Home » 802.1X Network Authentication: RADIUS และ EAP Methods
802.1X Network Authentication: RADIUS และ EAP Methods
802.1X Network Authentication: RADIUS และ EAP Methods
802.1X เป็นมาตรฐาน IEEE สำหรับ port-based network access control ที่บังคับให้ devices ต้อง authenticate ก่อนเข้าใช้ network ทำงานร่วมกับ RADIUS server เพื่อตรวจสอบ credentials ใช้ได้ทั้ง wired (switch ports) และ wireless (WiFi) networks เป็นพื้นฐานของ enterprise network security
หลายองค์กรยังใช้ MAC address filtering หรือ VLAN assignment แบบ static ซึ่งไม่ปลอดภัย เพราะ MAC address ปลอมได้ง่าย และ static VLAN ไม่ยืดหยุ่น 802.1X แก้ปัญหานี้ด้วยการ authenticate ผู้ใช้/อุปกรณ์ก่อนให้เข้า network และสามารถ assign VLAN/policy แบบ dynamic ตาม identity
802.1X Components
| Component |
บทบาท |
ตัวอย่าง |
| Supplicant |
Client ที่ต้องการเข้า network (ส่ง credentials) |
Windows/Mac/Linux/Phone built-in supplicant |
| Authenticator |
Network device ที่ควบคุม access (switch/AP) |
Cisco switch, Aruba AP, Juniper switch |
| Authentication Server |
Server ที่ตรวจสอบ credentials |
FreeRADIUS, Cisco ISE, Microsoft NPS, Aruba ClearPass |
802.1X Flow
| Step |
Action |
| 1 |
Supplicant เสียบสาย/เชื่อม WiFi → switch/AP block traffic (unauthorized) |
| 2 |
Switch/AP ส่ง EAP-Request/Identity ไป supplicant |
| 3 |
Supplicant ตอบ EAP-Response/Identity (username) |
| 4 |
Switch/AP forward ไป RADIUS server (RADIUS Access-Request) |
| 5 |
RADIUS server ตรวจสอบ credentials (AD/LDAP/local DB) |
| 6 |
RADIUS ตอบ Access-Accept + attributes (VLAN, ACL, etc.) |
| 7 |
Switch/AP เปิด port → supplicant เข้า network ใน assigned VLAN |
EAP Methods
| EAP Method |
Authentication |
Certificate |
Security |
เหมาะกับ |
| EAP-TLS |
Client + server certificate (mutual) |
ทั้ง server + client cert |
สูงสุด |
Enterprise ที่มี PKI |
| PEAP (MSCHAPv2) |
TLS tunnel + username/password |
Server cert เท่านั้น |
สูง |
Enterprise ทั่วไป (AD integrated) |
| EAP-TTLS |
TLS tunnel + inner method |
Server cert เท่านั้น |
สูง |
Linux/non-Windows environments |
| EAP-FAST |
PAC (Protected Access Credential) |
ไม่จำเป็น (PAC แทน) |
ปานกลาง-สูง |
Cisco environments |
| EAP-MD5 |
Username/password (MD5 hash) |
ไม่มี |
ต่ำ (ไม่แนะนำ) |
Legacy only |
RADIUS Attributes สำคัญ
| Attribute |
ใช้ทำอะไร |
| Tunnel-Type (64) |
กำหนดว่าใช้ VLAN (value = VLAN) |
| Tunnel-Medium-Type (65) |
กำหนด medium (value = 802) |
| Tunnel-Private-Group-ID (81) |
VLAN ID ที่ assign ให้ user |
| Filter-Id (11) |
ACL name ที่ apply บน port |
| Session-Timeout (27) |
ระยะเวลา session (re-auth) |
| Vendor-Specific (26) |
Vendor-specific attributes (dACL, SGT, etc.) |
Dynamic VLAN Assignment
| User Group |
RADIUS VLAN |
Access Level |
| IT Department |
VLAN 10 |
Full access + management |
| Finance |
VLAN 20 |
Finance servers + internet |
| HR |
VLAN 30 |
HR systems + internet |
| Guest |
VLAN 99 |
Internet only |
| IoT/Printers |
VLAN 70 |
Restricted (print services only) |
| Failed Auth |
VLAN 999 (quarantine) |
Captive portal / remediation |
RADIUS Servers
| RADIUS Server |
ราคา |
จุดเด่น |
| FreeRADIUS |
Free (open-source) |
Flexible, powerful, Linux-based |
| Microsoft NPS |
Free (Windows Server) |
AD integrated, easy for Windows shops |
| Cisco ISE |
$$$ |
Full NAC, profiling, posture, TACACS+ |
| Aruba ClearPass |
$$$ |
Multi-vendor, profiling, guest portal |
| Fortinet FortiAuthenticator |
$$ |
FortiGate integration, 2FA |
| PacketFence |
Free (open-source) |
Full NAC, captive portal, BYOD |
Fallback Methods
| Fallback |
ใช้เมื่อ |
วิธีทำงาน |
| MAB (MAC Auth Bypass) |
Device ไม่มี supplicant (printers, cameras, IoT) |
ใช้ MAC address เป็น credentials ส่งไป RADIUS |
| Guest VLAN |
Supplicant ไม่ respond (no 802.1X support) |
Assign guest VLAN หลัง timeout |
| Auth-fail VLAN |
Authentication failed |
Assign quarantine VLAN |
| Critical VLAN |
RADIUS server unreachable |
Assign critical VLAN (limited access) |
Implementation Best Practices
| Practice |
รายละเอียด |
| เริ่มด้วย Monitor Mode |
Enable 802.1X แต่ไม่ enforce → ดู logs ก่อน |
| ใช้ PEAP สำหรับ users |
ง่ายที่สุด (username/password จาก AD) |
| MAB สำหรับ IoT/printers |
Devices ที่ไม่มี supplicant ใช้ MAB fallback |
| Redundant RADIUS |
RADIUS primary + secondary (failover) |
| Dynamic VLAN per group |
Assign VLAN ตาม AD group membership |
| Guest portal |
Guest VLAN + captive portal สำหรับ visitors |
| ค่อยๆ enforce |
Monitor → low-enforcement → closed mode ทีละ switch |
ทิ้งท้าย: 802.1X = Enterprise Access Control
802.1X + RADIUS = identity-based network access control EAP-TLS (cert) = secure สุด, PEAP = easy + AD integrated Dynamic VLAN assignment = ยืดหยุ่น ปลอดภัย MAB fallback สำหรับ IoT/printers เริ่ม Monitor Mode → ค่อย enforce ทีละ switch
อ่านเพิ่มเติมเกี่ยวกับ Network Access Control NAC และ Network Segmentation ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
