Een PRISMAsync Print Server-printer kan worden gebruikt in een Local Area Network (LAN) die wordt beveiligd door IEEE 802.1X. De 802.1X-standaard biedt de mogelijkheid om een netwerkverbinding te accepteren of te weigeren op basis van de identiteit van een eindpunt. Dit eindpunt kan een gebruiker, een apparaat of een toepassing zijn. Zolang het eindpunt niet is geïdentificeerd en geverifieerd, is de toegang tot andere eindpunten van het beschermde netwerk niet mogelijk.
IEEE 802.1X-beveiliging is gebaseerd op de status van de Local Area Network (LAN)-poorten van de clients. Een met IEEE 802.1X configureerbare Local Area Network (LAN)-poort kan dynamisch worden in- of uitgeschakeld. De resultaten van het IEEE 802.1X-verificatieproces bepalen of de poort al dan niet wordt ingeschakeld.
In tekstkaders in dit onderwerp wordt de IEEE 802.1X-implementatie van PRISMAsync Print Server beschreven.
De IEEE 802.1X-standaard maakt onderscheid tussen de volgende onderdelen: aanvrager, verificator en verificatieserver.
Aanvrager
De client, bijvoorbeeld PRISMAsync Print Server, die verzoekt om toegang tot het Local Area Network (LAN) en reageert op aanvragen van de verificator.
Verificator
De verificator is een switch of router waarmee de fysieke toegang tot het netwerk wordt beheerd. De toegang wordt gebaseerd op de verificatiestatus van de client. De verificatie wordt uitgevoerd door de verificatieserver. De verificatieserver is de RADIUS (Remote Authentication Dial-In User Service)-server in Windows Server.
Verificatieserver
De verificatieserver verifieert de identiteit van de aanvrager. De industriestandaard van de verificatieserver is een RADIUS-server. Network Policy Server (NPS) is een service in Windows Server. Deze service fungeert als RADIUS-server om clients te verifiëren op basis van Active Directory. De RADIUS-server informeert de verificator dat de client geautoriseerd is voor toegang tot het LAN-netwerk.
IEEE 802.1X-onderdelen en hun takenHet schema is een eenvoudig overzicht van de werking van IEEE 802.1X.
A. Vóór de poortverificatie is de identiteit van de aanvrager, bijvoorbeeld PRISMAsync Print Server, onbekend en wordt al het gegevensverkeer naar de beschermde kant van het netwerk geblokkeerd. Door middel van IEEE 802.1X-communicatie kunnen identiteitsgegevens, zoals identiteitscertificaten, worden uitgewisseld en kan worden onderhandeld over de gebruikte protocollen en verificatiemethoden.
B. Na de poortverificatie is verkeer naar de beschermde kant van het netwerk mogelijk.
|
PRISMAsync Print Server gebruikt Windows 10 client om als aanvrager te fungeren en ondersteunt Windows Server 2016 als verificatieserver (RADIUS-server). |
Over het algemeen maakt IEEE 802.1X gebruik van Extensible Authentication Protocol (EAP) om te onderhandelen over de verificatiemethode van de aanvrager en de verificatieserver. De aanvrager kan een certificaat, een smartcard of referenties gebruiken ter identificatie.
EAP werkt samen met extra verificatieprotocollen, zoals Transport Layer Security (TLS) en Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP-V2).
EAP-TLS
EAP-TLS wordt gebruikt in beveiligingsomgevingen op basis van certificaten. Dit biedt de sterkste methode voor verificatie en sleutelbepaling. Voor EAP-TLS moet de aanvrager over een identiteitscertificaat beschikken.
EAP-MS-CHAP-V2
EAP-MS-CHAP-V2 is een wederzijds verificatiemethode die ondersteuning biedt voor eindpuntverificatie op basis van wachtwoorden.
OPMERKING
Niet alle verificatieservers, aanvragers en LDAP-directoryservers ondersteunen alle verificatiemethoden.
|
PRISMAsync Print Server ondersteunt: EAP-TLS en EAP-MS-CHAP-V2. |
Protected EAP (PEAP) is een protocol waarmee de beveiliging van EAP-TLS en EAP-MS-CHAP-V2 wordt verbeterd.
PEAP bouwt een versleuteld kanaal tijdens het tweede deel van het EAP-onderhandelingsproces. In dit veilige kanaal vindt een nieuwe EAP-onderhandeling plaats om de aanvrager te verifiëren.
PEAPPEAP met EAP-TLS
PEAP met EAP-TLS biedt het hoogste beveiligingsniveau door het identiteitscertificaat van de aanvrager te beschermen tijdens de overdracht naar de verificatieserver.
PEAP met EAP-MS-CHAP-V2
PEAP combineert het gemakkelijk te configureren EAP-MS-CHAP-V2 met een extra beveiligingsniveau door de EAP-MS-CHAP-V2-referenties te versleutelen. PEAP met EAP-MS-CHAP-V2 wordt over het algemeen gebruikt in Microsoft Active Directory-omgevingen.
|
PRISMAsync Print Server ondersteunt de volgende verificatiemethoden: PEAP met EAP-TLS, PEAP met EAP-MS-CHAP-V2 en EAP-TLS. |
Voor alle verificatiemethoden moeten de vertrouwde CA-certificaten van de verificatieserver beschikbaar zijn op de aanvrager.
EAP-TLS vereist een geldig identiteitscertificaat van de aanvrager die is toegewezen aan een gebruikers- of computeraccount in de LDAP-directoryserver (Active Directory Domain Services (AD DS)).
Wanneer het identiteitscertificaat naar een computer verwijst, moet het veld Subject Alternative Name (SubjectAltName) in het certificaat de Fully Qualified Domain Name (FQDN) van de client bevatten.
Wanneer het identiteitscertificaat naar een gebruiker verwijst, moet het veld Subject Alternative Name (SubjectAltName) in het certificaat de User Principal Name (UPN) bevatten.
OPMERKING
EAP-MS-CHAP-V2 gebruikt geen identiteitscertificaat van de aanvrager.
OPMERKING
EAP-MS-CHAP-V2 vereist een MS-CHAP-V2-gebruikersnaam en een MS-CHAP-V2-wachtwoord dat u in Settings Editor configureert. |
Een IEEE 802.1X-verificatie kan door de verificator (de switch) of de aanvrager worden gestart. Wanneer de verificator een koppeling naar de poort detecteert, wordt er een bericht naar de aanvrager verzonden.
Het is doorgaans niet nodig om een eerder geverifieerd eindpunt dat met het netwerk verbonden blijft opnieuw te verifiëren. Na een geslaagde IEEE 802.1X-verificatie blijft de poort geopend totdat de verbinding wordt beëindigd, bijvoorbeeld wanneer voor de fysieke koppeling wordt aangegeven dat de verbinding is verbroken. Zolang de fysieke koppeling wordt gehandhaafd, blijft het geverifieerde eindpunt verbonden met de poort.