В обычной компьютерной сети все устройства могут без ограничений получать информацию, которая передаётся по ней. Однако такую свободу злоумышленники могут использовать для похищения информации, хакерских атак, нелегального использования ресурсов сети и т.п.
Стандарт IEEE 802.1X позволяет в компьютерной сети выделить закрытые защищенные сегменты и контролировать правомочность подключения к ним.
По стандарту IEEE 802.1X в процедуре авторизации участвуют:
- Оконечное устройство в компьютерной сети – компьютер, IP-камера, видеосервер и т.п.;
- Коммутатор - выполняет блокировку или передачу трафика оконечному устройству на основе данных авторизации от сервера авторизации;
- Сервер аутентификации - проводит проверку права подключения оконечного устройства к закрытой сети.
Сервер аутентификации проверяет каждый оконечное устройство перед тем, как оно сможет воспользоваться сервисами, которые предоставляет ему коммутатор. Этапы аутентификации:
- Коммутатор запрашивает идентификацию у оконечного устройства
- Коммутатор запрашивает право на подключение оконечного устройства у сервера авторизации по протоколу RADIUS.
- При успешной аутентификации коммутатор переводит порт с подключенным оконечным устройством (например, IP-камерам, серверам и т.п.) в авторизованное состояние и на него поступает трафик из закрытого сегмента сети.
- Если аутентификация на сервере не проходит, то порт остаётся в неавторизованном состоянии, трафик из защищенного сегмента не передаётся.
Попытка аутентификации может быть повторена.
RADIUS (Remote Authentication Dial In User Service) — сетевой протокол, предназначенный для обеспечения централизованной аутентификации, авторизации и учёта (Authentication, Authorization, and Accounting, AAA) пользователей, подключающихся к различным сетевым службам.