אימות Dot1X – הסבר כללי

הסבר:

Do1X או בשמו המקורי IEEE 802.1X – הוא פרוטוקול תקשורת המאפשר אימות זהות עבור רכיבי תקשורת המנסים להתחבר לרשת המקומית, באמצעות חיבור קווי (LAN ) ואלחוטי (WLAN).
מדובר למעשה מנגון אבטחה המשמש כ"שומר בשער" עבור מי שרוצה להתחבר לרשת שלנו.
מנגון האימות מבוצע עוד בטרם יכולת קבלת תקשורת מרכיב התקשורת המנסה להתחבר לרשת (כלומר, כל עוד הרכיב לא עבר אימות, הרכיב לא מקבל כתובת IP ואינו יכול לייצר תקשורת או לקבל תקשורת).
האימות מבוצע באמצעות פרוטוקול אימות (לדוג': EAP) בין מבקש האימות למאמת, ופרוטוקול אימות בין המאמת לשרת האימות (לדוג: RADIUS ).

במנגון האימות קיימים שלושה גורמים מרכזיים:
1. מבקש האימות (supplicant) – רכיב התקשורת ה"מעונין" להתחבר לרשת המקומית. לדוג': מחשב, מדפסת, טלפון. על מבקש האימות לספק אמצעי זיהוי עבור המאמת. אמצעי הזיהוי יכול להיות שם משתמש וסיסמא, שם תחנה, תעודה דיגיטלית ונתונים נוספים, בהתאם לדרישת המאמת.
2. המאמת (authenticator) – המאמת הוא מכשיר רשת – כגון מתג (SWITCH) או נתב אלחוטי (AP) – ומשמש כגורם מתווך בין מבקש האימות (באמצעות EAP לדוג') לשרת האימות (באמצעות RADIUS לדוגמא) . המאמת הוא זה שמחליט האם לאפשר למבקש האימות לקבל גישה לרשת המקומית או לא. כל עוד זהות המבקש לא אומתה, הוא חוסם את התקשורת של מבקש האימות (מלבד אלו הקשורים לתהליך האימות עצמו).
3. שרת האימות – מדובר בשרת ובו מאגר מידע הכולל זהויות והרשאות (לדוגמא שרת RADIUS או שרת LDAP ). בשרת זה מוגדר Policy קבוע מראש ובו הגדרות מי יכול להיכנס לרשת, ומי לא.

אם ננסה להמשיל את זה לעולם האמיתי.
נניח שיש לנו מבקר (מבקש האימות) שרוצה להיכנס למשרד חשוב.
המבקש (מבקש האימות) מגיע למשרד, ומיד פוגש בכניסה את השומר (המאמת).
השומר מבקש ממנו להציג תעודה מזהה, ובודק את אישור הכניסה שלו אל מול מאגר המידע (שרת האימות).
במידה והמבקר מופיע ברשימה, השומר מאפשר למבקר להיכנס למשרד.

הגדרת Dot1X :

כדי לבצע את מנגון האימות, נידרש לבצע הגדרות הן בצד מבקש האימות (במקרה שלנו – מחשב PC WIN10), הן בצד המאמת (במקרה שלנו – SWITCH HP מדגם 1920 ) והן בצד שרת האימות (במקרה שלנו – שרת Active Directory המשמש גם כשרת Radius).
בתהליך שנגדיר נבצע אימות Dot1X עבור מחשבי WINDOWS הנמצאים בדומיין.
ה-Policy שיוגדר בשרת האימות הוא מנגון אימות הבודק האם מחשב נמצא בדומיין או לא.
רק מחשבים שנמצאים בדומיין יקבלו גישה לרשת.

שלבים מומלצים:

  • הגדרת שרת האימות (שרת ה-Radius)
  • הגדרת מבקש האימות (תחנת PC)
  • הגדרת המאמת ואכיפתו באמצעות שימוש ב-Dot1X (ה-SW)


1. מבקש האימות . למדריך ההגדרה לחץ בקיצור מטה:

W3Schools
2. המאמת. למדריך ההגדרה לחץ בקיצור מטה:

W3Schools

3. שרת האימות. למדריך ההגדרה לחץ בקיצור מטה:

W3Schools

חשוב!
יש לבצע בזהירות ובהתאם להמלצות.

בהצלחה!

תגובה אחת בנושא “אימות Dot1X – הסבר כללי

הוסיפו את שלכם

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל

אתה מגיב באמצעות חשבון Google שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s

מבית WordPress.com. ערכת עיצוב: Baskerville 2 של Anders Noren.

למעלה ↑

%d בלוגרים אהבו את זה: