Dot1x authentication หรือ IEEE 802.1X
เป็นมาตรฐานการควบคุมการเข้าถึงเครือข่ายที่ใช้พอร์ต (Port-based Network Access Control) มีหน้าที่ตรวจสอบความถูกต้องของอุปกรณ์ที่ต้องการเชื่อมต่อกับเครือข่าย LAN หรือ WLAN เปรียบเหมือนประตูที่คอยคัดกรองอุปกรณ์ที่ไม่พึงประสงค์ ช่วยป้องกันการโจมตีทางไซเบอร์ รักษาความปลอดภัยให้กับข้อมูลบนเครือข่าย
หลักการทำงานของ Dot1x authentication
- อุปกรณ์ไคลเอนต์ เช่น คอมพิวเตอร์ โทรศัพท์มือถือ ต้องการเชื่อมต่อกับเครือข่าย
- สวิตช์ บนเครือข่ายจะส่งข้อความ EAP (Extensible Authentication Protocol) ไปยังอุปกรณ์ไคลเอนต์
- อุปกรณ์ไคลเอนต์ จะตอบกลับข้อความ EAP ด้วยข้อมูลรับรองความถูกต้อง เช่น ชื่อผู้ใช้ รหัสผ่าน ใบรับรองดิจิทัล
- สวิตช์ จะส่งข้อมูลรับรองความถูกต้องไปยัง เซิร์ฟเวอร์ RADIUS (Remote Authentication Dial-In User Service)
- เซิร์ฟเวอร์ RADIUS ตรวจสอบข้อมูลรับรองความถูกต้อง
- กรณีถูกต้อง: เซิร์ฟเวอร์ RADIUS จะส่งข้อความตอบกลับไปยังสวิตช์เพื่ออนุญาตให้อุปกรณ์ไคลเอนต์เชื่อมต่อกับเครือข่าย
- กรณีไม่ถูกต้อง: เซิร์ฟเวอร์ RADIUS จะส่งข้อความตอบกลับไปยังสวิตช์เพื่อปฏิเสธการเชื่อมต่อ
- สวิตช์ แจ้งผลการตรวจสอบความถูกต้องไปยังอุปกรณ์ไคลเอนต์
ข้อดีของ Dot1x authentication
- เพิ่มความปลอดภัยให้กับเครือข่าย ป้องกันการโจมตีแบบ Man-in-the-Middle Attack
- ควบคุมการเข้าถึงเครือข่ายได้อย่างละเอียด กำหนดสิทธิ์การเข้าถึงข้อมูลตามระดับผู้ใช้
- รองรับวิธีการรับรองความถูกต้องที่หลากหลาย เช่น ชื่อผู้ใช้/รหัสผ่าน ใบรับรองดิจิทัล โทเค็นความปลอดภัย
- รองรับการใช้งานกับอุปกรณ์ที่หลากหลาย เช่น คอมพิวเตอร์ โทรศัพท์มือถือ เครื่องพิมพ์
อุปกรณ์ที่เชื่อมต่อกับ WLAN จำเป็นต้องมีกลไกการตรวจสอบสิทธิ์ เพื่ออนุญาตการเข้าถึงเครือข่ายโดยใช้ Radius Server ตรวจสอบข้อมูลประจำตัวของผู้ใช้ ว่าเป็นสมาชิกขององค์กรอยู่หรือไม่ ให้สิทธิ์ผู้ใช้ในการเข้าถึงเครือข่ายในระดับต่างๆ ขึ้นอยู่กับนโยบายของเครือข่าย และช่วยลดการพึ่งพารหัสผ่านเครือข่ายเพียงรหัสเดียวที่สามารถถูกขโมยได้ง่าย
การเชื่อมต่อแบบนี้ สร้างแค่ 1 SSID แต่สามารถใช้งานได้ Multi vLAN / Gateway เพื่อลดปัญหาสัญญาณรบกวน (interference signal)
เขียนโดย : อนุรักษ์ (Network Engineer)
แหล่งอ้างอิง : securew2.com