Hlavní navigace

Názor k článku Den IPv6 proběhl a ke kolapsu nedošlo od TP - Bohuzel to je caste a mylne dogma, ktere...

  • Článek je starý, nové názory již nelze přidávat.
  • 14. 6. 2011 10:31

    TP (neregistrovaný)

    Bohuzel to je caste a mylne dogma, ktere kolem 802.1x koluje. 802.1x mi resi autentizaci pouze na linkove vrstve. Dozvim se tedy, ze za PC s MAC adresou XY-XY-XY-XY-XY-XY sedi uzivatel ABC, pripadne autentizoval se na portu D switche E.

    To samozrejme samo o sobe nic nerika o tom jakou IPv4/IPv6 adresu uzivatel pouzil - obecne vzato muze pouzit jakoukoliv. V IPv4 je mnohdy donucen k tomu (konfiguraci port security na switchi), aby mu fungovala IPv4 adresa pridelena jen DHCP serverem. Tim padem je mozne na DHCP serveru spojit autentizacni informace radius serveru a DHCP databazi a mam co jsem chtel.

    V IPv6 na tohle muzeme zapomenout. Pro identifikaci klienta v DHCPv6 se pouziva DUID, ktery nema vztah k MAC adrese pouzitou ke komunikaci. Takze nemohu provest ono propojeni mezi udaji na radiusu a DHCPv6 databazi, protoze nemam zadny udaj, kterym bych veci dokazal propojit.

    Reseni je sbirani obsahu Neighbor Cache na smerovaci. Nicmene to ovsem vyzaduje pomerne vyrazne poupravovat systemy, ktere se pouzivaji pro IPv4. Nastroju, ktere by to dokazaly delat neni mnoho (zatim co znam tak system NAV http://metanav.uninett.no/, system netdisco ve vyvojove verzi http://www.netdisco.org/ ci ubastlit si neco vlastniho). V kazdem pripade to nnei vec na jedno dopoledne.

    Takze zaver: 802.1x neni vsespasitelne. Je to technologie ktera dela co se od ni ocekava, ale z principu fungovani pochopitelne nic nerika o identite uzivatele na vyssich protokolovych vstvach.