Implementa il controllo degli accessi a livello delle porte

Implementa il controllo degli accessi a livello delle porte

Configurazione del controllo di accesso basato su porte e utenti

Perché utilizzare il controllo dell'accesso basato sulle porte?

Le reti locali sono spesso distribuite in modo da consentire ai client non autorizzati di collegarsi ai dispositivi di rete o agli utenti non autorizzati di accedere ai client non presidiati di una rete. Inoltre, l'uso dei servizi DHCP rendono facilmente disponibile l'accesso ai servizi di rete. Questo espone la rete all'uso non autorizzato e ad attacchi dannosi. L'accesso incontrollato e non autorizzato non è in genere auspicabile. 802.1X semplifica la gestione della sicurezza fornendo il controllo degli accessi e la possibilità di controllare i profili degli utenti da un massimo di tre server RADIUS, consentendo a un determinato utente di utilizzare le stesse credenziali di accesso valide per l'accesso da più punti della rete.

Controllo dell'accesso basato su porta 802.1X

Il controllo dell'accesso basato sulle porte 802.1X fornisce una sicurezza a livello di porta che consente l'accesso alla LAN solo sulle porte in cui un singolo client compatibile con 802.1X ha inserito le credenziali utente RADIUS autorizzate. Questa opzione è consigliata per le applicazioni in cui solo un client alla volta può connettersi alla porta. Utilizzando questa opzione, la porta elabora tutto il traffico IP come se provenisse dallo stesso client. Pertanto, in una topologia in cui più client possono connettersi contemporaneamente alla stessa porta:

  • Se il primo client si autentica e apre la porta, e poi un altro client si autentica, la porta risponde come se il client originale avesse avviato una nuova autenticazione. Con più client che si autenticano sulla porta, la risposta della configurazione RADIUS all'ultima autenticazione del client sostituisce qualsiasi altra configurazione di un'autenticazione precedente. Se tutti i client utilizzano la stessa configurazione, questo non dovrebbe essere un problema. Ma se il server RADIUS risponde con configurazioni diverse per client diversi, l'ultimo client autenticato blocca di fatto qualsiasi client autenticato in precedenza. Quando un client da autenticare chiude la sessione, anche la porta si chiude e rimane tale finché un altro client non si autentica con successo;

  • L'ultima autenticazione del client determina l'appartenenza alla VLAN non taggata della porta. Inoltre, qualsiasi client in grado di utilizzare la porta può accedere a qualsiasi appartenenza VLAN tagged configurata staticamente sulla porta, a condizione che il client sia configurato per utilizzare le appartenenze VLAN tagged disponibili;

  • Se il primo client si autentica e apre la porta e poi uno o più altri client si connettono senza tentare di autenticarsi, la configurazione della porta determinata dalla risposta RADIUS originale rimane invariata e tutti questi client avranno lo stesso accesso del client autenticato. Quando il client autenticato chiude la sessione, la porta viene chiusa anche ad altri client non autenticati che potrebbero averla utilizzata.

Questa operazione sblocca la porta mentre è in corso una sessione di client autenticato. Nelle topologie in cui è possibile l'accesso simultaneo di più client, questa operazione può consentire l'accesso non autorizzato e non autenticato di un altro client mentre un client autenticato sta utilizzando la porta. Se si desidera consentire l'accesso alla porta solo ai client autenticati, è necessario utilizzare il controllo dell'accesso basato sull'utente invece del controllo dell'accesso basato sulla porta. Il metodo basato sull'utente consente di specificare fino a 32 client autenticati.