Configuración de 802.1X en switches serie SG300

Objetivo

802.1X es un estándar IEEE que implementa la autenticación basada en puerto. Si un puerto utiliza 802.1X, cualquier cliente que utilice ese puerto (denominado suplicante) debe presentar las credenciales correctas antes de que se le conceda acceso a la red. Un dispositivo que implementa 802.1X (conocido como el autenticador) debe poder comunicarse con un servidor RADIUS (servicio de usuario de acceso telefónico de autenticación remota) que se encuentre en otro lugar de la red. Este servidor contiene una lista de usuarios válidos a los que se permite el acceso a la red; las credenciales enviadas por el autenticador (que le haya sido otorgado por el solicitante) deben coincidir con las que tiene el servidor RADIUS. Si es así, el servidor indica al autenticador que conceda acceso al usuario; de lo contrario, el autenticador denegará el acceso.

El estándar 802.1X es una buena medida de seguridad para evitar que usuarios no deseados accedan a la red conectándose a un puerto físico. Tenga en cuenta que para que 802.1X funcione, un servidor RADIUS ya debe estar configurado en otra parte de la red y el autenticador debe poder comunicarse con él.

El objetivo de este documento es mostrarle cómo configurar 802.1X en los switches de la serie SG300.

Dispositivos aplicables

Switches · serie SG300

Versión del software

•v1.4.1.3

Configuración de la Autenticación 802.1X

Adición de un servidor RADIUS

Paso 1. Inicie sesión en la utilidad de configuración web y elija Security > RADIUS. Se abre la página RADIUS.

Paso 2. En el campo RADIUS Accounting, elija un botón de opción para seleccionar el tipo de información de contabilización que se dará al servidor RADIUS. Se puede proporcionar a un servidor RADIUS información de contabilidad que realice un seguimiento del tiempo de sesión de un usuario, los recursos que utilice y otras cosas. La opción seleccionada aquí no afectará al rendimiento de 802.1X.

Las opciones son:

Control de acceso basado en puerto · - Esta opción envía información de contabilización sobre las sesiones autenticadas basadas en puerto al servidor RADIUS.

· Management Access - Esta opción envía información de contabilidad sobre las sesiones de administración del switch al servidor RADIUS.

· tanto el control de acceso basado en puerto como el acceso a la administración - Esta opción envía ambos tipos de información de contabilización al servidor RADIUS.

· Ninguno: no envíe información de contabilización al servidor RADIUS.

Paso 3. En el área Usar parámetros predeterminados, configure los parámetros que se utilizarán de forma predeterminada a menos que un servidor RADIUS agregado esté configurado con sus propios parámetros específicos; cada entrada de servidor individual que agregue al switch puede utilizar los valores predeterminados o los valores únicos independientes. Para este artículo, utilizaremos los parámetros predeterminados definidos en esta sección.

Configure los siguientes parámetros:

· Reintentos: introduzca el número de veces que el switch intentará ponerse en contacto con un servidor RADIUS antes de pasar al siguiente servidor. El valor predeterminado es 3.

· Tiempo de espera para respuesta: introduzca el número de segundos que el switch esperará una respuesta del servidor RADIUS antes de realizar una acción adicional (intentarlo de nuevo o rendirse). El valor predeterminado es 3.

· Tiempo muerto: introduzca el número de minutos que transcurren antes de que se transfiera un servidor RADIUS que no responde para las solicitudes de servicio. El valor predeterminado es 0; este valor significa que el servidor no se omite.

· Key String: Introduzca la clave secreta utilizada para la autenticación entre el switch y el servidor RADIUS. Si tiene una clave cifrada, introdúzcala con el botón de opción Cifrado; de lo contrario, introduzca la tecla de texto sin formato con el botón de opción Texto sin formato.

Interfaz IPv4/IPv6 de origen ·: utilice estas listas desplegables para elegir qué interfaz de origen IPv4/IPv6 se utilizará al comunicarse con el servidor RADIUS. El valor predeterminado es Auto (Automático), que utilizará la dirección IP de origen predeterminada definida en la interfaz saliente.

Paso 4. Haga clic en Apply (Aplicar). Se aplicará la configuración predeterminada.

Paso 5. La tabla RADIUS mostrará las entradas del servidor RADIUS configuradas actualmente en el switch. Para agregar una nueva entrada, haga clic en el botón Add.... Se abrirá la ventana Agregar servidor RADIUS.

Paso 6. En el campo Definición del servidor, elija si desea contactar con el servidor RADIUS por dirección IP o por nombre (nombre de host). Si ha seleccionado By IP address, seleccione utilizar IPv6 (Versión 6) o IPv4 (Versión 4). Si ha seleccionado la versión 6, utilice el tipo de dirección IPv6 y la interfaz local de enlace para especificar la dirección IPv6 que se utilizará.

Paso 7. En el campo Server IP Address/Name, ingrese la dirección IP o el nombre de host del servidor RADIUS.

Paso 8. En el campo Priority, ingrese la prioridad que desea asignar a este servidor; el switch intentará ponerse en contacto con el servidor con la prioridad más alta y continuar por la lista hasta que encuentre un servidor que responda. El rango es 0 - 65535, siendo 0 la prioridad más alta.

Paso 9. Seleccione el botón de opción Use Default en los campos Key String, Timeout for Reply, Retries y Dead Time para utilizar las configuraciones previamente configuradas en la página RADIUS. También puede seleccionar los botones de opción Definido por el Usuario para configurar los valores que son diferentes de los predeterminados; si lo hace, estos parámetros sólo se utilizarán para este servidor RADIUS específico.

Paso 10. En el campo Authentication Port, especifique el puerto que se utilizará para la comunicación de autenticación con el servidor RADIUS. Se recomienda dejarlo en el puerto predeterminado, 1812.

Paso 11. En el campo Accounting Port, especifique el puerto que se utilizará para la comunicación de contabilización con el servidor RADIUS. Se recomienda dejarlo en el puerto predeterminado, 1813.

Paso 12. En el campo Tipo de uso, seleccione para qué se utilizará el servidor RADIUS. Al configurar 802.1X, seleccione los botones de opción 802.1x o All para utilizar el servidor RADIUS para la autenticación de puertos 802.1X.

Paso 13. Haga clic en Apply (Aplicar). El servidor se agregará a la tabla RADIUS. Para habilitar la autenticación 802.1X basada en puerto, continúe con la siguiente sección.

Habilitación de la Autenticación Basada en Puerto

Paso 1. En la utilidad de configuración web, vaya a Security > 802.1X/MAC/Web Authentication > Properties. Se abre la página Propiedades.

Paso 2. En el campo Port-Based Authentication, marque la casilla Enable para habilitar la autenticación basada en puerto. Esto se activa como opción predeterminada.

Paso 3. En el campo Authentication Method, elija un botón de opción para determinar cómo funcionará la autenticación basada en puerto.

Las opciones son:

· RADIUS, None - El switch intentará comunicarse con los servidores RADIUS definidos en la página RADIUS. Si no se recibe ninguna respuesta de los servidores, no se realiza ninguna autenticación y se permite la sesión. Si el servidor responde y las credenciales son incorrectas, se deniega la sesión.

RADIUS · - El switch intentará comunicarse con los servidores RADIUS definidos en la página RADIUS. Si no se recibe ninguna respuesta de los servidores, se niega la sesión. Para la implementación 802.1X más segura, se recomienda esta opción.

· Ninguno: no se realiza ninguna autenticación. Se permitirán todas las sesiones. Esta opción no implementará 802.1X.

Paso 4. Haga clic en Apply (Aplicar).

Paso 5. Vaya a Seguridad > Autenticación 802.1X/MAC/Web > Autenticación de puerto. Se abre la página Autenticación de puerto.

Paso 6. Seleccione el puerto que desea configurar seleccionando su botón de opción en la Tabla de Autenticación de Puerto y haciendo clic en el botón Editar.... Se abre la ventana Edit Port Authentication.

Paso 7. En el campo Administrative Port Control, elija un botón de opción para determinar cómo el puerto autorizará las sesiones. El campo Current Port Control muestra el estado de autorización actual del puerto seleccionado.

Las opciones son:

· Forzar no autorizado: mueve la interfaz a un estado no autorizado. El dispositivo no proporciona autenticación a ningún cliente conectado a este puerto y niega el acceso.

· Automático: habilita la autenticación basada en puerto para el puerto seleccionado. Mueve la interfaz entre autorizada y no autorizada en función del resultado del procedimiento de autenticación. Elija esta opción para implementar 802.1X.

· Force Authorized (Fuerza autorizada): mueve la interfaz a un estado autorizado. El dispositivo proporcionará acceso a cualquier cliente que se conecte a este puerto sin autenticación.

Paso 8. Marque la casilla de verificación Enable en el campo Autenticación basada en 802.1X para habilitar la autenticación 802.1X para el puerto seleccionado.

Paso 9. Haga clic en Apply (Aplicar). El puerto ahora debe estar completamente configurado para la autenticación basada en puerto 802.1X y está listo para comenzar a autenticar cualquier cliente que se conecte a él. Utilice el campo Interface para seleccionar un puerto diferente para configurar sin volver a la página Port Authentication.

Paso 10. Si desea copiar rápidamente los parámetros de un puerto a otro puerto o rango de puertos, haga clic en el botón de opción del puerto que desea copiar en la Tabla de autenticación de puertos y haga clic en el botón Copiar configuración.... Se abre la ventana Copiar configuración.

Paso 11. En el campo de texto, introduzca el puerto o puertos (separados por comas) al que desea copiar la configuración. También puede especificar un rango de puertos. A continuación, haga clic en Aplicar para copiar los parámetros.