- play_arrow Aulas de login e configurações de login
- play_arrow Contas de usuário
- play_arrow Senhas para acesso ao usuário
- play_arrow Módulo de plataforma confiável
- play_arrow Autenticação do usuário
- play_arrow Gerenciamento de acesso remoto
- Visão geral do acesso remoto
- Modems USB para gerenciamento remoto de dispositivos de segurança
- Acesso seguro à Web para gerenciamento remoto
- Exemplo: Controle de acesso ao gerenciamento em dispositivos de rede da Juniper
- Diretrizes de configuração para proteger o acesso à porta do console
- Configuração do tipo de porta do console (procedimento CLI)
- play_arrow Configuração do controle de acesso à rede baseado em porta IEEE 802.1x
- play_arrow Configuração do controle de acesso à rede baseado em porta IEEE 802.1x no modo LAN aprimorado
- 802.1X para roteadores da Série MX em visão geral aprimorada do modo LAN
- Entenda o 802.1X e LLDP e LLDP-MED em roteadores da Série MX no modo LAN aprimorado
- Entenda a contabilidade 802.1X e RADIUS em roteadores da Série MX no modo LAN aprimorado
- Entenda o 802.1X e o VoIP em roteadores da Série MX no modo LAN aprimorado
- Entendendo as VLANs convidadas para 802.1X em roteadores da Série MX no modo LAN aprimorado
- Entendendo as VLANs dinâmicas para 802.1X em roteadores da Série MX no modo LAN aprimorado
- Entendendo o fail fallback do servidor e a autenticação em roteadores da Série MX no modo LAN aprimorado
- Configuração da contabilidade RADIUS 802.1X em roteadores da Série MX no modo LAN aprimorado
- Configuração das configurações da interface 802.1X em roteadores da Série MX no modo LAN aprimorado
- Configuração do LLDP-MED em roteadores da Série MX no modo LAN aprimorado
- Configuração de LLDP em roteadores da Série MX no modo LAN aprimorado
- Configuração de falha de servidor em roteadores da Série MX no modo LAN aprimorado
- Entendendo a autenticação de portal cativo nos roteadores da Série MX
- Entendendo o tempo limite de sessão de autenticação nos roteadores da Série MX
- Fluxo de processo de autenticação para roteadores da Série MX no modo LAN aprimorado
- Especificando conexões de servidor RADIUS em um roteador da Série MX no modo LAN aprimorado
- Configuração da autenticação cativa do portal em roteadores da Série MX no modo LAN aprimorado
- Projetando uma página de login de autenticação de portal cativo em um roteador da Série MX
- Configuração do desvio estático mac da autenticação em roteadores da Série MX no modo LAN aprimorado
- Controle dos intervalos de sessão de autenticação em um roteador da Série MX no modo LAN aprimorado
- Configuração da autenticação MAC RADIUS em roteadores da Série MX no modo LAN aprimorado
- Exemplo: Configuração da autenticação MAC RADIUS em um roteador da Série MX
- Exemplo: Configuração da autenticação de portal cativo em um roteador da Série MX
- Exemplo: Conectando um servidor RADIUS para 802.1X a um roteador da Série MX
- Exemplo: Configurando o 802.1X em salas de conferência para fornecer acesso à Internet a visitantes corporativos em um roteador da Série MX
- Exemplo: Configuração do desvio de autenticação mac estático em um roteador da Série MX
- Exemplo: Aplicação de filtros de firewall a vários suplicantes em interfaces habilitadas para autenticação 802.1X ou MAC RADIUS em roteadores da Série MX
- play_arrow Descoberta de dispositivos
- play_arrow Segurança de nomes de domínio
- Visão geral do DNSSEC
- Configuração do valor de TTL para caching de servidor DNS
- Exemplo: Configuração do DNSSEC
- Exemplo: Configuração de domínios seguros e chaves confiáveis para DNSSEC
- Exemplo: Configuração de chaves para DNSSEC
- Visão geral do proxy de DNS
- Configurando o dispositivo como um proxy de DNS
- play_arrow Bandeiras de permissão
- acesso
- controle de acesso
- admin
- controle de administração
- todo
- claro
- configurar
- Controle
- campo
- firewall
- controle de firewall
- disquete
- flow-tap
- controle de fluxo de tap
- operação flow-tap
- operação de idp-profiler
- interface
- controle de interface
- manutenção
- rede
- espelhamento de sessão pgcp
- pgcp-session-mirroring-control
- repor
- reversão
- roteamento
- controle de roteamento
- segredo
- controle secreto
- segurança
- controle de segurança
- concha
- Snmp
- controle de snmp
- sistema
- controle do sistema
- traço
- trace-control
- vista
- configuração de visualização
- play_arrow Declarações de configuração e comandos operacionais
Métodos de autenticação de controle de acesso
Você pode controlar o acesso à sua rede por meio de um dispositivo usando várias autenticações diferentes. Os dispositivos Junos OS oferecem suporte a 802.1X, MAC RADIUS e portal cativo como métodos de autenticação para dispositivos que precisam se conectar a uma rede. Leia este tópico para obter mais informações.
Visão geral da autenticação
Você pode controlar o acesso à sua rede por meio de um dispositivo da Juniper Networks usando métodos de autenticação como 802.1X, MAC RADIUS ou portal cativo. A autenticação impede que dispositivos e usuários não autenticados tenham acesso à sua LAN. Para a autenticação do 802.1X e MAC RADIUS, os dispositivos finais devem ser autenticados antes de receberem um endereço IP de um servidor de protocolo de configuração dinâmica de host (DHCP). Para autenticação cativa do portal, o dispositivo permite que os dispositivos finais adquiram um endereço IP para redirecioná-los a uma página de login para autenticação.
- Autenticação 802.1X
- Autenticação MAC RADIUS
- Autenticação de portal cativo
- Desvio de autenticação mac estático
- Recuo dos métodos de autenticação
Autenticação 802.1X
O 802.1X é um padrão IEEE para controle de acesso à rede (PNAC) baseado em porta. Ele fornece um mecanismo de autenticação para dispositivos que buscam acessar uma LAN. O recurso de autenticação 802.1X é baseado no controle padrão de acesso à rede baseado em porta IEEE 802.1X.
O protocolo de comunicação entre o dispositivo final e o dispositivo é o Extensible Authentication Protocol over LAN (EAPoL). EAPoL é uma versão do EAP projetada para trabalhar com redes Ethernet. O protocolo de comunicação entre o servidor de autenticação e o dispositivo é RADIUS.
Durante o processo de autenticação, o dispositivo conclui várias trocas de mensagens entre o dispositivo final e o servidor de autenticação. Enquanto a autenticação 802.1X está em processo, apenas tráfego 802.1X e tráfego de controle podem transitar pela rede. Outros tráfegos, como tráfego DHCP e tráfego HTTP, estão bloqueados na camada do link de dados.
Você pode configurar o número máximo de vezes em que um pacote de solicitação de EAPoL é retransmitido e o período de tempo entre as tentativas. Para obter informações, veja Configuração das configurações da interface 802.1X (procedimento CLI).
Uma configuração de autenticação 802.1X para uma LAN contém três componentes básicos:
Supplicant (also called end device) | Suplicante é o termo IEEE para um dispositivo final que solicita a adesão à rede. O dispositivo final pode ser responsivo ou não responsável. Um dispositivo final responsivo é habilitado para 802.1X e oferece credenciais de autenticação usando EAP. As credenciais necessárias dependem da versão do EAP que está sendo usado — especificamente, um nome de usuário e senha para EAP MD5 ou um nome de usuário e certificados de cliente para segurança de camada de transporte de protocolo de autenticação extensível (EAP-TLS), segurança de camada de transporte com túnel EAP (EAP-TTLS) e EAP protegido (PEAP). Você pode configurar uma VLAN com rejeição de servidor para fornecer acesso lan limitado para dispositivos finais responsivos habilitados para 802.1X que enviaram credenciais incorretas. Uma VLAN com rejeição de servidor pode fornecer uma conexão corretiva, normalmente apenas para a Internet, para esses dispositivos. Veja exemplo: Configuração de opções de fallback em switches da Série EX para autenticação EAP-TTLS e clientes de acesso Odyssey para obter informações adicionais. Nota: Se o dispositivo final que é autenticado usando o VLAN rejeitado por servidor for um telefone IP, o tráfego de voz será descartado. Um dispositivo final não responsável é aquele que não está habilitado para 802.1X. Ele pode ser autenticado por meio da autenticação MAC RADIUS. |
Authenticator port access entity | O termo IEEE para autenticador. O dispositivo é o autenticador, e controla o acesso bloqueando todo o tráfego de e para dispositivos finais até que eles sejam autenticados. |
Authentication server | O servidor de autenticação contém o banco de dados back-end que toma decisões de autenticação. Ele contém informações de credencial para cada dispositivo final que é autenticado para se conectar à rede. O autenticador encaminha credenciais fornecidas pelo dispositivo final para o servidor de autenticação. Se as credenciais encaminhadas pelo autenticador corresponderem às credenciais no banco de dados do servidor de autenticação, o acesso será concedido. Se as credenciais encaminhadas não corresponderem, o acesso será negado. |
Você não pode configurar a autenticação 802.1X em grupos de tronco redundantes (RTGs). Para obter mais informações sobre RTGs, consulte Entendendo links redundantes de tronco (Configuração RTG legadas).
Autenticação MAC RADIUS
O método de autenticação 802.1X só funciona se o dispositivo final estiver habilitado para 802.1X, mas muitos dispositivos de rede de propósito único, como impressoras e telefones IP, não oferecem suporte ao protocolo 802.1X. Você pode configurar a autenticação MAC RADIUS em interfaces conectadas a dispositivos de rede que não oferecem suporte ao 802.1X e para os quais você deseja permitir o acesso à LAN. Quando um dispositivo final que não é habilitado para 802.1X é detectado na interface, o dispositivo transmite o endereço MAC do dispositivo para o servidor de autenticação. Em seguida, o servidor tenta combinar o endereço MAC com uma lista de endereços MAC em seu banco de dados. Se o endereço MAC corresponde a um endereço da lista, o dispositivo final será autenticado.
Você pode configurar os métodos de autenticação 802.1X e MAC RADIUS na interface. Neste caso, o dispositivo primeiro tenta autenticar o dispositivo final usando 802.1X e, se esse método falhar, ele tenta autenticar o dispositivo final usando a autenticação MAC RADIUS. Se você sabe que apenas suplicantes não responsivos se conectam nessa interface, você pode eliminar o atraso que ocorre para o dispositivo para determinar que o dispositivo final não está habilitado para 802.1X configurando a opção mac-radius restrict
. Quando essa opção está configurada, o dispositivo não tenta autenticar o dispositivo final através da autenticação 802.1X, mas envia imediatamente uma solicitação ao servidor RADIUS para autenticação do endereço MAC do dispositivo final. Se o endereço MAC desse dispositivo final estiver configurado como um endereço MAC válido no servidor RADIUS, o dispositivo abre acesso LAN ao dispositivo final na interface à qual está conectado.
A opção mac-radius-restrict
é útil quando não são necessários outros métodos de autenticação 802.1X, como o VLAN convidado, na interface. Se você configurar mac-radius-restrict
em uma interface, o dispositivo derruba todos os pacotes 802.1X.
Os protocolos de autenticação suportados para autenticação MAC RADIUS são EAP-MD5, que é o padrão, EAP protegido (EAP-PEAP) e protocolo de autenticação de senha (PAP). Você pode especificar o protocolo de autenticação a ser usado para autenticação MAC RADIUS usando a authentication-protocol
declaração.
Autenticação de portal cativo
A autenticação cativa do portal (posteriormente referida como portal cativo) permite que você autenticar usuários redirecionando solicitações de navegador da Web para uma página de login que exige que os usuários insiram um nome de usuário e senha válidos antes que eles possam acessar a rede. O portal cativo controla o acesso à rede exigindo que os usuários forneçam informações autenticadas em um banco de dados de servidor RADIUS usando o EAP-MD5. Você também pode usar o portal cativo para exibir uma política de uso aceitável aos usuários antes que eles acessem sua rede.
O Junos OS fornece um modelo que permite que você projete e modifique facilmente a aparência da página de login do portal cativo. Você habilita interfaces específicas para o portal cativo. A primeira vez que um dispositivo final conectado a uma interface de portal cativa tenta acessar uma página web, o dispositivo apresenta a página de login do portal cativo. Depois que o dispositivo é autenticado com sucesso, ele tem acesso à rede e continua à página original solicitada.
Se o HTTPS estiver habilitado, as solicitações de HTTP serão redirecionadas para uma conexão HTTPS para o processo de autenticação de portal cativo. Após a autenticação, o dispositivo final é devolvido à conexão HTTP.
Se houver dispositivos finais que não estejam conectados com HTTP na interface de portal cativa, você pode permitir que eles contornem a autenticação cativa do portal adicionando seus endereços MAC a um whitelist de autenticação.
Quando um usuário é autenticado pelo servidor RADIUS, quaisquer políticas por usuário (atributos) associadas a esse usuário também são enviadas ao dispositivo.
O portal cativo tem as seguintes limitações:
-
O portal cativo não oferece suporte a atribuição dinâmica de VLANs baixadas do servidor RADIUS.
Se o usuário permanecer ocioso por mais de 5 minutos e não houver passagem de tráfego, o usuário deverá fazer login de volta no portal cativo.
Desvio de autenticação mac estático
Você pode permitir que dispositivos finais acessem a LAN sem autenticação em um servidor RADIUS, incluindo seus endereços MAC na lista de desvios MAC estática (também conhecida como lista de exclusão).
Você pode optar por incluir um dispositivo na lista de desvios para:
Permita que dispositivos não habilitados para 802.1X tenham acesso à LAN.
Elimine o atraso que ocorre para o dispositivo determinar que um dispositivo conectado é um host não habilitado para 802.1X.
Ao configurar MAC estático, o endereço MAC do dispositivo final é verificado pela primeira vez em um banco de dados local (uma lista configurada pelo usuário de endereços MAC). Se uma correspondência for encontrada, o dispositivo final é autenticado com sucesso e a interface é aberta para ele. Nenhuma autenticação adicional é feita para esse dispositivo final. Se uma correspondência não for encontrada e a autenticação 802.1X estiver habilitada no dispositivo, o dispositivo tenta autenticar o dispositivo final através do servidor RADIUS.
Para cada endereço MAC, você também pode configurar a VLAN para a qual o dispositivo final é movido ou as interfaces em que o host se conecta.
Quando você limpa os endereços MAC aprendidos de uma interface, usando o clear dot1x interface
comando, todos os endereços MAC são liberados, incluindo os da lista de desvios MAC estáticos.
Recuo dos métodos de autenticação
Você pode configurar a autenticação de portal cativo 802.1X, MAC RADIUS em uma única interface para permitir o retorno a outro método se a autenticação por um método falhar. Os métodos de autenticação podem ser configurados em qualquer combinação, exceto que você não pode configurar tanto o MAC RADIUS quanto o portal cativo em uma interface sem também configurar o 802.1X. Por padrão, a maioria dos dispositivos usa a seguinte ordem de métodos de autenticação:
Autenticação 802.1X — Se o 802.1X estiver configurado na interface, o dispositivo envia solicitações de EAPoL para o dispositivo final e tenta autenticar o dispositivo final através da autenticação 802.1X. Se o dispositivo final não responder às solicitações de EAP, o dispositivo verifica se a autenticação MAC RADIUS está configurada na interface.
Autenticação MAC RADIUS — Se a autenticação MAC RADIUS estiver configurada na interface, o dispositivo envia o endereço MAC RADIUS do dispositivo final para o servidor de autenticação. Se a autenticação MAC RADIUS não estiver configurada, o dispositivo verifica se o portal cativo está configurado na interface.
Autenticação cativa do portal — se o portal cativo estiver configurado na interface, o dispositivo tenta autenticar o dispositivo final usando este método após os outros métodos de autenticação configurados na interface terem falhado.
Para obter uma ilustração do fluxo padrão do processo quando vários métodos de autenticação forem configurados em uma interface, veja Entendendo o controle de acesso nos switches.
Você pode substituir a ordem padrão para a queda dos métodos de autenticação configurando a declaração da ordem de autenticação para especificar que o dispositivo usa a autenticação 802.1X ou a autenticação MAC RADIUS primeiro. O portal cativo deve ser sempre o último da ordem dos métodos de autenticação. Para obter mais informações, veja Configuração da ordem de autenticação flexível.
Se uma interface estiver configurada no modo múltiplo suplicante, os dispositivos finais conectados pela interface podem ser autenticados usando diferentes métodos em paralelo. Portanto, se um dispositivo final na interface foi autenticado após a queda de volta ao portal cativo, outros dispositivos finais ainda podem ser autenticados usando autenticação 802.1X ou MAC RADIUS.