Port based network access control что это
Обновлено: 04.05.2024
Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.
NAC (Network Access Control) — комплекс технических средств и мер, обеспечивающий контроль доступа к сети на основании информации о пользователе и состоянии компьютера, получающего доступ в сеть, в частности на основе информации о его программном обеспечении.
Матчасть
IEEE 802.1X ― это стандарт, который используется для аутентификации и авторизации пользователей и рабочих станций в сети передачи данных. Он осуществляет контроль доступа и не позволяет неавторизованным устройствам подключаться к локальной сети. Наибольшее распространение протокол получил в беспроводных сетях, однако встречается и в проводных. В данной статье рассматривается его применение для проводных сетей.
Описание протокола 802.1x
Механизм аутентификации
В процессе аутентификации участвую 3 сущности:
Клиент (Client/Supplicant) ― программное обеспечение на стороне клиента, установленное на устройство пользователя и запрашивающее доступ к сети. Для запуска процесса аутентификации клиент использует Extensible Authentication Protocol via LAN (EAPoL)
Аутентификатор (Authenticator) ― устройство, которое обеспечивает связь клиента с сервером аутентификации по протоколу 802.1х и, в случае успешной авторизации ― доступ к сети.
Сервер аутентификации (Authentication Server) ― ААА-сервер, интегрированный с той или иной базой данных пользователей.
Аутентификация клиента происходит в несколько этапов:
На этом этапе клиент подключается к порту аутентификатора. Аутентификатор распознает факт подключения и активизирует логический порт для клиента, сразу переводя его в состояние "неавторизован" (uncontrolled). В результате через клиентский порт возможен лишь обмен трафиком протокола 802.1x, для всего остального трафика порт заблокирован.
Аутентификатор ожидает от клиента запрос на аутентификацию (EAPOL-Start). Когда аутентификатор получает запрос, он посылает клиенту EAP-request/identity. Клиент в ответ высылает EAP-response со своим идентификатором (например, именем пользователя), который аутентификатор перенаправляет в сторону сервера аутентификации, предварительно завернув в RADIUS Access-Request.
Сервер аутентификации и клиент договариваются о методе EAP, по которому будет проходить аутентификация.
EAP используется для выбора метода аутентификации, передачи ключей и обработки этих ключей подключаемыми модулями, называемыми методами EAP. Рассмотрим самые распространённые методы EAP.
Сервер аутентификации посылает запрос EAP-Request-Identity клиенту.
Клиент в ответ посылает EAP-Response-Identity.
После получения EAP-Response-Identity сервер генерирует случайную строку (challenge string) и отправляет клиенту MD5-Challenge-Request с этой строкой.
Клиент объединяет имя пользователя, пароль в открытом виде и challenge string в одно значение и отправляет хэш MD5 этого значения на сервер аутентификации как MD5-ChallengeResponse
После получения MD5-Challenge-Response сервер аутентификации самостоятельно считает MD5-хэш от данных пользователя и отправленной строки challenge string и сравнивает с хэшом, полученным от клиента. Если хеши совпадают, аутентификация завершается успешно.
У этого метода EAP есть существенный недостаток: как MD5-Challenge-Request, так и MD5-Challenge-Response могут быть перехвачены. В результате можно сбрутить пароль пользователя.
EAP-PEAP/EAP-TTLS
Аутентификация проходит в 2 этапа – внешний и внутренний
1. Внешняя аутентификация:
1.1 Клиент посылает Authentication Request на сервер аутентификации.
1.2. Сервер в ответ посылает свой сертификат
1.3. Клиент проверяет сертификат сервера, и, если всё в порядке, внешняя аутентификация проходит успешно.
1.4. Клиент и сервер устанавливают TLS-соединение.
2. Внутренняя аутентификация через установленный безопасный канал. При этом существует много различных протоколов аутентификации, однако наиболее часто используется MS-CHAPv2.
Основная проблема такого подхода заключается в том, что соединение может быть установлено, даже если сертификат невалиден. Например, если в настройках не стоит галочка «Проверять сертификат сервера».
Отличие этого метода от предыдущего заключается в том, что на внешнем этапе аутентификации происходит проверка подлинности не только сервера, но и клиента. После взаимной проверки подлинности аутентификация проходит по протоколу TLS.
Это куда более безопасно, но сложнее в реализации. На всех клиентских устройствах нужно установить клиентский сертификат.
Основная проблема такого подхода заключается в том, что соединение может быть установлено, даже если сертификат невалиден. Например, если в настройках не стоит галочка «Проверять сертификат сервера».
MAB (MAC Authentication Bypass) – это вариант «аутентификации» для устройств, которые не поддерживают протокол 802.1x. Если к порту коммутатора, на котором настроена аутентификация, требуется подключить такое устройство, то, чтобы не отключать на этом порту аутентификацию, был придуман более слабый механизм. Весь процесс аутентификации по MAB заключается в проверке MAC-адреса устройства.
Атаки
А теперь самое интересное. Расскажу, как мы обходим 802.1X.
Обход MAB
Самый простой метод обхода. MAB вообще как будто был придуман специально для пентестеров. Даже в названии присутствует слово «Bypass».
В общем, находим старенький принтер (камеру, телефон, PDP-11…), узнаём его MAC-адрес и отключаем от коммутатора. Меняем свой MAC на МАС устройства и подключаемся вместо него.
В последнее время метод несколько потерял актуальность за счёт использования профилирования (подробнее в разделе «Как защититься»)
Классическая атака (Bridged-based)
Экскурс в историю
В 2005 году Стив Райли, исследователь из Microsoft, обнаружил уязвимость в протоколе 802.1x, которая приводила к возможности атак «Человек посередине». Суть уязвимости заключалась в том, что аутентификация по протоколу 802.1x происходит только при установке нового соединения. Когда клиент, подключившийся к порту коммутатора, проходит аутентификацию, порт переходит в состояние «controlled» и все последующие соединения от этого клиента не требуют аутентификации. Злоумышленник, разместивший хаб между аутентифицировавшимся клиентом и портом коммутатора, может подключить своё устройство к хабу и отправлять пакеты в сеть, подменив исходные MAC- и IP-адреса на адреса легитимного клиента.
Хост злоумышленника отправляет SYN-пакет в сеть.
В ответ приходит SYN / ACK, который попадает на оба устройства: и хост злоумышленника, и хост клиента.
Клиент отправляет RST / ACK.
Хост злоумышленника отправляет ACK.
Логичным развитием MITM-атаки стало использование моста.
Алгоритм атаки
Нам понадобится ноутбук с двумя интерфейсами и какой-нибудь сотрудник компании (а точнее, его девайс).
Одним интерфейсом подключаемся к девайсу, а другим – к порту коммутатора (розетке на стене). Дальше делаем следующее:
Переводим интерфейсы в Promisc-режим
Поднимаем между ними мост и тоже переводим в Promisc-режим
MAC девайса меняем на MAC коммутатора
Настраиваем SNAT для пакетов, которые отправляем сами – они должны выглядеть так, как будто их отправил девайс.
Добавляется маршрут в сеть за коммутатором через мост
Rogue Gateway Attack
Тот же Evil Twin, только в LAN. Работает в случае, если клиент сконфигурирован так, что соединение может быть установлено даже в случае невалидного сертификата сервера. Например, в настройках не стоит галочка «Проверять сертификат сервера».
Поднимаем мост и начинаем слушать трафик. В результате выясняем параметры клиента и аутентификатора:
Маршрут по умолчанию
Дальше начинается сама атака.
Поднимаем поддельный RADIUS-сервер и выключаем интерфейс, подключенный к аутентификатору.
Затем отправляем на поддельный RADIUS-сервер кадр EAPOL-Start с MAC-адресом клиента. В результате сервер отвечает клиенту запросом EAP-Request-Identity.
Если клиент примет сертификат, то он аутентифицируется у поддельного сервера.
Атакующий прослушивает MS-CHAPv2-challenge и response, сгенерированный на основе NTLM-хэша пароля. [AY1] В случае использования словарного пароля его можно получить перебором по словарю.
Если атака прошла успешно, можно отключить клиента от сети и авторизоваться с его данными.
Атака на EAP-MD5
EAP-MD5 ― это один из самых простых в настройке методов EAP. Он часто используется на периферийных устройствах.
Атака заключается в перехвате MD5-Challenge-Request и MD5-Challenge-Response с последующим брутом MD5-хэша. Для этого, как и в предыдущих атаках, поднимается мост между клиентом и аутентификатором.
Единственная проблема: клиент должен аутентифицироваться после того, как мы начали слушать трафик. Можно просто отключить его от сети и включить заново, однако это заметно и нельзя сделать удалённо (например, если мы оставили Raspberry Pi в офисе, а всю работу хотим сделать из дома). Можно заставить клиента ре-аутентифицироваться, просто отправив «EAPoL-start» аутентификатору от его имени.
Продемонстрируем классическую Bridged-Based атаку с использованием Fenrir.
Стэнд
Радиус-сервер (Cisco-ISE, интегрированная с AD)
На Cisco ISE были использованы следующие политики:
802.1x c EAP-MD5 – для всех подключаемых устройств
802.1x c EAP-TTLS – для всех подключаемых устройств
Доменная машина с Windows
Kali с Fenrir-ом
Описание атаки
Пробуем подключиться к порту свича, сети нет.
Подключаем доменный комп в интерфейс нашей kali, другой интерфейс подключаем к коммутатору.
Запускаем консоль Fenrir и настраиваем параметры моста: указываем MAC- и IP- адреса свича и клиента. Вводим команду create_virtual_tap
Видим, что появился новый интерфейс FENRIR. Прописываем для него IP-адрес.
Вводим команду run в консоли Fenrir и подключаемся к сети. Теперь мы можем сканить nmap-ом и запускать другие полезные тулзы типа crackmapexec.
Ограничения
Нужно как-то пронести устройство на территорию. Более того, воткнуть между коммутатором и авторизованным устройством. Если нет авторизованного устройства, ничего не получится.
Мы получаем доступ аналогичный тому, который имеет авторизовавшееся устройство. То есть если мы воткнемся между принтером и коммутатором, с одной стороны классно – мы сразу попали в сеть… а с другой - мы всего лишь жалкий принтер.
Как защититься?
Для защиты от дурака обхода MAB придумали профилирование. Например, в Cisco ISE есть профили для Windows, для разных моделей принтеров и т.д. Если настроена политика разрешать доступ по MAB-у только принтерам, подмена MAC хакеру уже не поможет. Хорошо настроенное профилирование обойти достаточно сложно, так как злоумышленник не знает ни параметров профилирования (какие метрики собираются для идентификации устройства), ни параметров устройства (точные значения этих метрик).
Что касается защиты от атак на EAP, стоит отказаться от EAP-MD5 либо использовать достаточно сильные пароли. В случае с EAP-TTLS/EAP-PEAP/EAP-TLS/EAP-TTLS нужно принудительно запретить установку соединения, если сертификат сервера невалиден.
Для защиты от MITM-атак могут помочь разные виды детекта аномалий в сети. Если хакер, подключившись к порту, запустит брут или скан, неадекватное поведение хоста можно будет легко обнаружить и заблокировать порт. Однако, чем тише поведёт себя хакер, тем сложнее будет его обнаружить. Детект аномалий ― вещь хорошая, но 100%-ной защиты не даёт. Для 100%-ной защиты от MITM-атак нет ничего лучше, чем сейф шифрование. Например, IPsec.
А ещё есть 802.1xАЕ, также известный как 802.1x-2010, который предусматривает шифрование. Правда, уже после аутентификации.
802.1x AE
Разработан специально для решения проблемы с MITM-атаками и включает протокол MACSec для шифрования трафика на уровне L2.
Соединение проходит в 3 этапа:
Аутентификация и распределение ключей. Предполагается, что аутентификация проходит с использованием одного из методов EAP, однако протокол позволяет также использовать PSK.
Согласование сеансового ключа
Создание безопасной сессии
Рассмотрим пример с EAP-аутентификацией.
Как было описано ранее (см. «Механизм аутентификации), когда клиент впервые подключается к порту коммутатора, аутентификатор отправляет EAPRequest-Identity клиенту. Клиент отвечает EAP-response, который пересылается серверу Аутентификации.
На следующем этапе клиент и сервер аутентификации согласовывают метод EAP, который будет использоваться для аутентификации. Далее клиент аутентифицируется по выбранному методу EAP. В случае успешной аутентификации клиент и аутентификатор устанавливают зашифрованный канал связи по протоколу MACSec.
Как видим, MACSec хорошо работает против классических bridged-based атак: встроить свои пакеты в зашифрованный трафик уже не получится. Однако атаки на слабые методы EAP (Rouge Gateway или атака на EAP-MD5) остаются актуальными.
Обход 802.1х в LAN
В этом посте я продемонстрирую, как легко можно обойти 802.1x на внутреннем пентесте. За редкими исключениями, но их мы тоже обсудим.
Содержание
Network Admission Control – термин, который употребляется как синоним NAC (Network Access Control). Этот термин применяется Cisco Systems для их решений в области NAC.
Политика контроля доступа –
Проверка устройства – проверка соответствия устройства политике контроля доступа.
Pre-connection проверка – проверка до предоставления устройству доступа в сеть.
Post-connection проверка – периодическая проверка после предоставления устройству доступа в сеть.
NAC обеспечивает контроль за тем, к каким участкам сети и к каким приложениям получит доступ пользователь на основании:
- информации о пользователе, который подключается;
- информации о состоянии компьютера (установленное программное обеспечение, наличие обновлений и др.);
- времени подключения;
- точки подключения.
Конкретные реализации NAC могут учитывать все эти критерии, часть из них, или учитывать какие-то дополнительные критерии.
Назначение правил контроля доступа специфических для конкретного пользователя, с учетом вышеперечисленных критериев, происходит как только он проходит все необходимые проверки (pre-connection). После применения правил контроля доступа происходят периодические повторные проверки соответствия политикам контроля доступа (post-connection).
Правила контроля доступа могут применяться с помощью:
- Назначения пользователя в VLAN;
- Применения ACL;
- Ограничений пропускной способности.
В различных решениях NAC могут быть такие дополнительные возможности как, например, функциональность систем предотвращения вторжений.
В зависимости от того, какое решение NAC используется, правила ограничения и контроля доступа могут применяться на различных устройствах:
- Сетевом оборудовании (например, коммутатор);
- Компьютерах, с помощью установленных агентов;
- Устройствах, которые обеспечивают функциональность NAC.
Решения обеспечивающие NAC сейчас очень популярны, однако за рекламой производителей не всегда понятно где и когда применять их решения и их реальные возможности.
NAP не предназначен для защиты сети от умышленных атак. Он разработан для того чтобы помочь администраторам автоматически поддерживать состояние "здоровья" компьютеров в сети. Например, если на компьютере установлено всё программное обеспечение и необходимые настройки, которые требует политика "здоровья", то компьютер получает неограниченный доступ в сеть.
Платформа NAP требует серверной части Windows Server 2008 и клиентов Windows Vista, Windows Server 2008, или Windows XP Service Pack 3.
NAP это платформа которая предоставляет компоненты инфраструктуры и API для добавления компонент, которые проверяют и оценивают "здоровье" компьютера и применяют различные типы доступа к сети или коммуникации.
System Health Agents и System Health Validators
Компоненты инфраструктуры NAP, известные как system health agents (SHA) и system health validators (SHV), обеспечивают сбор информации о состоянии "здоровья" и её оценку. В Windows Vista и Windows XP Service Pack 3 есть Windows Security Health Validator SHA, который мониторит настройки Windows Security Center. В Windows Server 2008 есть соответствующий Windows Security Health Validator SHV. NAP позволяет организовать взаимодействие с программным обеспеченим любого производителя, который предоставит SHA и SHV, которые используют NAP API.
Компоненты NAP известны как клиенты применения (enforcement clients, EC) и сервера применения (enforcement servers, ES) требуют проверки состояния "здоровья" и применения ограниченного доступа к сети к клиентам, которые не соответствуют требованиям.
Windows Vista, Windows XP Service Pack 3 и Windows Server 2008 поддерживают такие типы доступа для внедрения NAP:
- Internet Protocol security (IPsec)
- IEEE 802.1X
- VPN
- Dynamic Host Configuration Protocol (DHCP)
- Terminal Server (TS) Gateway
Эти типы доступа или коммуникаций известны также как методы применения NAP. Администраторы могут использовать их отдельно или вместе для ограничения доступа клиентам, которые не соответствуют требованиям политик контроля доступа.
Network Policy Server (NPS) в Windows Server 2008 работает как сервер политик здоровья (health policy server) для всех методов применения NAP.
В методе применения IPsec, компьютер должен соответствовать требованиям политики контроля доступа (быть "здоровым"), для того чтобы инициировать коммуникации с другими "здоровыми" компьютерами. Так как этот метод использует протокол IPsec, то администратор может определить требования для защищенных коммуникаций на основе адресов или портов.
Метод применения IPsec определяет коммуникации между "здоровыми" компьютерами после того как они успешно подключились к сети и получили насройки IP. Это самый безопасный метод в архитектуре NAP.
Компоненты метода применения IPsec состоят из Health Registration Authority (HRA) на Windows Server 2008 и IPsec Relying Party EC в Windows Vista, Windows XP Service Pack 3 и Windows Server 2008.
HRA выдает X.509 сертификаты для клиентов NAP после того как они доказали свое соответствие политикам контроля доступа. Затем эти сертификаты используются для аутентификации между клиентами NAP, когда они инициируют IPsec-соединение с другими клиентами NAP в локальной сети.
В методе применения 802.1X, компьютер должен соответствовать требованиям политики контроля доступа, для того чтобы получить неограниченный доступ в сеть через аутентификатора (коммутатор или точку доступа). Для "нездоровых" компьютеров доступ к сети ограничивается с помощью ограниченного профайла доступа, который применяется на коммутаторе или точке доступа.
В профайле может содержаться ACL, который будет применен или VLAN, в который будет помещен компьютер. Требования политики доступа применяются каждый раз, когда компьютер пытается получить доступ к сети через устройство 802.1X. После подключения состояние "здоровья" активно отслеживается и в случае, если клиент более не соответствует политике контроля доступа, то к нему применяется профайл ограниченного доступа.
Компоненты метода применения 802.1X - это NPS в Windows Server 2008 и EAP Quarantine EC в Windows Vista и Windows Server 2008. Для Windows XP Service Pack 3 существуют отдельные EC для проводных и беспроводных соединений. Метод внедрения 802.1X обеспечивает надежный доступ в сеть для всех компьютеров, которые подключаются через устройства 802.1X.
В методе применения VPN, компьютер должен соответствовать требованиям политики контроля доступа (быть "здоровым"), для того чтобы получить неограниченный доступ через удаленное соединение VPN.
Для компьютеров, которые не прошли проверку доступ в сеть ограничен с помощью применения ACL к соединениям на VPN-сервере. Требования политики доступа применяются каждый раз, когда компьютер пытается получить удаленный доступ к сети через VPN-сервер. После подключения состояние "здоровья" активно отслеживается и в случае, если клиент более не соответствует политике контроля доступа, то к его VPN-соединению применяется ACL для ограничения доступа.
Компоненты метода применения VPN - это NPS в Windows Server 2008 и Remote Access Quarantine EC в Windows Vista, Windows XP Service Pack 3 и Windows Server 2008. Метод внедрения VPN обеспечивает надежный доступ в сеть для всех компьютеров, которые подключаются в сеть через удаленные VPN-соединения.
В методе применения DHCP, компьютер должен соответствовать требованиям политики контроля доступа (быть "здоровым"), для того чтобы получить IPv4 настройки с неограниченным доступом от DHCP-сервера.
Для компьютеров, которые не прошли проверку, доступ в сеть ограничен с помощью применения настроек IPv4, которые разрешают доступ только к ограниченной части сети.
Требования политики доступа применяются каждый раз, когда компьютер пытается получить или обновить настройки IPv4. После подключения состояние "здоровья" активно отслеживается и в случае, если клиент более не соответствует политике контроля доступа, то его IPv4 настройки обновляются для того чтобы клиент получил доступ в ограниченную сеть.
Компоненты метода применения DHCP - это DHCP ES, который является частью DHCP Server service в Windows Server 2008 и DHCP Quarantine EC в Windows Vista, Windows Server 2008 и Windows XP Service Pack 3.
Так как DHCP-метод основан на выдаче ограниченной IPv4 конфигурации, которая может быть переписана пользователем с правами администратора, то это самый слабый метод внедрения в NAP.
- NAC Resources (англ.) — очень хорошая коллекция ссылок по теме Network Access Control. Тут есть как материал общего характера, так и ссылки на описание решений NAC от различных производителей. Ссылки по теме 802.1x и примеры конфигурационных файлов различных устройств (Aruba, Cisco, Enterasys, Extreme, HP, Juniper, NetScreen, Nortel)
- Secure Access Central (англ.) — информация о SSL VPNs, network admission control, network access control и identity-based access management
Unified Access Control (англ.) Описание технологии и продуктов, ее реализующих.
В Windows Server 2008 появился новый сервер — Network Policy Sever, который пришёл на замену Internet Authentication Server (IAS). Одна из причин, почему его можно использовать — поддержка Network Access Protection (NAP).
Выводы
Большинство современных организаций если и внедряют NAC в корпоративной сети, то ограничиваются первой версией протокола 802.1x, которая не предусматривает шифрования канала после аутентификации. Как показано в статье, для злоумышленников не составит труда встроить свой трафик в такой канал (классическая bridged-based атака).
Внедрение шифрования - 802.1AE либо IPSec сопряжено с большими трудностями: как минимум, потребуется установка дополнительных компонентов на каждое клиентское устройство.
Даже при успешном внедрении 802.1AE остаются актуальными атаки, направленные на уязвимости EAP (Rouge Gateway или атака на EAP-MD5).
Идеальная конфигурация, которая на 99,9% защитила бы LAN от обхода авторизации, выглядит примерно так:
Всем устройствам вроде принтеров, телефонов и тп, на которые нельзя поставить клиент для macsec, устанавливается минимальный необходимый доступ.
На всех остальных устройствах используется MAСsec+EAP-TLS (с обязательной проверкой сертификата сервера)
На всех транковых портах (которым коммутаторы соединяются между собой) используется macsec+NEAT (это когда вышестоящий коммутатор авторизует нижестоящий), чтобы минимизировать риск MITM-атаки на межкоммутаторных портах.
Внедрение 802.1x для компьютеров за «тупыми» телефонами
Команда mab обязательна, т.к. без нее коммутатор посылает пакеты используя EAP-MD5 аутентификацию, но MS NPS не принимает данный режим, поэтому нужно использовать PAP.
Собираем mac адреса наших телефонов и добавляем их в ActiveDirectory в отдельную OU и группу безопасности (назовем их Phone) как обычных пользователей с логином и паролем как мас адрес наших телефонов.
В NPS создаем правило для телефонов:
Параметр device-traffic-class=voice говорит коммутатору, что данный девайс пойдет в voice vlan.
Параметр Tunnel-Pvt-Group-ID сообщает коммутатору, в какой Vlan попадет устройство, однако в нашем случае — это работать не будет, т.к. мы руками на телефоне настраиваем vlan'ы.
Создаем аналогичное правило для компьютеров:
Так же необходимо создать политику запросов на подключение, с разрешением использовать PAP.
В коммутаторе можно вручную задать пароль для MAB запросов, т.е. посылая запрос аутентифицкации в строке логин будет mac адрес, а в строке пароль, то что мы зададим вручную на коммутаторе:
Тогда в AD все учетки телефонов должны быть с этим паролем.
Содержание
Согласно протоколу 802.1X доступ к сети получают только клиенты прошедшие аутентификацию, если аутентификация не была пройдена, доступ с соответствующего порта будет запрещен.
802.1X предполагает использование модели точка-точка. То есть он не может быть применен в ситуациях когда несколько хостов соединяются с коммутатором (на котором настроена аутентификация 802.1X) через хаб или через другой коммутатор.
Supplicant — устройство (компьютер, ноутбук или др.) которое запрашивает доступ к сети у аутентификатора (коммутатора или точки доступа) и отвечает на его запросы. На клиенте должно быть установлено (или встроено) программное обеспечение работающее по протоколу 802.1X.
- Xsupplicant
- Windows 2000/XP (built in)
- Mac OS X (built in)
Supplicant может быть встроен в коммутатор. Пример настройки коммутатора в роли supplicant на странице 802.1X и RADIUS
Аутентификатор (authenticator) — устройство контролирующее физический доступ к сети основываясь на статусе аутентификации клиента. Выполняет роль посредника (proxy) между клиентом и сервером аутентификации.
- коммутаторы (с поддержкой 802.1X)
- Пример настройки Cisco
- Пример настройки ProCurve
Для каждого порта коммутатора (с включенным 802.1X) создается два виртуальных порта:
- Контролируемый порт (controlled port) — открывается только после авторизации по 802.1X
- Неконтролируемый порт (uncontrolled port) — разрешает передавать только EAPOL трафик
До тех пор пока клиент не авторизован только EAPOL трафик разрешен на неконтролируемом порту.
Кроме терминов контролируемый и неконтролируемый порты применяются термины авторизованный (authorized) и неавторизованный (unauthorized) порты, соответственно.
Сервер аутентификации (authentication server) — осуществляет аутентификацию клиента. Сервер аутентификации проверяет identity клиента и сообщает аутентификатору разрешен ли клиенту доступ к сети.
Оглавление
802.1X
Протокол 802.1X работает на канальном уровне и определяет механизм контроля доступа к сети на основе принадлежности к порту (в контексте стандарта порт — точка подключения к сети).Наибольшее распространение протокол получил в беспроводных сетях. В данной статье рассматривается его применение для проводных сетей.
Читайте также: