Video: Configurare il controllo degli accessi a Internet con FRITZ!Box (Parental Control) 2024
Per limitare l'utilizzo della rete solo agli utenti validi, è necessario impostare i criteri NAC (network admission control) sugli switch.Il controllo di ammissione consente di controllare rigorosamente chi può accedere alla rete, impedendo agli utenti non autorizzati di accedere e applicare le politiche per l'accesso alla rete (come garantire che gli utenti autorizzati dispongono dei software antivirus e delle patch del sistema operativo più recenti installati sui PC e sui laptop.
Il software Junos OS sugli switch della serie EX può utilizzare il protocollo IEEE 802. 1X (spesso chiamato solo dot-one-ex ) per fornire l'autenticazione di tutti i dispositivi quando si connettono inizialmente alla LAN.L'autenticazione effettiva viene eseguita da un software separato o un server separato, generalmente un autentico RADIUS un server che è collegato a uno degli switch sulla LAN.
Per impostare il controllo di ammissione sullo switch, segui questi passaggi:
-
Configurare l'indirizzo dei server RADIUS, insieme a una password utilizzata dal server RADIUS per convalidare le richieste dallo switch.
Questo esempio utilizza l'indirizzo 192. 168. 1. 2:
[modifica accesso] utente @ junos-switch # set radius-server 192. 168. 1. 2 segreta my-password
La parola chiave segreta in questo comando configura la password utilizzata dallo switch per accedere al server RADIUS.
Nel caso in cui lo switch abbia diverse interfacce che possono raggiungere il server RADIUS, è possibile assegnare un indirizzo IP che lo switch può utilizzare per tutte le sue comunicazioni con il server RADIUS. In questo esempio, si sceglie l'indirizzo 192. 168. 0. 1:
[modifica accesso] utente @ junos-switch # imposta radius-server 192. 168. 1. 2 indirizzo sorgente 192. 168. 0. 1
-
Imposta un profilo di autenticazione da utilizzato da 802. 1X:
[modifica accesso] utente @ junos-switch # imposta profilo my-profile authentication-order radius [modifica accesso] utente @ junos-switch # imposta profilo my-profile radius authentication-server 192. 168 1. 2
Il primo comando richiede che lo switch contatti un server RADIUS quando invia messaggi di autenticazione. (Le altre opzioni disponibili sono server LDAP o autenticazione password locale.) Il secondo comando mostra l'indirizzo del server di autenticazione (che hai appena configurato nel passaggio precedente).
-
Configurare il protocollo 802. 1X stesso, specificando le autorizzazioni di accesso sulle interfacce dello switch:
È possibile farlo interfaccia per interfaccia, come segue:
[modifica protocolli] utente @ junos-switch # set dot1x authenticator autenticazione-profilo-nome interfaccia mio-profilo ge-0/0/1. 0 [modifica protocolli] utente @ junos-switch # set dot1x authenticator authentication-profile-name my-profile interface ge-0/0/2.0 supplicant single-secure
L'istruzione authentication-profile-name associa il profilo di autenticazione stabilito nel passaggio precedente con questa interfaccia.
Si noti che si specifica il nome dell'interfaccia logica (ge-0/0/1. 0), non il nome dell'interfaccia fisica (ge-0/0/1).
Nel Passaggio 3, la parola chiave supplicant (che è il 802. Termine 1X per un dispositivo di rete che richiede l'autenticazione) definisce la modalità amministrativa per l'autenticazione sulla LAN:
-
Modalità singola: Autentica solo il primo dispositivo che si connette alla porta dello switch e consente l'accesso a tutti i dispositivi che successivamente si connettono alla stessa porta senza ulteriore autenticazione. Quando il primo dispositivo autenticato si disconnette, tutti gli altri dispositivi sono bloccati fuori dalla LAN. Questa modalità è l'impostazione predefinita, quindi non è necessario includerla nella configurazione.
-
Modalità Single-secure: Autentica solo un dispositivo di rete per porta. In questa modalità, i dispositivi aggiuntivi che successivamente si collegano alla stessa porta non sono autorizzati a inviare o ricevere traffico, né sono autorizzati ad autenticarsi.
-
Multipla: Autentica ogni dispositivo che si collega alla porta dello switch singolarmente. In questa modalità, i dispositivi aggiuntivi che in seguito si connettono alla stessa porta sono autorizzati ad autenticarsi e, in caso di esito positivo, a inviare e ricevere traffico.
Quando si utilizza la modalità singola, viene autenticato solo il primo dispositivo e questa configurazione può essere considerata un buco di sicurezza. Se prevedi problemi, usa la modalità single-secure o multipla.
Se la modalità di autenticazione è la stessa su tutte le porte dello switch, è possibile configurare 802. Parametri 1X da applicare a tutte le interfacce utilizzando la parola chiave all anziché un nome di interfaccia:
[modifica protocolli] utente @ junos-switch # imposta l'interfaccia di autenticazione dot1x tutti
