Olá Pessoal,

Segurança é um aspecto crítico na rede. Este tópico tem como objetivo mostrar a configuração básica e funcional do protocolo 802.1x, que existe para não permitir que qualquer usuário que veja um ponto de rede possa estar dentro dela.

Abaixo, segue um pequeno resumo deste protocolo. Mais detalhes podem ser encontrados neste link.

O que é o 802.1x? Um protocolo para autenticação port-based, utilizado entre um host e um servidor de autenticação (Radius), sendo que o switch atua como proxy.

Como funciona? A porta do switch começa no estado não-autorizado. Quando um usuário fica online, é requisitada a autenticação 802.1x (necessita de um software ou semelhante por parte do usuário). O switch passa a autenticação para o servidor radius. Se não for possível a autenticação, a porta fica no estado não-autorizado e não permite tráfego do usuário. Mesmo estando neste estado a porta permite trafegar: EAPOL (EAP-over-LAN), CDP e STP.

Como não possuo equipamentos reais para testar, e o Dynamips possui limitações, fiz uma tabela com cada um dos comandos necessários para esta configuração, bem como a explicação do efeito de cada um.

Configuração 802.1x port-based.

Um grande abraço,

Maurício.

Compartilhe!
  • Twitter
  • Facebook
  • Digg
  • LinkedIn
  • del.icio.us
  • Technorati
  • Google Bookmarks
2 comentários para “Configuração explicada de segurança port-based com 802.1x”
  1. Roberto disse:

    Grande Maurício!

    Gosto muito do seu site, sempre que posso dou uma passadinha por aqui!.. (-;

    Você sabe me dizer que software eu posso utilizar para que a estação client se autenticar?

    Se eu emular um router com módulo NM de switch, mapeando a porta lan para um server ACS (Radius ou TACACS), é possível montar esse ambiente?

    Valeu!!

  2. Olá Roberto,

    Nunca fiz esta implementação prática, mas dei uma pesquisada na parte de autenticação por parte do cliente, segue um link interessante [1]. Neste artigo, você pode substituir o Access-point pelo Switch, que vai atuar como Autenticator do cliente.

    O que você pode fazer para simular este ambiente com o Dynamips, utilizando o módulo NM-16ESW é:

    1) Criar duas interfaces Loopback no Windows [2]
    3) Adicionar o componente Cloud no Dynamips, associando duas interfaces Ethernet.
    4) Conectar estas duas interfaces ao Switch. Numa delas, deve ser atribuido um IP, que será utilizado para chegar ao servidor Radius.
    5) Deve ser realizada a configuração do Radius [3] e do Autenticator (Switch).
    6) Deve ser configurado a outra interface Loopback no Windows para realizar a autenticação, conforme [4].

    Espero ter te ajudado, mesmo não tendo experiência prática com esta topologia.

    Abração,
    Maurício.

    Referências:
    [1] - http://www.cs.umd.edu/~mvanopst/8021x/howto/
    [2] - http://blog.ccna.com.br/2008/04/11/va-cisco-sdm-no-dynamips/
    [3] - http://www.cs.umd.edu/~mvanopst/8021x/howto/server.html
    [4] - http://www.cs.umd.edu/~mvanopst/8021x/howto/client.html

  3.  
Comentar