Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
[Функция] Управление 802.1x для нескольких хостов должно активировать MAB, feature-request
 
#1
18.04.2021 08:58:00
Мульти-хост нужен, когда хочется проверить такие устройства, как коммутаторы, точки доступа или VoIP-телефоны, у которых подключённые устройства не поддерживают 802.1x. Текущая реализация «Мульти-хост» не поддерживает обход аутентификации по MAC-адресу (MAB). Это значит, что коммутатор, точка доступа или VoIP-телефон должны отвечать на вызовы 802.1x. Но почти ни одно из этих устройств не умеет быть supplicant’ом. Поэтому «Мульти-хост» сейчас толком не работает.

Пожалуйста, рассмотрите возможность включения MAB вместе с «Мульти-хостом» или добавления другого режима управления, который это поддерживает. Это очень поможет пользователям, которые хотят предотвратить отключение своих коммутаторов или точек доступа и подключение к порту чужих компьютеров.

Чтобы было понятно, нам нужен новый опциональный режим, который разблокирует весь физический порт при авторизации одного устройства. Это должно быть проще, чем отслеживать MAC-адреса по одному, как сейчас.
 
 
 
#2
29.11.2021 15:53:00
да +1
 
 
 
#3
07.11.2021 14:41:00
Хочу только добавить, что у Multi-host должна быть включена опция только MAB. У меня есть реальный случай использования Multi-host без включённого MAB (с которым у меня тоже возникают проблемы): https://community.ui.com/questions/Issue-with-Wired-802-1X-Authentication/004daa9f-e606-4a8e-a6ac-477b7d01882f
 
 
 
#4
07.11.2021 09:02:00
+1 Спасибо, ребята. Это то, что я тоже искал.
 
 
 
#5
01.11.2021 00:16:00
Звучит логично. Значит, единственный способ реализовать часто запрашиваемую функцию по защите точек доступа — это либо добавить поддержку per-port MAB. Либо встроить 802.1x supplicant (то есть клиент) в точки доступа, чтобы они могли работать в Автоматическом режиме. Или… что менее вероятно — добавить поддержку 802.1ae «MACSec», которая накладывает шифрование поверх supplicant в точках доступа. Так злоумышленник не сможет разблокировать порт и подцепить свой компьютер к кабелю (чтобы избежать отключения порта и его повторной блокировки) для атаки на сеть.
 
 
 
#6
31.10.2021 23:37:00
Спасибо. Правильно ли я понимаю описание различных вариантов управления 802.1X?  
Auto: MAB выключен, аутентификация по каждому порту.  
MAC-based: MAB включен, аутентификация по каждому MAC-адресу.  
Multi-host: MAB выключен, аутентификация по каждому MAC-адресу.  
Если нет, не могли бы вы меня исправить?
 
 
 
#7
31.10.2021 23:00:00
Когда RADIUS даёт «ок» на запрос 802.1x на порту коммутатора, есть два варианта обработки этого коммутатора:

1) Разблокировать физический порт коммутатора для всех пакетов, независимо от MAC-адреса. Это удобно для точки доступа (AP), когда нужно защититься от физического отключения точки, а аутентификация клиентов не особо важна.

ИЛИ

2) Разблокировать только MAC-адрес самого клиента (supplicant). Это полезно, когда к одному порту коммутатора через простой (неграмотный) свитч подключается несколько клиентов. Даже после аутентификации точки доступа коммутатор будет проверять каждого клиента, который к ней подключается. В таком случае, можно просто включить WPA2 Enterprise, чтобы получить тот же результат.

Коммутаторы Unifi настроены на поддержку только второго варианта MAB. А все хотят, чтобы был первый вариант. В идеале должны быть отдельные галочки для 802.1x, MAB и аутентификации на порту или по MAC-адресу.

Говоря языком таблицы истинности, это выглядело бы так:

- 802.1x выключен — остальные параметры не важны  
- 802.1x включен, MAB нет, аутентификация на уровне порта  
- 802.1x включен, MAB нет, аутентификация по MAC-адресу на порту  
- 802.1x включен, MAB включен, аутентификация на уровне порта  
- 802.1x включен, MAB включен, аутентификация по MAC-адресу на порту

Сейчас Unifi поддерживает только очень маленький набор этих комбинаций.
 
 
 
#8
31.10.2021 22:20:00
Разве опция «MAC-based» не даёт того, что ты хочешь (MAB)? По тому, что я понял из этой ссылки: https://community.ui.com/questions/802-1x-Control-mac-based-also-enables-MAB/27cab275-1e9a-434f-b00f-e55c5232dd3f Если нет, то, возможно, я не совсем понимаю разницу между «MAC-based» и «Multi-host» аутентификацией — в таком случае, в чём же разница между ними?
 
 
 
#9
01.09.2021 15:58:00
Плюс один.
 
 
 
#10
29.08.2021 20:22:00
Плюс один.
 
 
 
#11
18.05.2021 16:37:00
+1
 
 
 
#12
11.05.2021 10:09:00
Плюс один.
 
 
 
Страницы: 1
Читают тему (гостей: 1)