IEEE 802.1X — это стандарт, который разрешает или запрещает участие участников в сетях. Метод поддерживается всеми распространенными операционными системами.
Проще говоря, IEEE 802.1X — это стандарт, который проверяет различных участников сети LAN или WLAN, а затем либо предоставляет, либо запрещает им доступ. IEEE 802.1X — это независимый стандарт, работающий на канальном уровне, втором уровне модели OSI. Его основная задача — идентифицировать неавторизованных пользователей до того, как они получат доступ к сети IEEE 802, и тем самым защитить среду от нежелательного доступа. При этом метод позволяет получить доступ к сети ранее неизвестным участникам после тщательной проверки.
IEEE 802.1X был представлен Институтом инженеров по электротехнике и электронике (IEEE) в 2001 году и изначально предназначался только для сетей LAN. Стандарт теперь также используется для сред WLAN. Аутентификация и авторизация осуществляются на физическом порту сети. Для этого используются различные протоколы. В дополнение к общему названию IEEE 802.1X этот стандарт также иногда называют «Стандартом IEEE для локальных и городских сетей — управление сетевым доступом на основе портов» (PNAC). В дополнение к чистому контролю доступа IEEE 802.1X может использоваться для распределения пропускной способности и регулирования использования сети.
Что требуется для IEEE 802.1X?
Процесс аутентификации IEEE 802.1X включает трех участников: запрашивающую сторону, аутентификатор или посредник и сервер аутентификации (AS).
Supplicant
Запрашивающими могут быть любые устройства, которые должны быть предварительно аутентифицированы в соответствии с сетевыми правилами и могут быть аутентифицированы в соответствии с IEEE 802.1X. Это, например, компьютеры, принтеры, сканеры или другие устройства.
Authenticator
Аутентификатор выполняет фактическую проверку и решает, получит ли запрашивающий доступ к сети. Он проверяет учетные данные заявителя в процедуре IEEE 802.1X. Если они в порядке, он разрешает вход. Если они не соответствуют правилам сети, в доступе будет отказано. Аутентификатор — это точка доступа WLAN, маршрутизатор или коммутатор с поддержкой IEEE 802.1X.
Authentication Server
Сервер аутентификации — это точка доступа WLAN, сервер RADIUS или шлюз LDAP. Это предоставляет аутентификатору службу аутентификации и сам устанавливается в защищенной сети. Он сравнивает учетные данные заявителя с сохраненными и ранее определенными полномочиями.
Как работает IEEE 802.1X?
Чтобы лучше понять, как работает IEEE 802.1X, можно сравнить процедуру с обычным контролем доступа. Например, гость может захотеть получить доступ к вечеринке. У двери он передает свой пригласительный билет вышибале. Этот человек сканирует карту, получает подтверждение того, что гость приглашен, а затем предоставляет ему доступ в помещение. С другой стороны, если карта неисправна или недоступна, гость должен оставаться снаружи.
В IEEE 802.1X запрашивающая сторона — это гость, который пересылает свои учетные данные аутентификатору с использованием расширяемого протокола аутентификации (EAP). Это отправляет учетные данные на сервер аутентификации, который сравнивает их с ранее определенными разрешениями. Полномочия могут храниться в простом текстовом файле или в базе данных. Сервер проверяет учетные данные и возвращает результат аутентификатору. Если данные в порядке, доступ к сети разрешен, запрашивающая сторона допущена и, при определенных обстоятельствах, выделяет полосу пропускания для использования в сети. Если учетные данные неверны, он отклоняет кандидата.
Каковы преимущества IEEE 802.1X?
Использование IEEE 802.1X дает множество преимуществ. Первое и самое большое преимущество, безусловно, заключается в том, что метод является стандартным и, следовательно, широко распространенным. IEEE 802.1X поддерживается всеми распространенными операционными системами. Элемент управления очень прост в реализации и предлагает очень хорошую защиту от нежелательного доступа. Его универсальность также говорит в пользу IEEE 802.1X. Стандарт больше не работает только для сетей LAN, но и в сочетании с WLAN и VLAN. В принципе, для каждого заявителя могут быть определены отдельные регистрационные требования. Существуют также дополнительные функции, такие как параметры управления или предоставление и распределение полосы пропускания.
MAC-адрес как альтернатива IEEE 802.1X
Хотя IEEE 802.1X поддерживается почти всеми операционными системами, такими как Windows, macOS и Linux, а также многими типами сетей, некоторые устройства не используют этот стандарт. Сюда входят, например, некоторые принтеры или веб-камеры. В этих случаях коммутатор использует MAC-адрес хоста для аутентификации и создает на его основе имя пользователя и пароль. Однако по сравнению с IEEE 802.1X этот метод очень уязвим и может быть использован для несанкционированного доступа.
