Я бы сказал, что стандарт IEEE 802.1X — это наш главный помощник, когда нужно аутентифицировать устройства прямо на уровне порта коммутатора или точки доступа Wi-Fi. Просто представьте: если нет 802.1X, то любой, кто хоть как-то подключится — воткнёт кабель в розетку или подберёт пароль Wi-Fi, — мгновенно попадает в вашу внутреннюю сеть. Для организаций, где работают десятки и даже сотни сотрудников, это, на мой взгляд, очень серьёзная дыра в безопасности.
По сути, архитектура 802.1X строится на трёх основных китах, без которых она никак: это суппликант (то есть само клиентское устройство), аутентификатор (которым выступает коммутатор или точка доступа) и, конечно же, сервер аутентификации (мы говорим о RADIUS). Как только устройство пытается подключиться к порту, коммутатор тут же блокирует абсолютно весь трафик, оставляя открытыми только EAP-пакеты, и первым делом бежит спрашивать у RADIUS-сервера: 'А можно ли его вообще пускать?'
Что даёт внедрение 802.1X:
- Динамическое назначение VLAN в зависимости от учётной записи пользователя
- Автоматическая изоляция гостевых устройств
- Журналирование всех подключений к сети с привязкой к пользователю
- Возможность применения политик доступа (ACL) на уровне порта
- Интеграция с Active Directory или LDAP для единой точки управления
В этой статье я предлагаю нам вместе развернуть FreeRADIUS прямо на Ubuntu 22.04. Мы детально настроим аутентификацию, используя EAP-PEAP/MSCHAPv2, да ещё и с привязкой к Active Directory. А в конце, конечно же, сконфигурируем коммутаторы Cisco и MikroTik, чтобы они отлично работали с 802.1X.

Оставить комментарий