Présentation des paramètres de Sécurité du Commutateur géré Linksys pour Entreprise

Pour configurer les paramètres de Security (Sécurité) des Linksys Managed Switches for Business (Commutateurs gérés Linksys pour Entreprise), suivez les étapes ci-dessous.

Étape 1:
Accédez à l'interface Web de votre commutateur.  Pour obtenir des instructions, cliquez ici.

Étape 2:
Cliquez sur l'icône de menu sf333574-001_en_v1.png située dans le coin supérieur gauche de l'interface Web.

Étape 3:
Cliquez sur Security (Sécurité).
 
sf333574-002_en_v1.png

Étape 4:
Les paramètres suivants peuvent être configurés sous Security (Sécurité):

802.1x
Access (Accès)
Port Security (Sécurité portuaire)
Radius Server (Serveur Radius)
DoS


802.1x

L'authentification standard IEEE 802.1x utilise le protocole RADIUS (Remote Authentication Dial In User Service) (Service utilisateur d'authentification à distance) pour valider les utilisateurs et fournir une norme de sécurité pour le contrôle d'accès au réseau.  L'utilisateur qui souhaite être authentifié est appelé un demandeur.  Le serveur réel effectuant l'authentification est appelé le serveur d'authentification (généralement un serveur RADIUS).  Le dispositif de médiation, tel qu'un commutateur, est appelé l'authentificateur.  Les clients connectés à un port du commutateur doivent être authentifiés par le serveur RADIUS avant d'accéder aux services offerts par le commutateur sur le LAN.  Utilisez un serveur RADIUS pour authentifier les utilisateurs essayant d'accéder à un réseau en relayant les paquets EAPoL (Extensible Authentication Protocol over LAN) (Protocole d'authentification extensible sur LAN) entre le client et le serveur.  Cela établit les exigences nécessaires pour un protocole entre l'authentificateur (le système qui transmet une demande d'authentification au serveur d'authentification) et le demandeur (le système qui demande l'authentification), ainsi qu'entre l'authentificateur et le serveur d'authentification.

Les paramètres suivants peuvent être configurés sous 802.1x:

Global Settings (Paramètres globaux)
Port Settings (Paramètres du port)
Authenticated Host (Hôte authentifié)

Global Settings (Paramètres globaux)

Lorsqu'un demandeur est connecté à un port de commutateur, le port envoie une demande d'authentification 802.1x au demandeur 802.1x connecté.  Le demandeur répond avec le nom d'utilisateur et le mot de passe donnés dans une demande d'authentification, puis passe à un serveur RADIUS configuré.  La base de données des utilisateurs du serveur d'authentification prend en charge le protocole EAP (Extensible Authentication Protocol) (Protocole d'authentification extensible), qui permet de définir les appartenances VLAN invité en fonction de chaque utilisateur individuel.  Avant une autorisation réussie, le port connecté au demandeur authentifié devient membre du VLAN invité spécifié.  Lorsque le demandeur est authentifié avec succès, le trafic est automatiquement attribué à l'utilisateur du VLAN configuré dans le VLAN 802.1Q.

Les méthodes d'authentification EAP prises en charge par le commutateur sont:
 
  • EAP-MD5
  • EAPTLS
  • EAP-TTLS
  • EAP-PEAP
 
sf333574-003_en_v1.png
 
  • State (État) – Choisissez d'activer ou de désactiver la fonctionnalité.
  • Guest VLAN (VLAN invité) – Définissez le VLAN invité sur Enabled (Activé) ou Disabled (Désactivé) sur le commutateur.  L'option par défaut est Disabled (Désactivé).
  • Guest VLAN ID (ID de VLAN invité) –  Sélectionnez l'ID de VLAN invité dans la liste des VLAN actuellement définis.

Cliquez sur Apply (Appliquer) pour enregistrer les paramètres.

Port Settings (Paramètres du port)

L'authentification basée sur le port IEEE 802.1x fournit une norme de sécurité pour le contrôle d'accès au réseau avec les serveurs RADIUS et maintient un bloc de port réseau jusqu'à ce que l'authentification soit terminée.  Avec l'authentification basée sur le port 802.1x, le demandeur fournit les informations d'identification requises telles que le nom d'utilisateur, le mot de passe ou le certificat numérique à l'authentificateur, et l'authentificateur transmet les informations d'identification au serveur d'authentification pour vérification.  Si le serveur d'authentification détermine que les informations d'identification sont valides, le demandeur est autorisé à accéder aux ressources situées du côté protégé du réseau.

Vous pouvez configurer les paramètres du port en fonction de 802.1x.  Pour apporter vos modifications, sélectionnez d'abord un port, puis cliquez sur Edit (Modifier) pour apporter les modifications nécessaires.  Une fois cela fait, cliquez sur Apply (Appliquer) pour enregistrer vos paramètres.
 
sf333574-004_en_v1.png
 
  • Port – Il s'agit du numéro de port sur le commutateur.
  • Mode – Sélectionnez le mode Auto, Force_UnAuthorized ou Force_Authorized dans la liste.
  • Reauthentication (Réauthentification) – Sélectionnez si la réauthentification du port est Enabled (Activée) ou Disabled (Désactivée).
  • Reauthentication Period (Période de réauthentification) – Entrez l'intervalle de temps pendant lequel le port sélectionné est réauthentifié.  La valeur par défaut est 3600 secondes.
  • Quiet Period (Période calme) – Entrez le nombre d'appareils qui restent dans un état silencieux après l'échec d'un échange d'authentification.  La valeur par défaut est de 60 secondes.
  • Supplicant Period (Période du demandeur) – Entrez le temps qui s'écoule avant qu'une demande EAP ne soit renvoyée au demandeur.  La valeur par défaut est de 30 secondes.
  • Authorized Status (Statut autorisé) – Ceci affiche le statut autorisé des informations 802.1x.
  • Guest VLAN (VLAN invité) – Cela indique si le VLAN invité est Activé ou Désactivé sur des ports spécifiques.
  • RADIUS VLAN Assign (Attribution VLAN RADIUS) – Si cette option est Enabled (Activée), le client obtiendra le VLAN du serveur RADIUS.

Authenticated Host (Hôte authentifié)

Les informations suivantes se trouvent sur la page Authenticated Host (Hôte authentifié).
 
sf333574-005_en_v1.png
 
  • User Name (Nom d'utilisateur) – Ceci affiche le nom d'utilisateur du client via l'authentification du serveur RADIUS 802.1x.
  • Port – Ceci affiche le numéro de port authentifié du client.
  • Session Time (Temps de session) – Ceci affiche le temps de la session 802.1x du client.
  • Authenticate Method (Méthode d'authentification) - Ceci affiche la méthode authentifiée du client.
  • MAC Address (Adresse MAC) - Ceci affiche l'adresse MAC du client.
  • Dynamic VLAN Cause (Cause VLAN dynamique) - Ceci affiche les informations VLAN du client.
  • Dynamic VLAN ID (ID VLAN dynamique) - Ceci affiche l'ID VLAN du client (si le serveur RADIUS l'attribue).

Access (Accès)

Sur la page Web, vous pouvez modifier le délai d'expiration de la session, désactiver ou activer HTTP et HTTPS.  Le délai d'expiration de session par défaut est de 5 minutes.  Pour savoir comment configurer les paramètres de Access timeout (délai d'expiration d'Accès), cliquez ici.
 
sf333574-006_en_v1.png
 
  • Timeout (Délai d'expiration) – Entrez la durée qui s'écoule avant l'expiration de HTTP/HTTPS.  La valeur par défaut est de 5 minutes et la plage est de 0 à 10 000 minutes.
  • HTTP Service (Service HTTP) – Définissez le service HTTP sur Enabled (Activé) ou Disabled (Désactivé) sur le commutateur.  C'est Enabled (Activé) par défault.
  • HTTPS Service (Service HTTPS) – Définissez le service HTTPS sur Enabled (Activé) ou Disabled (Désactivé) sur le commutateur.  Ceci est Disabled (Désactivé) par défaut.

Sur la page CLI, vous pouvez modifier le délai d'expiration de la session, activer ou désactiver l'accès Telnet et SSH.

REMARQUE:  L'accès CLI est pris en charge sur les Linksys LGS328C, LGS352C, LGS352MPC, LGS328MPC, et LGS310MPC.
 
sf333574-007_en_v1.png
 
  • Timeout (Délai d'expiration) – Entrez la durée qui s'écoule avant l'expiration de Telnet/SSH.  La valeur par défaut est de 5 minutes et la plage est de 0 à 10 000 minutes.
  • Telnet Service (Service Telnet) – Définissez le service Telnet sur Enabled (Activé) ou Disabled (Désactivé) sur le commutateur.  C'est Enabled (Activé) par défault.
  • SSH Service (Service SSH) – Définissez le service SSH sur Enabled (Activé) ou Disabled (Désactivé) sur le commutateur.  Ceci est Disabled (Désactivé) par défaut.

Port Security (Sécurité portuaire)

La sécurité du réseau peut être augmentée en limitant l'accès sur un port spécifique aux utilisateurs avec des adresses MAC spécifiques.  La Port Security (Sécurité portuaire) empêche les périphériques non autorisés d'accéder au commutateur avant d'arrêter le processus d'apprentissage automatique.

Pour modifier les paramètres, sélectionnez un port, puis cliquez sur Edit (Modifier).  Une fois terminé, cliquez sur Apply (Appliquer).

REMARQUE:  Le nombre de ports varie selon le modèle.
 
sf333574-008_en_v1.png
 
  • Port – Ceci affiche le port sur le commutateur pour lequel la sécurité du port est définie.
  • State (État) – Définissez la sécurité du port sur Enabled (Activé) ou Disabled (Désactivé) pour le port sélectionné.
  • Max MAC Address (Adresse MAC maximale) – Entrez le nombre maximum d'adresses MAC qui peuvent être apprises sur le port.  La plage va de 1 à 256.
Radius Server (Serveur Radius)

Un serveur RADIUS est utilisé pour l'administration centralisée.  Il s'agit d'un protocole réseau qui fournit une gestion centralisée de l'Authentification, de l'Autorisation et de la Comptabilité (AAA) pour les utilisateurs qui se connectent et utilisent un service réseau pour plus de commodité.  RADIUS est un protocole de serveur qui s'exécute dans la couche application, en utilisant UDP comme transport.  Un commutateur réseau avec authentification basée sur le port possède un composant client RADIUS qui communique avec le serveur RADIUS.  Les clients connectés à un port du commutateur doivent être authentifiés par le serveur d'authentification avant d'accéder aux services offerts par le commutateur sur le LAN.  Utilisez un serveur RADIUS pour authentifier les utilisateurs essayant d'accéder à un réseau en relayant les paquets EAPoL (Extensible Authentication Protocol over LAN) (Protocole d'authentification extensible sur LAN) entre le client et le serveur.  Le serveur RADIUS gère une base de données d'utilisateurs, qui contient des informations d'authentification.  Le commutateur transmet les informations au serveur RADIUS configuré qui peut authentifier un nom d'utilisateur et un mot de passe avant d'autoriser l'utilisation du réseau.
 
sf333574-009_en_v1.png
 
  • Index – Ceci affiche l'index du serveur RADIUS.
  • Server IP (IP du serveur) – Entrez l'adresse IP du serveur RADIUS dans ce champ.
  • Authorized Port (Port autorisé) – Entrez le numéro de port autorisé dans ce champ.  Le port par défaut est 1812.
  • Key String (Chaîne de clé) – Saisissez la chaîne de clé utilisée pour chiffrer toutes les communications RADIUS entre l'appareil et le serveur RADIUS.
  • Timeout Reply (Délai de réponse) – Entrez le temps qu'un appareil attend une réponse du serveur RADIUS avant de passer au serveur suivant.  La valeur par défaut est 3.
  • Retry (Réessayer) – Entrez le nombre de demandes transmises envoyées.  La valeur par défaut est 3.

Cliquez sur le bouton Add (Ajouter) pour ajouter une entrée.  Une fois cela fait, cliquez sur le bouton Apply (Appliquer) pour accepter les modifications ou sur le bouton Cancel (Annuler) pour abandonner le processus.

DoS

Le Denial of Service (DoS) (Déni de service) (DoS) est utilisé pour classer et bloquer des types spécifiques d'attaques DoS.  Vous pouvez configurer le commutateur pour surveiller et bloquer différents types d'attaques.  Par défaut, DoS est Disabled (Désactivé).  Cliquez sur le bouton radio pour Enabled (Activé) pour l'activer et cliquez sur Apply (Appliquer).
 
sf333574-010_en_v1.png
 

Was this support article useful?

Additional Support Questions?
Search Again