Router Teldat. Autenticación 802.1X

Transcripción

1 Router Teldat Autenticación 802.1X Doc. DM783 Rev Junio, 2008

2 ÍNDICE Capítulo 1 Introducción Introducción a la Autenticación 802.1X Puerto controlado y puerto no controlado Elementos de la autenticación 802.1X Tramas EAPOL Tipo Ethernet y dirección destino Tipos de trama Formato de la trama Proceso de autenticación... 6 Capítulo 2 Configuración de la Autenticación 802.1X Uso de la autenticación 802.1X en equipos Teldat Menús de configuración de la autenticación 802.1X Acceso al menú de configuración global Acceso al menú de configuración para un interfaz Ethernet Acceso al menú de configuración para un puerto de un switch Comandos de configuración globales ? (AYUDA) NO SYSTEM-AUTH-CONTROL EXIT Comandos de configuración por puerto ? (AYUDA) AUTHENTICATOR a) AUTHENTICATOR CONTROLLED-DIRECTIONS b) AUTHENTICATOR KEY-TRANSMIT c) AUTHENTICATOR PORT-CONTROL d) AUTHENTICATOR QUIET-PERIOD e) AUTHENTICATOR REAUTH-MAX f) AUTHENTICATOR REAUTH-PERIOD g) AUTHENTICATOR REAUTHENTICATION h) AUTHENTICATOR SERVER-TIMEOUT NO EXIT Capítulo 3 Monitorización de la autenticación 802.1X Menús de monitorización de la autenticación 802.1X Acceso al menú de monitorización global Acceso al menú de monitorización para un interfaz Ethernet Acceso al menú de monitorización para un puerto de un switch Comandos de monitorización globales ? (AYUDA) SHOW EXIT Comandos de monitorización por puerto ? (AYUDA) REAUTHENTICATE SHOW AUTHENTICATOR EXIT Capítulo 4 Ejemplos de configuración Autenticación 802.1X en un puerto ii -

3 1.1. Escenario Configuración global de la autenticación 802.1X Configuración de la autenticación 802.1X en los puertos Ethernet Configuración de Radius Configuración completa iii -

4 Capítulo 1 Introducción

5 1. Introducción a la Autenticación 802.1X En ocasiones es necesario restringir el acceso a determinadas zonas de una LAN, de forma que únicamente los usuarios autorizados tengan acceso a dichas zonas. La autenticación 802.1X, que toma su nombre del estándar IEEE en el que se describe, permite el control del acceso a una LAN mediante la definición de un mecanismo de autenticación y autorización asociado a un punto de conexión a dicha LAN. Al punto de conexión de un dispositivo a la LAN se le denomina puerto. La autenticación 802.1X se usa, por ejemplo, para permitir o denegar el acceso a determinados segmentos de una LAN conectados mediante un bridge. Si la autenticación de un equipo conectado a un puerto del bridge falla, no se permite el acceso del equipo a los distintos segmentos que conecta el bridge. La autenticación 802.1X tiene sentido para conexiones punto a punto, en las que se conecta un único equipo al puerto con autenticación. En caso de conexiones punto multipunto es necesario establecer una asociación lógica punto a punto que asegure el correcto funcionamiento de la autenticación. En interfaces WLAN, el estándar i describe la forma de establecer dicha asociación para poder utilizar la autenticación 802.1X. ROUTER TELDAT Autenticación 802.1X Introducción I - 2

6 2. Puerto controlado y puerto no controlado En la autenticación 802.1X, se divide el puerto físico conectado a un segmento de LAN en dos puertos lógicos, denominados puerto controlado y puerto no controlado. Cuando un puerto recibe un paquete, éste se presenta tanto al puerto controlado como al puerto no controlado. El puerto controlado descarta todos los paquetes mientras que la autenticación 802.1X no se ha llevado a cabo. El puerto no controlado permite el acceso de los paquetes utilizados para la autenticación. De esta forma, mientras se lleva a cabo el proceso de autenticación, sólo se permite el acceso de los paquetes utilizados para dicha autenticación. El puerto controlado se considera abierto, no permitiendo el flujo de datos. Únicamente cuando el proceso de autenticación se ha completado con éxito, se cierra el puerto controlado, permitiéndose el flujo normal de datos a través de él. Controlled Port Uncontrolled Port Controlled Port Uncontrolled Port Port Unauthorized EAPOL Port Authorized EAPOL Ethernet Ethernet Puerto controlado y no controlado ROUTER TELDAT Autenticación 802.1X Introducción I - 3

7 hecho por M.A. Berrojo Telda t 3. Elementos de la autenticación 802.1X La base del proceso de autenticación es el protocolo EAP (Extensible Authentication Protocol), descrito en la RFC El estándar 802.1X define la forma de utilizar EAP en redes de LAN (ya sean inalámbricas o con cable). Para ello, define el encapsulado de los paquetes de EAP para su envío por la LAN, creando además nuevos tipos de paquetes para facilitar el empleo de EAP en redes de LAN. El encapsulado definido en el estándar 802.1X se denomina EAPOL (EAP Over LAN). En la autenticación utilizando EAP y, por extensión, en la autenticación 802.1X, se distinguen tres componentes: suplicante: elemento que desea acceso a la red. autenticador: elemento que controla el acceso a la red. Permite la comunicación entre el suplicante y el servidor de autenticación. servidor de autenticación: este es el elemento que autentica al suplicante, decidiendo si éste tiene acceso a la red o no. El servidor de autenticación puede ser el mismo autenticador, pero habitualmente es un elemento externo. Un ejemplo simple ayuda a entender el papel de cada elemento en el proceso de acceso a la red. Imaginemos que un extraño se presenta en la empresa deseando entrar en el edificio. Este es el suplicante. El portero del edificio controla el acceso al edificio, permitiendo la entrada al edificio o no. Sin embargo, no tiene potestad para decidir quién entra y quién no. Este es el autenticador. Cuando el extraño pide entrar, el portero llama al jefe de la empresa, preguntando si el extraño tiene permiso para acceder. Probablemente, el jefe pregunte datos sobre el extraño. El portero repite al extraño las preguntas del jefe, y al jefe las respuestas del extraño. Finalmente, en función de las respuestas dadas, el jefe toma la decisión de dejar pasar al extraño o no. El jefe es el servidor de autenticación. En la siguiente figura se esquematizan los elementos que forman parte de la autenticación 802.1X. Ethernet Atlas Suplicant EAPOL Authenticator RADIUS Autentication Server (AS) Ethernet Aunque en la figura se muestra RADIUS como protocolo de comunicación entre el autenticador y el servidor de autenticación, se puede utilizar cualquier protocolo de autenticación que permita el transporte del protocolo EAP. El proceso de autenticación se lleva a cabo entre el suplicante y el servidor de autenticación. Cuando el suplicante desea tener acceso a la red, inicia el proceso de autenticación. El autenticador se encarga, utilizando el puerto no controlado, de pasar los paquetes intercambiados durante la autenticación entre el suplicante y el servidor de autenticación. Es decir, el autenticador actúa de relay de los paquetes intercambiados entre el suplicante y el servidor de autenticación. El autenticador únicamente debe ROUTER TELDAT Autenticación 802.1X Introducción I - 4

8 mirar el resultado final de la autenticación: si ésta es exitosa, procede a autorizar el puerto controlado y permite acceso al suplicante a la red. La comunicación entre el suplicante y el autenticador se lleva a cabo utilizando el protocolo EAPOL. Para que la autenticación sea segura es imprescindible que el canal de comunicación entre el autenticador y el servidor de autenticación sea completamente seguro. Existen varias alternativas para la comunicación de los paquetes EAP entre el autenticador y el servidor de autenticación; una de las más utilizadas hace uso del protocolo Radius para el envío de los paquetes de EAP. EAP es realmente un superconjunto de protocolos de autenticación. Durante la fase de autenticación se negocia el protocolo EAP particular que se empleará. Existen numerosos métodos de autenticación que utilizan las bases de EAP. Entre otros, cabe mencionar: PEAP: Protected EAP EAP-TLS: EAP-Transport Layer Secure EAP-TTLS: EAP-Tunneled Transport Layer Secure ROUTER TELDAT Autenticación 802.1X Introducción I - 5

9 4. Tramas EAPOL 4.1. Tipo Ethernet y dirección destino Las tramas EAPOL son tramas Ethernet que usan el tipo 0x888E. Por regla general, las tramas EAPOL van dirigidas a una dirección destino especial, denominada PAE group address, de valor C Únicamente en entornos punto-multipunto se utiliza como dirección destino la dirección MAC del equipo al que va destinado el paquete Tipos de trama Se distinguen cinco tipos de trama: 1. EAP-Packet: tramas EAP encapsuladas en formato Ethernet. 2. EAPOL-Start: trama utilizada por el suplicante para arrancar el proceso de autenticación. 3. EAPOL-Logoff: trama utilizada por el suplicante para indicar al autenticador que abandona la sesión. 4. EAPOL-Key: tramas utilizadas para el envío de información de claves. 5. EAPOL-Encapsulated-ASF-Alert: tramas de alerta ASF (Alerting Standards Forum). Se usan para permitir que las tramas ASF pasen a través de un puerto no autorizado Formato de la trama 0 PAE Ethernet type N Protocol version Packet Type Packet Body Length Packet Body PAE Ethernet type: tipo Ethernet, 0x888E. Protocol version: versión del protocolo. La versión actual, definida en el estándar 802.1X-2004, es 2. Packet Type: tipo de paquete: EAP-Packet (0), EAPOL-Start (1), EAPOL-Logoff (2), EAPOL-Key (3) o EAPOL-Encapsulated-ASF-Alert (4). Packet Body Length: longitud, en bytes, de los datos. Un valor igual a cero indica que no hay más datos. Packet Body: datos. En función del tipo de paquete los datos se interpretan de distinta forma. Así, para un paquete de tipo EAP-Packet, contiene el paquete EAP Proceso de autenticación El proceso de autenticación es el siguiente: cuando el autenticador detecta que hay un elemento conectado a un puerto que tiene configurada la autenticación 802.1X, inicia el proceso de autenticación. Para ello envía una trama EAP de petición de identidad. ROUTER TELDAT Autenticación 802.1X Introducción I - 6

10 El proceso de autenticación puede ser iniciado también por el suplicante, mediante una trama EAPOL-Start. El autenticador envia una trama de petición de identidad como respuesta a dicha trama. A partir de ese momento, se establece un diálogo EAP entre el suplicante y el servidor de autenticación, sirviendo el autenticador como mero traductor de tramas. El diálogo EAP es básicamente un proceso en el que el servidor de autenticación envía peticiones (paquetes EAP de tipo Request) y el suplicante contesta (paquetes EAP de tipo Response). Cuando la autenticación EAP finaliza, el servidor de autenticación manda un paquete indicando éxito (paquete EAP Success) o fracaso (paquete EAP Fail) de la autenticación. Este paquete es leído por el autenticador, que actúa en consecuencia autorizando o denegando el acceso al puerto controlado. En la siguiente figura se muestra esquematizado el proceso de autenticación. ROUTER TELDAT Autenticación 802.1X Introducción I - 7

11 hecho por M.A. Berrojo Telda t Ethernet Atlas Suplicant EAPOL Authenticator RADIUS Autentication Server (AS) Ethernet Start Indentity Request Identity Response Identity Response Request 1 Request 1 Response 1 Response 1 Request n Request n Response n Response n Success Success Proceso de autenticación 802.1X ROUTER TELDAT Autenticación 802.1X Introducción I - 8

12 Capítulo 2 Configuración de la Autenticación 802.1X

13 1. Uso de la autenticación 802.1X en equipos Teldat La autenticación 802.1X se puede configurar en los siguientes interfaces: Interfaces Ethernet. Interfaces Ethernet con switch. Es posible configurar la autenticación 802.1X en cada puerto del switch. Interfaces WLAN. La autenticación 802.1X en estos interfaces no sigue el mismo sistema de configuración que en el resto de interfaces. Para información detallada de la configuración de la autenticación 802.1X en interfaces WLAN consúltese el manual Dm771 Interfaz Wireless LAN. A partir de este momento el manual se centra en la autenticación 802.1X en interfaces Ethernet. Para que la autenticación 802.1X funcione en un interfaz o puerto Ethernet, no basta con configurarla en el menú correspondiente. Es necesario, además, habilitarla globalmente en el equipo. ROUTER TELDAT Autenticación 802.1X Configuración II - 10

14 2. Menús de configuración de la autenticación 802.1X La autenticación 802.1X se configura dentro del menú de configuración del interfaz o puerto. Aparte de la configuración por interfaz/puerto, existe un menú global para configurar parámetros comunes a todos los puertos que usan autenticación 802.1X Acceso al menú de configuración global Para acceder a la configuración global de la autenticación 802.1X, utilice el comando PROTOCOL DOT1X desde el menú de configuración general. *config Config>protocol dot1x X User Config -- dot1x config> 2.2. Acceso al menú de configuración para un interfaz Ethernet Para acceder al menú de configuración de la autenticación 802.1X para un interfaz Ethernet, utilice el comando DOT1X desde el menú de configuración del interfaz. *config Config>network ethernet0/0 -- Ethernet Interface User Configuration -- ethernet0/0 config>dot1x X User Config -- ethernet0/0 dot1x config> 2.3. Acceso al menú de configuración para un puerto de un switch Para acceder al menú de configuración de la autenticación 802.1X para un puerto de un switch internamente conectado a un interfaz Ethernet, utilice el comando PORT <n-port> DOT1X desde el menú de configuración del switch. ROUTER TELDAT Autenticación 802.1X Configuración II - 11

15 *config Config>network ethernet1/0 -- Ethernet Interface User Configuration -- ethernet1/0 config>repeater -- Repeater User Config -- ethernet1/0 repeater config>port 1 dot1x X User Config -- ethernet1/0 (port 1) dot1x config> Los comandos de configuración para un puerto de un switch son un subconjunto de los comandos de configuración para un interfaz Ethernet. Al explicar los distintos comandos, se indicará cuáles no están disponibles para un puerto del switch. ROUTER TELDAT Autenticación 802.1X Configuración II - 12

16 3. Comandos de configuración globales En este apartado se resumen los distintos comandos de configuración de la autenticación 802.1X globales a todo el equipo. El siguiente cuadro resume los comandos de configuración globales de autenticación 802.1X. Estos comandos se explican detalladamente en los siguientes apartados. Comando Función? (AYUDA) Muestra los comandos de configuración o las opciones de los comandos. NO Configura parámetros con valores por defecto. SYSTEM-AUTH-CONTROL Habilita globalmente la autenticación 802.1X en el equipo. EXIT Sale del menú de configuración global de la autenticación 802.1X. 3.1.? (AYUDA) Muestra los comandos disponibles o las opciones de un comando NO Configura parámetros con valores por defecto o borra configuración. Sintaxis: dot1x config>no? system-auth-control Globally enables 802.1X Ejemplo: Deshabilita globalmente la autenticación 802.1X en el equipo. dot1x config>no system-auth-control 3.3. SYSTEM-AUTH-CONTROL Habilita globalmente la autenticación 802.1X en el equipo. Sintaxis: dot1x config>system-auth-control Valor por defecto: por defecto la autenticación 802.1X está deshabilitada globalmente. Para que funcione la autenticación 802.1X en puertos Ethernet es necesario habilitarla globalmente en el equipo. Este comando no afecta al funcionamiento de la autenticación 802.1X en interfaces WLAN. ROUTER TELDAT Autenticación 802.1X Configuración II - 13

17 3.4. EXIT Sale del menú de configuración global de la autenticación 802.1X. Sintaxis: dot1x config>exit ROUTER TELDAT Autenticación 802.1X Configuración II - 14

18 4. Comandos de configuración por puerto En este apartado se resumen los distintos comandos de configuración por puerto de la autenticación 802.1X. El siguiente cuadro resume los comandos de configuración por puerto. Estos comandos se explican detalladamente en los siguientes apartados. Comando Función? (AYUDA) Muestra los comandos de configuración o las opciones de los comandos. AUTHENTICATOR Configura los parámetros del autenticador. NO Configura parámetros con valores por defecto. EXIT Sale del menú de configuración de la autenticación 802.1X para un puerto. 4.1.? (AYUDA) Muestra los comandos disponibles o las opciones de un comando AUTHENTICATOR Configura los parámetros del autenticador. Sintaxis: ethernet0/0 dot1x config>authenticator controlled-directions 802.1X controlled directions both Both (In and Out) packet flows controlled by 802.1X in Only In packets controlled by 802.1X key-transmit Enables key transmission port-control Port control auto Port status controlled by 802.1X force-authorized Port forced to authorized force-unauthorized Port forced to unauthorized quiet-period <period> Time between authentications reauth-max <value> Reauthentication attempts permitted before the port becomes Unauthorized reauth-period <period> Time between reauthentications reauthentication Enables reauthentication server-timeout <period> Server timeout a) AUTHENTICATOR CONTROLLED-DIRECTIONS Configura el sentido de datos controlado por la autenticación 802.1X. Si el puerto controlado no está autorizado, no se permite el flujo de datos a través del mismo. Con este parámetro se puede configurar si el flujo de datos se controla en ambos sentidos o sólo en entrada. Este comando no está disponible para puertos de un switch. ROUTER TELDAT Autenticación 802.1X Configuración II - 15

19 AUTHENTICATOR CONTROLLED-DIRECTIONS BOTH La autenticación 802.1X controla el flujo de datos en ambos sentidos. No se permite enviar ni recibir datos por el puerto controlado hasta que la autenticación 802.1X haya puesto el puerto en estado autorizado. AUTHENTICATOR CONTROLLED-DIRECTIONS IN La autenticación 802.1X controla el flujo de datos en entrada. Si el puerto controlado está en estado no autorizado no se reciben datos por ese puerto, pero sí se permite la salida de datos a través del mismo. Valor por defecto: por defecto la autenticación 802.1X controla el flujo de datos en ambos sentidos (authenticator controlled-directions both). b) AUTHENTICATOR KEY-TRANSMIT Permite la transmisión de claves como parte del proceso de la autenticación 802.1X. Valor por defecto: por defecto la transmisión de claves está permitida. c) AUTHENTICATOR PORT-CONTROL Configura el control del puerto por parte de la autenticación 802.1X. El estado de un puerto se puede forzar a autorizado o no autorizado, o bien se puede configurar para que el estado refleje el resultado de la autenticación 802.1X. AUTHENTICATOR PORT-CONTROL AUTO El estado del puerto controlado viene dado por el funcionamiento normal de la autenticación 802.1X: mientras que no se complete satisfactoriamente la autenticación 802.1X, el puerto no está autorizado. Para que se realice autenticación 802.1X en un puerto no basta con configurar este parámetro. Es necesario además habilitar globalmente la autenticación 802.1X mediante el comando SYSTEM-AUTH-CONTROL del menú de configuración global. AUTHENTICATOR PORT-CONTROL FORCE-AUTHORIZED Se fuerza el puerto a autorizado, sin necesidad de realizar ningún tipo de autenticación. Cualquier equipo conectado a este puerto tiene acceso a la red. AUTHENTICATOR PORT-CONTROL FORCE-UNAUTHORIZED Se fuerza el puerto como no autorizado. Cualquier equipo conectado a este puerto no tiene acceso a la red. Valor por defecto: por defecto el estado del puerto viene dado por la autenticación 802.1X (authenticator port-control auto). d) AUTHENTICATOR QUIET-PERIOD Cuando el autenticador no es capaz de autenticar a un suplicante, espera el tiempo configurado con este parámetro antes de reintentar el proceso de autenticación. Sintaxis: ethernetx/x dot1x config>authenticator quiet-period? < > Value in the specified range Valor por defecto: por defecto se espera 60 segundos entre intentos de autenticación. ROUTER TELDAT Autenticación 802.1X Configuración II - 16

20 e) AUTHENTICATOR REAUTH-MAX Configura el número máximo de reautenticaciones posibles sin poner el puerto en estado no autorizado. Si el autenticador supera el número de reautenticaciones indicado por este parámetro, se fuerza el estado no autorizado en el puerto controlado antes de permitir nuevos intentos de autenticación. Sintaxis: ethernetx/x dot1x config>authenticator reauth-max? <1..255> Value in the specified range Valor por defecto: por defecto se permiten dos intentos de autenticación antes de poner el puerto como no autorizado. Este comando no está disponible para puertos de un switch. f) AUTHENTICATOR REAUTH-PERIOD Configura el tiempo entre reautenticaciones. Si se permiten las reautenticaciones, este parámetro indica cada cuánto tiempo se debe forzar una reautenticación del suplicante. Sintaxis: ethernetx/x dot1x config>authenticator reauth-period? < > Value in the specified range Valor por defecto: por defecto se espera una hora (3600 segundos) entre reautenticaciones. Este comando no está disponible para puertos de un switch. g) AUTHENTICATOR REAUTHENTICATION Permite las reautenticaciones. Una vez autorizado un puerto, se fuerza una reautenticación cada vez que pasa el periodo de tiempo indicado en el parámetro authenticator reauth-period. Valor por defecto: por defecto las reautenticaciones están deshabilitadas. Este comando no está disponible para puertos de un switch. h) AUTHENTICATOR SERVER-TIMEOUT Configura el temporizador usado para detectar que no hay respuesta en la comunicación entre el autenticador y el servidor de autenticación. Sintaxis: ethernetx/x dot1x config>authenticator server-timeout? < > Value in the specified range Valor por defecto: por defecto el tiempo configurado es de 30 segundos, de modo que si, tras enviar un paquete al servidor de autenticación no se recibe respuesta en este periodo de tiempo, se considera que se ha producido un timeout, y se toman las medidas oportunas NO Configura parámetros con valores por defecto o borra configuración. ROUTER TELDAT Autenticación 802.1X Configuración II - 17

21 Sintaxis: ethernetx/x dot1x config>no authenticator controlled-directions key-transmit port-control quiet-period reauth-max reauth-period reauthentication server-timeout Ejemplo: Configuración del tiempo entre reautenticaciones por defecto. ethernet0/0 dot1x config>no authenticator reauth-period 802.1X controlled directions Enables key transmission Port control Time between authentications Reauthentication attempts permitted before the port becomes Unauthorized Time between reauthentications Enables reauthentication Server timeout 4.4. EXIT Sale del menú de configuración de la autenticación 802.1X para un puerto. Sintaxis: ethernetx/x dot1x config>exit ROUTER TELDAT Autenticación 802.1X Configuración II - 18

22 Capítulo 3 Monitorización de la autenticación 802.1X

23 1. Menús de monitorización de la autenticación 802.1X Al igual que sucede con la configuración, existe un menú de monitorización global y un menú asociado a cada puerto Ethernet Acceso al menú de monitorización global Para acceder a la monitorización global de la autenticación 802.1X, utilice el comando PROTOCOL DOT1X desde el menú de monitorización general. *monitor Console Operator +protocol dot1x X Console -- dot1x Acceso al menú de monitorización para un interfaz Ethernet Para acceder al menú de monitorización de la autenticación 802.1X para un interfaz Ethernet, utilice el comando DOT1X desde el menú de monitorización del interfaz. *monitor Console Operator +net ethernet0/0 -- Ethernet Console -- ethernet0/0 ETH+dot1x X Console -- ethernet0/0 DOT1X Acceso al menú de monitorización para un puerto de un switch Para acceder al menú de monitorización de la autenticación 802.1X para un puerto de un switch internamente conectado a un interfaz Ethernet, utilice el comando DOT1X <n-port> desde el menú de monitorización del switch. ROUTER TELDAT Autenticación 802.1X Monitorización III - 20

24 *monitor Console Operator +net ethernet1/0 -- Ethernet Console -- ethernet1/0 ETH+repeater -- Repeater Monitoring Console -- ethernet1/0 Repeater+dot1x X Console -- ethernet1/0 (port 1) DOT1X+ Los comandos de monitorización para un puerto de un switch son un subconjunto de los comandos de monitorización para un interfaz Ethernet. Al explicar los distintos comandos, se indicará cuáles no están disponibles para un puerto del switch. ROUTER TELDAT Autenticación 802.1X Monitorización III - 21

25 2. Comandos de monitorización globales En este apartado se resumen los distintos comandos de monitorización de la autenticación 802.1X globales a todo el equipo. El siguiente cuadro resume los comandos de monitorización globales de autenticación 802.1X. Estos comandos se explican detalladamente en los siguientes apartados. Comando Función? (AYUDA) Muestra los comandos de configuración o las opciones de los comandos. SHOW Muestra información relativa a la autenticación 802.1X. EXIT Sale del menú de monitorización global de la autenticación 802.1X. 2.1.? (AYUDA) Muestra los comandos disponibles o las opciones de un comando SHOW Muestra información relativa a la autenticación 802.1X. Sintaxis: dot1x+show system system monitoring configuration system configuration SHOW SYSTEM CONFIGURATION Muestra información, para cada puerto Ethernet que soporta autenticación 802.1X, de la versión de EAPOL que se ejecuta y el rol que puede tomar el puerto: suplicante, autenticador o ambos. Se muestra además el estado de la variable SystemAuthControl, indicadora de si la autenticación 802.1X está habilitada globalmente en el equipo. Ejemplo: dot1x+show system configuration SystemAuthControl: Enabled Interface Port EAPOL Version PAE Capabilities ethernet0/0 1 2 Authenticator ethernet0/1 1 2 Authenticator ethernet1/0 1 2 Authenticator ethernet1/0 2 2 Authenticator ethernet1/0 3 2 Authenticator ethernet1/0 4 2 Authenticator dot1x EXIT Sale del menú de monitorización global de la autenticación 802.1X. Sintaxis: dot1x+exit ROUTER TELDAT Autenticación 802.1X Monitorización III - 22

26 3. Comandos de monitorización por puerto En este apartado se resumen los distintos comandos de monitorización por puerto de la autenticación 802.1X. El siguiente cuadro resume los comandos de monitorización por puerto. Estos comandos se explican detalladamente en los siguientes apartados. Comando Función? (AYUDA) Muestra los comandos de monitorización o las opciones de los comandos. REAUTHENTICATE Fuerza una reautenticación. SHOW AUTHENTICATOR Muestra información relativa al autenticador. EXIT Sale del menú de monitorización de la autenticación 802.1X para un puerto. 3.1.? (AYUDA) Muestra los comandos disponibles o las opciones de un comando REAUTHENTICATE Provoca que el autenticador reautentique al suplicante. Si hay una autenticación en marcha, la reautenticación no se produce hasta que la autenticación actual se complete. Sintaxis: ethernet0/0 dot1x config>reauthenticate Este comando no está disponible para puertos de un switch SHOW AUTHENTICATOR Muestra información relativa al autenticador. Sintaxis: dot1x+show authenticator configuration authenticator configuration diagnostics authenticator diagnostics session-statistics authenticator session statistics statistics authenticator statistics SHOW AUTHENTICATOR CONFIGURATION Muestra información relativa a la configuración del autenticador asociado con un puerto Ethernet. Ejemplo: ethernet0/0 DOT1X+show authenticator configuration Interface: ethernet0/0 (port 1) Authenticator PAE state : FORCE_AUTH ROUTER TELDAT Autenticación 802.1X Monitorización III - 23

27 Backend Authentication state : AUTH_INITIALIZE AdminControlledDirections: Both OperControlledDirection: Both AuthControlledPortControl: ForcrAuthorized AuthControlledPortStatus: Authorized quietperiod: 60 servertimeout: 30 reauthperiod: 3600 reauthenabled: Disabled KeyTransmissionEnabled: Yes ethernet0/0 DOT1X+ Se muestra la siguiente información: Interface: información del interfaz y puerto. Authenticator PAE state: estado de la máquina de estados asociada a la comunicación del autenticador con el suplicante. Backend Authentication state: estado de la máquina de estados asociada a la comunicación del autenticador con el servidor de autenticación. AdminControlledDirections: configuración de sentidos controlados por la autenticación 802.1X: paquetes de entrada (In) o paquetes de entrada y salida (Both). OperControlledDirections: indica los sentidos controlados por la autenticación 802.1X. Normalmente este valor coincide con el valor configurado. Sin embargo, la ejecución de las máquinas de estados puede hacer que este parámetro tome el valor Both siendo el valor configurado In. AuthControlledPortControl: Configuración del control del puerto por parte de la autenticación 802.1X. Los valores posibles son ForceAuthorized si el puerto está autorizado independientemente de la autenticación 802.1X, ForceUnauthorized si el puerto no está autorizado independientemente de la autenticación 802.1X y Auto si el estado del puerto viene determinado por la autenticación 802.1X. AuthControlledPortStatus: Estado del puerto, autorizado (Authorized) o no (Unauthorized). quietperiod: valor configurado de la variable quietperiod: tiempo que debe esperar el autenticador antes de reintentar el proceso de autenticación en caso de error en la autenticación. servertimeout: valor configurado de la variable servertimeout: tiempo que se espera una respuesta del servidor de autenticación antes de decidir que no hay respuesta. reauthperiod: tiempo entre reautenticaciones. reauthenabled: indica si la autenticación está habilitada o no. KeyTransmissionEnabled: indica si se permite la transmisión de claves o no. Para puertos de un switch los estadísticos no se actualizan correctamente. SHOW AUTHENTICATOR DIAGNOSTICS Muestra información útil para conocer el funcionamiento del autenticador. Esta información se refiere a las máquinas de estado definidas en el estándar 802.1X, por lo que es necesario conocimiento de dichas máquinas de estado para su correcta interpretación. Ejemplo: ethernet0/0 DOT1X+show authenticator diagnostics Interface: ethernet0/0 (port 1) authentersconnecting: 0 autheaplogoffswhileconnecting: 0 ROUTER TELDAT Autenticación 802.1X Monitorización III - 24

28 authentersauthenticating: 0 authauthsuccesswhileauthenticating: 0 authauthtimeoutswhileauthenticating: 0 authauthfailwhileauthenticating: 0 authautheapstartswhileauthenticating: 0 authautheaplogoffwhileauthenticating: 0 authauthreauthwhileauthenticating: 0 authautheapstartswhileauthenticated: 0 authautheaplogoffwhileauthenticated: 0 backendresponses: 0 backendaccesschallenges: 0 backendotherrequeststosupplicant: 0 backendauthsuccesses: 0 backendauthfails: 0 ethernet0/0 DOT1X+ Se muestra la siguiente información: Interface: información del interfaz y puerto. authentersconnecting: Número de veces que la máquina de estados pasa a estado CONNECTING desde cualquier otro estado. autheaplogoffswhileconnecting: Número de veces que la máquina de estados pasa de CONNECTING a DISCONNECTED por la recepción de un mensaje de tipo EAPOL-Logoff. authentersauthenticating: Número de veces que la máquina de estados pasa de CONNECTING a AUTHENTICATING por la recepción de un mensaje de tipo EAP- Response/Identity. authauthsuccesswhileauthenticating: Número de veces que la máquina de estados pasa de AUTHENTICATING a AUTHENTICATED como resultado de una autenticación exitosa. authauthtimeoutswhileauthenticating: Número de veces que la máquina de estados pasa de AUTHENTICATING a ABORTING como resultado de un timeout en la autenticación. authauthfailwhileauthenticating: Número de veces que la máquina de estados pasa de AUTHENTICATING a HELD como resultado de una autenticación fallida. authautheapstartswhileauthenticating: Número de veces que la máquina de estados pasa de AUTHENTICATING a ABORTING como resultado de la recepción de un mensaje de tipo EAPOL-Start. authautheaplogoffwhileauthenticating: Número de veces que la máquina de estados pasa de AUTHENTICATING a ABORTING como resultado de la recepción de un mensaje de tipo EAPOL-Logoff. authauthreauthwhileauthenticating: Número de veces que la máquina de estados pasa de AUTHENTICATED a RESTART como resultado de una petición de reautenticación. authautheapstartswhileauthenticated: Número de veces que la máquina de estados pasa de AUTHENTICATED a CONNECTING como resultado de la recepción de un mensaje de tipo EAPOL-Start. authautheaplogoffwhileauthenticated: Número de veces que la máquina de estados pasa de AUTHENTICATED a DISCONNECTED como resultado de la recepción de un mensaje de tipo EAPOL-Logoff. backendresponses: Número de veces que se envía la primera respuesta del suplicante a la capa de comunicación con el servidor de autenticación. backendaccesschallenges: Número de veces que se recibe la primera petición del servidor de autenticación tras la primera respuesta del suplicante. backendotherrequeststosupplicant: Número de veces que se envía un paquete EAP-Request después del envío del primer paquete al suplicante. ROUTER TELDAT Autenticación 802.1X Monitorización III - 25

29 backendauthsuccesses: Número de veces que se recibe una indicación de éxito del servidor de autenticación. backendauthfails: Número de veces que se recibe una indicación de fallo de la autenticación del servidor de autenticación. SHOW AUTHENTICATOR SESSION-STATISTICS Muestra estadísticos de la sesión actual. En caso de que el puerto no esté autorizado, los estadísticos que se muestran corresponden a la última sesión establecida. Ejemplo: ethernet0/0 DOT1X+show authenticator session-statistics Interface: ethernet0/0 (port 1) Session Octets Received: Session Octets Transmitted: 22 Session Frames Received: 332 Session Frames Transmitted: 1 Session Identifier: ethernet0/0-port1-session1 Session Authentication Method: Remote Authentication Server Session Time: 15s Session Terminate Cause: Not Terminated Yet Session User Name: Teldatdot1x Se muestra la siguiente información: Interface: información del interfaz y puerto. Session Octets Received: número de octetos recibidos en la sesión actual. Session Octets Transmitted: número de octetos transmitidos en la sesión actual. Session Frames Received: número de tramas recibidas en la sesión actual. Session Frames Transmitted: número de tramas transmitidas en la sesión actual. Session Identifier: Identificador de la sesión para este autenticador. Session Authentication Method: método de autenticación utilizado. Puede ser autenticación local (Local Authentication Server) o remota (Remote Authentication Server). Session Time: Duración de la sesión en segundos. Session Terminate Cause: Causa de terminación de la sesión. Las causas posibles son: Supplicant Logoff: se ha recibido un paquete EAPOL-Logoff del suplicante Port Failure: se ha producido algún fallo en el puerto (error de autenticación, interfaz caído, etc). Supplicant Restart: se ha recibido un paquete EAPOL-Start del suplicante. Reauthentication Failure: se ha producido un fallo al reautenticar al suplicante. Port Control forced to unauthorized: se ha forzado el estado del puerto a no autorizado. Port re-initialization: se ha producido una reinicialización del puerto. Port Administratively Disabled: el puerto está administrativamente no operativo. Not Terminated Yet: la sesión está activa. Session User Name: identidad del suplicante. SHOW AUTHENTICATOR STATISTICS Muestra estadísticos del autenticador. Ejemplo: ethernet0/0 DOT1X+show authenticator statistics Interface: ethernet0/0 (port 1) EAPOL frames received: 0 ROUTER TELDAT Autenticación 802.1X Monitorización III - 26

30 EAPOL frames transmitted: 1 EAPOL Start frames received: 0 EAPOL Logoff frames received: 0 EAP Resp/Id frames received: 0 EAP Response frames received: 0 EAP Initial Request frames transmitted: 0 EAP Request frames transmitted: 0 Invalid EAPOL frames received: 0 EAP length error frames received: 0 Last EAPOL frame version: 0 Se muestra la siguiente información: Interface: información del interfaz y puerto. EAPOL frames received: Número de tramas EAPOL válidas recibidas. EAPOL frames transmitted: Número de tramas EAPOL transmitidas. EAPOL Start frames received: Número de tramas EAPOL-Start recibidas. EAPOL Logoff frames received: Número de tramas EAPOL-Logoff recibidas. EAP Resp/Id frames received: Número de tramas EAP-Response/Identity recibidas. EAP Response frames received: Número de tramas EAP-Response distintas de EAP- Response/Identity recibidas. EAP Initial Request frames transmitted: Número de tramas EAP Initial Request transmitidas. EAP Request frames transmitted: Número de tramas EAP-Request distintas de EAP Initial Request transmitidas. Invalid EAPOL frames received: Número de tramas EAPOL recibidas con tipo de trama desconocido. EAP length error frames received: Número de tramas EAPOL recibidas con un error en el campo que indica la longitud del cuerpo del paquete. Last EAPOL frame version: Versión del protocolo indicada en la última trama EAPOL recibida EXIT Sale del menú de monitorización por puerto de la autenticación 802.1X. Sintaxis: ethernet0/0 DOT1X+exit ROUTER TELDAT Autenticación 802.1X Monitorización III - 27

31 Capítulo 4 Ejemplos de configuración

32 hecho por M.A. Berrojo Teldat 1. Autenticación 802.1X en un puerto En este ejemplo se van a explicar los pasos necesarios para configurar la autenticación 802.1X en un puerto de un switch Escenario Radius Server port 1: 802.1X Ethernet port 2: Authorized e0/1: e1/0 Atlas port 3: Authorized e0/0 port 4: Unauthorized Corporate LAN En el escenario mostrado en la figura, hay una LAN corporativa conectada al interfaz ethernet0/0. Para acceder a esta LAN, se usa el switch incorporado en el equipo. Se desea que los equipos conectados al puerto 1 realicen autenticación 802.1X antes de tener acceso a la LAN corporativa. Por otro lado, los equipos conectados a los puertos 2 y 3 tienen acceso directo a la LAN corporativa sin necesidad de autenticarse y se deniega el acceso a la LAN corporativa desde el resto de puertos del switch Configuración global de la autenticación 802.1X Lo primero es habilitar globalmente la autenticación 802.1X en el equipo. *config Config>protocol dot1x X User Config -- dot1x config>system-auth-control ROUTER TELDAT Autenticación 802.1X Ejemplos IV - 29

33 1.3. Configuración de la autenticación 802.1X en los puertos Ethernet El interfaz ethernet0/0, al que va conectada la LAN corporativa no realiza autenticación 802.1X, por lo que se fuerza el estado a autorizado. Config>net ethernet0/0 -- Ethernet Interface User Configuration -- ethernet0/0 config>dot1x X User Config -- ethernet0/0 dot1x config>authenticator port-control force-authorized En el switch, el puerto 1 realiza autenticación 802.1X, los puertos 2 y 3 están autorizados y el resto de puertos no están autorizados. Config>net ethernet1/0 -- Ethernet Interface User Configuration -- ethernet1/0 config>repeater -- Repeater User Config -- ethernet1/0 repeater config>port 1 dot1x X User Config -- ethernet1/0 (port 1) dot1x config>authenticator port-control auto ethernet1/0 (port 1) dot1x config>exit ethernet1/0 repeater config>port 2 dot1x X User Config -- ethernet1/0 (port 2) dot1x config>authenticator port-control force-authorized ethernet1/0 (port 2) dot1x config>exit ethernet1/0 repeater config>port 3 dot1x X User Config -- ethernet1/0 (port 3) dot1x config>authenticator port-control force-authorized ethernet1/0 (port 3) dot1x config> exit ethernet1/0 repeater config>port 4 dot1x X User Config -- ethernet1/0 (port 4) dot1x config>authenticator port-control force-authorized ethernet1/0 (port 4) dot1x config>exit 1.4. Configuración de Radius Por último se configura el acceso al servidor Radius. Para obtener información sobre la configuración del Radius, puede consultarse el manual Dm733 Protocolo Radius. 1. Se accede al menú de configuración de Radius Config>feature radius -- RADIUS User Configuration -- RADIUS config> 2. Se configura la dirección del servidor Radius ROUTER TELDAT Autenticación 802.1X Ejemplos IV - 30

34 RADIUS config>primary-address RADIUS config> 3. Se configura la clave para el servidor Radius RADIUS config>primary-secret whatever RADIUS config> 4. Se habilita Radius RADIUS config>enable radius RADIUS enabled RADIUS config> 5. Se sale del menú de configuración de Radius. RADIUS config>exit Config> 6. Se configura la dirección IP en la ethernet0/1 para acceder al servidor Radius. Config>net ethernet0/1 -- Ethernet Interface User Configuration -- ethernet0/1 config>ip address Configuración completa La configuración completa queda como sigue: ; Showing Menu and Submenus Configuration for access-level ; ATLAS150 Router 7 96 Version Alfa log-command-errors no configuration ; network ethernet0/0 ; -- Ethernet Interface User Configuration -- dot1x ; X User Config -- authenticator port-control force-authorized exit ; exit ; network ethernet0/1 ; -- Ethernet Interface User Configuration -- ip address ; exit ; network ethernet1/0 ; -- Ethernet Interface User Configuration -- repeater ; -- Repeater User Config -- ROUTER TELDAT Autenticación 802.1X Ejemplos IV - 31

35 port 2 dot1x ; X User Config -- authenticator port-control force-authorized exit ; port 3 dot1x ; X User Config -- authenticator port-control force-authorized exit ; port 4 dot1x ; X User Config -- authenticator port-control force-unauthorized exit ; exit ; exit ; protocol dot1x ; X User Config -- system-auth-control exit ; feature radius ; -- RADIUS User Configuration -- primary-address primary-secret whatever enable radius exit ; dump-command-errors end ROUTER TELDAT Autenticación 802.1X Ejemplos IV - 32