сервер аутентификации
Аутентификатор (Authenticator) управляет физическим доступом к сети, основываясь на статусе аутентификации клиента. Эту роль выполняет коммутатор. Он работает как посредник (Proxy) между клиентом и сервером аутентификации: получает запрос на проверку подлинности от клиента, проверяет данную информацию при помощи сервера аутентификации и пересылает ответ клиенту. Коммутатор поддерживает клиент RADIUS, который отвечает за инкапсуляцию и деинкапсуляцию кадров EAP, и взаимодействие с сервером аутентификации.
Рис.
7.14. Аутентификатор
Инициировать процесс аутентификации может или коммутатор или клиент.
Клиент инициирует аутентификацию, посылая кадр EAPOL-start, который вынуждает коммутатор отправить ему запрос на идентификацию. Когда клиент отправляет ЕАР-ответ со своей идентификацией, коммутатор начинает играть роль посредника, предающего кадры ЕАР между клиентом и сервером аутентификации до успешной или не успешной аутентификации. Если аутентификация завершилась успешно, порт коммутатора становится авторизованным.
Схема обмена ЕАР-кадрами зависит от используемого метода аутентификации. На рис. 7.15 показана схема обмена, инициируемого клиентом, где сервером RADIUS используется метод аутентификации One-Time-Password (OTP).
Рис. 7.15. Процесс аутентификации 802.1X
В коммутаторах D-Link поддерживаются две реализации аутентификации 802.1X:
· Port-Based 802.1X (802.1X на основе портов);
· MAC-Based 802.1X (802.1X на основе МАС-адресов).
7.3.2 Port-Based 802.1х
При аутентификации 802.1X на основе портов (Port-Based 802.1X), после того как порт был авторизован, любой пользователь, подключенный к нему,может получить доступ к сети (Рис. 7.16).
Рис.7.16.
Аутентификация 802.1X на основе портов
Рассмотрим пример настройки функции Port-Based 802.1X для схемы показанной на рис. 7.16.
Настройка коммутатора DGS-3627
· Настроить проверку подлинности пользователей на сервере RADIUS.
config 802.1x auth_protocol radius_eap
· Настроить тип аутентификации 802.1X: port-based .
config 802.1x auth_mode port_based
· Настроить порты, к которым подключаются клиенты в качестве аутентификатора (на Uplink-портах к вышестоящим коммутаторам не следует настраивать режим «authenticator»).
config 802.1x capability ports 1-12 authenticator
· Активизировать функцию 802.1X.
enable 802.1x
· Настроить параметры сервера RADIUS.
config radius add 1 192.168.0.10 key 123456 default
7.3.3 MAC-Based 802.1х
В отличие от аутентификации 802.1X на основе портов, где один порт, авторизированный клиентом, остается открытым для всех клиентов, аутентификация 802.1X на основе МАС-адресов ( MAC-Based 802.1X) – это аутентификация множества клиентов на одном физическом порте коммутатора. При аутентификации 802.1X на основе МАС-адресов проверяются не только имя пользователя/пароль, подключенных к порту коммутатора клиентов, но и их количество. Количество подключаемых клиентов ограничено максимальным количеством MAC-адресов, которое может изучить каждый порт коммутатора. Для функции MAC-Based 802.1X количество изучаемых МАС-адресов указывается в спецификации на устройство. Сервер аутентификации проверяет имя пользователя/пароль, и если информация достоверна, аутентификатор (коммутатор) открывает логическое соединение на основе MAC-адреса клиента. При этом, если достигнут предел, изученных портом коммутатора МАС-адресов, новый клиент будет заблокирован.
Рассмотрим пример настройки функции МАС-Based 802.1X для схемы показанной на рисунке 7.17.
Рис. 7.17. Аутентификация 802.1X на основе МАС-адресов
Настройка коммутатора DGS -3627
· Настроить проверку подлинности пользователей на сервере RADIUS.
config 802.1x auth_protocol radius_eap
· Настроить тип аутентификации 802.1X: MAC - based .
config 802.1x auth_mode mac_based
· Настроить порты, к которым подключаются клиенты в качестве аутентификатора.
config 802.1x capability ports 1-12 authenticator
· Активизировать функцию 802.1X.
enable 802.1x
· Настроить параметры сервера RADIUS.
config radius add 1 192.168.0.10 key 123456 default
Следует отметить, что коммутатор может выполнять роль сервера аутентификации. В этом случае база данных учетных записей пользователей будет храниться локально на самом коммутаторе. На рис. 7.18 показана локальная аутентификация 802.1X на основе МАС-адресов.
Рис. 7.18. Аутентификация 802.1X на основе МАС-адресов с использованием локальной базы данных учетных записей пользователей