Nota Tecnica di Perle Systems

Controllo degli accessi di rete basato sulle porte

attraverso sicurezza delle porte e IEEE 802.1

L'Extensible Authentication Protocol (EAP) è progettato per gli ambienti di livello aziendale in cui gli amministratori devono utilizzare una sicurezza superiore al semplice utilizzo di password e nomi utente. L'EAP è collocato nel protocollo di autenticazione PPP e offre un framework generalizzato per diversi metodi di autenticazione. Con un EAP standardizzato è possibile semplificare l'interoperabilità e compatibilità dei metodi di autenticazione. IEEE 802.1X è lo standard per il trasferimento dell'EAP attraverso una connessione LAN cablata o wireless. L'incapsulamento dell'EAP via IEEE 802.1x viene definito "EAP over LAN" o EAPOL.

802.1x utilizza tre termini importanti:

  • Supplicant: utente o dispositivo client che richiede l'autenticazione e riceve un accesso di rete.
  • Server di autenticazione: il server che esegue l'autenticazione, di solito RADIUS.
  • Authenticator: dispositivo posto fra supplicant e server di autenticazione.

Gli switch gestiti industriali con funzionalità software PRO possono agire come authenticator o supplicant IEEE 802.1x.

802.1X wired protocols
Richiedi preventivo Domande su prodotti?

Utilizzo degli switch Ethernet gestiti Perle come authenticator

IEEE 802.1x offre un meccanismo di autenticazione per i dispositivi che intendono collegarsi a una porta di accesso degli switch Ethernet.
Se utilizzati insieme a un server di autenticazione compatibile con RADIUS, lo switch Ethernet, nel ruolo di authenticator, consente solo di accedere alle proprie porte (e quindi alla rete) una volta eseguita l'autenticazione del dispositivo 802.1x (supplicant) con il server RADIUS. Le funzionalità di supplicant sono disponibili nelle workstation dotate di sistemi operativi di comune utilizzo come ad esempio Windows.
Se un dispositivo non compatibile con 802.1x (come ad esempio le apparecchiature industriali) cercasse di connettersi a uno switch compatibile con 802.1x, è possibile utilizzare la funzionalità MAC Authentication Bypass (MAB) degli switch Ethernet gestiti di Perle. Se abilitata, l'indirizzo MAC del dispositivo viene utilizzato come ID e password. Queste informazioni, già preconfigurate nel server di autenticazione RADIUS, offrono un accesso sicuro alle porte dello switch.

Utilizzo degli switch Ethernet gestiti Perle come supplicant

802.1x va ben oltre l'accesso dei dispositivi a uno switch edge. È possibile configurare uno switch come supplicant per un altro servizio configurando lo switch edge come supplicant. È possibile utilizzare questa soluzione con uno switch posto fuori da un armadio di cablaggio e connesso a uno switch upstream attraverso una porta del trunk. Uno switch configurato con funzionalità di supplicant per lo switch 802.1x esegue l'autenticazione con lo switch upstream (che agisce come authenticator) e offre una connettività sicura.

Sicurezza delle porte degli switch Ethernet gestiti di Perle

La funzionalità di sicurezza delle porte consente di impedire l'accesso a un'interfaccia limitando e identificando gli indirizzi MAC autorizzati per l'accesso alla porta (di accesso o trunk) ed eseguendo azioni specifiche in caso di violazioni, come ad esempio l'invio di un messaggio di trap SNMP all'NMS e la chiusura della porta.

La sicurezza delle porte e IEEE802.1x sono supportati dagli switch gestiti industriali di Perle dotati del set di funzioni software PRO.

Image by Arran Cudbard-Bell Arr2036 (Own work)

Torna su