802.1X w firmie – jak zablokować obce urządzenia w sieci
Wystarczy wolny port w gniazdku sieciowym w sali konferencyjnej, żeby ktokolwiek podłączył własny laptop i znalazł się w tej samej sieci co serwery firmy. Standard 802.1X pozwala to zablokować, wymuszając uwierzytelnienie każdego urządzenia zanim otrzyma dostęp do zasobów.
Dlaczego firewall i hasło do Wi-Fi to za mało
Wiele firm inwestuje w firewalle, VPN-y i ochronę poczty, ale zapomina o najbardziej podstawowym elemencie infrastruktury – fizycznych portach sieciowych. Jeśli ktoś ma dostęp do biura, zwykle ma też dostęp do gniazdka Ethernet, a to oznacza, że może podłączyć dowolne urządzenie i znaleźć się w tej samej sieci lokalnej co serwery, drukarki czy stacje robocze księgowości.
Standardowa ochrona przez hasło do Wi-Fi też nie rozwiązuje problemu w pełni – hasło współdzielone przez cały zespół prędzej czy później trafia do osób, które nie powinny go znać, a rotacja takiego hasła w większej firmie jest uciążliwa. Potrzebny jest mechanizm, który sprawdza tożsamość każdego urządzenia i użytkownika, zanim w ogóle otrzymają adres IP i możliwość komunikacji.
Właśnie to zapewnia 802.1X – standard IEEE definiujący kontrolę dostępu do sieci (NAC, Network Access Control) na poziomie portu przełącznika lub punktu dostępowego Wi-Fi.
Jak działa 802.1X – suplikant, uwierzytelniacz, RADIUS
Mechanizm 802.1X opiera się na trzech elementach, które współpracują ze sobą przy każdej próbie podłączenia urządzenia do sieci.
- Suplikant – oprogramowanie na urządzeniu końcowym (wbudowane w Windows, macOS, Linux), które inicjuje proces uwierzytelnienia.
- Uwierzytelniacz (authenticator) – przełącznik sieciowy lub kontroler Wi-Fi, który blokuje ruch na porcie do momentu potwierdzenia tożsamości.
- Serwer RADIUS – centralny serwer, który sprawdza dane logowania (login i hasło, certyfikat lub kartę) i decyduje, czy urządzenie ma dostęp, oraz do jakiego VLAN-u ma trafić.
Cały proces odbywa się w ramach protokołu EAP (Extensible Authentication Protocol), który obsługuje różne metody uwierzytelniania – od prostego EAP-MSCHAPv2 opartego na haśle, po znacznie bezpieczniejszy EAP-TLS wykorzystujący certyfikaty cyfrowe. W praktyce dla firm rekomendujemy EAP-TLS, ponieważ eliminuje ryzyko przechwycenia hasła i pozwala jednoznacznie powiązać certyfikat z konkretnym urządzeniem.
Dopóki urządzenie nie przejdzie pozytywnie tego procesu, port przełącznika pozostaje zablokowany dla normalnego ruchu – widzi jedynie ramki EAP.
Wdrożenie krok po kroku
Wdrożenie 802.1X w istniejącej infrastrukturze warto rozłożyć na etapy, żeby uniknąć zablokowania działających urządzeń.
- Audyt sprzętu – sprawdź, które przełączniki i punkty dostępowe obsługują 802.1X, oraz zidentyfikuj urządzenia bez suplikanta (drukarki, kamery IP, telefony VoIP starszego typu).
- Wdrożenie serwera RADIUS – np. Microsoft Network Policy Server (NPS) zintegrowany z Active Directory / Entra ID, lub dedykowane rozwiązanie jak FreeRADIUS czy Cisco ISE.
- Wystawienie certyfikatów – jeśli decydujesz się na EAP-TLS, potrzebny jest wewnętrzny urząd certyfikacji (PKI) do wydawania certyfikatów urządzeniom i użytkownikom.
- Tryb monitoringu (monitor mode) – większość przełączników pozwala uruchomić 802.1X w trybie, który loguje nieudane próby uwierzytelnienia, ale nie blokuje jeszcze ruchu. To pozwala wyłapać urządzenia, które nie przejdą procesu, zanim wymusisz pełną blokadę.
- Stopniowe wdrożenie per VLAN lub lokalizacja – zacznij od jednego segmentu sieci, np. sieci gościnnej lub jednego piętra biura, zanim obejmiesz całą firmę.
- Pełne egzekwowanie (enforcement mode) – po zebraniu wyjątków i przetestowaniu polityk włącz tryb, w którym urządzenia bez pozytywnego uwierzytelnienia trafiają do izolowanego VLAN-u lub tracą dostęp całkowicie.
Co zrobić z urządzeniami bez suplikanta
W każdej firmie znajdą się urządzenia, które fizycznie nie potrafią przeprowadzić uwierzytelnienia 802.1X – drukarki sieciowe, kamery monitoringu, telefony IP czy czujniki IoT. Dla nich stosuje się MAB (MAC Authentication Bypass) – serwer RADIUS uwierzytelnia takie urządzenie na podstawie jego adresu MAC zamiast pełnego procesu EAP.
To rozwiązanie jest wygodne, ale mniej bezpieczne, ponieważ adres MAC można sklonować. Dlatego warto ograniczyć jego stosowanie wyłącznie do zaufanych urządzeń o znanym przeznaczeniu i umieszczać je w osobnym, mocno ograniczonym VLAN-ie, bez dostępu do serwerów czy stacji roboczych.
Dobrą praktyką jest też prowadzenie rejestru takich wyjątków – bez niego z czasem trudno odróżnić legalną drukarkę od urządzenia, które ktoś podłączył bez wiedzy działu IT.
Najczęstsze błędy przy wdrożeniu NAC
Z naszego doświadczenia we wdrożeniach u klientów MŚP najczęściej powtarzają się te same problemy.
- Wdrożenie od razu w trybie pełnego egzekwowania – bez wcześniejszego trybu monitorowania kończy się masowym odcięciem pracowników od sieci w środku dnia pracy.
- Brak planu awaryjnego – jeśli serwer RADIUS padnie, a przełączniki są skonfigurowane bez trybu awaryjnego (fail-open lub fail-closed świadomie dobranego), cała firma może stracić dostęp do sieci.
- Pomijanie certyfikatów dla urządzeń firmowych – poleganie wyłącznie na haśle domenowym (EAP-MSCHAPv2) zamiast certyfikatu urządzenia ułatwia atakującemu podłączenie się przy pomocy przechwyconych danych logowania.
- Brak dokumentacji wyjątków MAB – po kilku miesiącach nikt nie pamięta, które urządzenia i dlaczego mają zezwolenie na obejście pełnego uwierzytelnienia.
Wdrożenie 802.1X to projekt, który wymaga współpracy zespołu sieciowego, tożsamościowego i czasem dostawcy zewnętrznego – dlatego warto zaplanować go z odpowiednim wyprzedzeniem, a nie traktować jako szybką łatkę bezpieczeństwa.
| Metoda | Poziom bezpieczeństwa | Złożoność wdrożenia | Typowe zastosowanie |
|---|---|---|---|
| 802.1X z EAP-TLS | Bardzo wysoki | Wysoka | Stacje robocze, laptopy firmowe |
| 802.1X z EAP-MSCHAPv2 | Średni | Średnia | Szybkie wdrożenie z kontem domenowym |
| MAC Authentication Bypass (MAB) | Niski | Niska | Drukarki, kamery, urządzenia IoT |
| Statyczna segmentacja VLAN | Niski-Średni | Niska | Uzupełnienie NAC, sieć gościnna |
Chcesz zablokować obce urządzenia w swojej sieci?
Zespół NovaSys zaprojektuje i wdroży kontrolę dostępu do sieci 802.1X dopasowaną do Twojej infrastruktury – bez ryzyka zablokowania pracy firmy w trakcie wdrożenia.