Conteúdo

Introdução

Requisitos

Configuração

Preparar e Configurar o Servidor RADIUS

Configurar o 802.1X na página de Gerenciamento Web da IPC

Configurar o Switch e Habilitar a Autenticação 802.1X

Verificação

Introdução

Para aumentar a segurança da rede, muitas redes corporativas adotam o padrão IEEE 802.1X para autenticar dispositivos, como câmeras IP, antes de permitir o acesso à LAN. O protocolo 802.1X é um mecanismo de controle de acesso à rede baseado em porta que autentica e controla o acesso de dispositivos conectados a portas de rede. Os dispositivos que passam na autenticação pelo servidor de autenticação obtêm acesso à LAN, enquanto os que falham são bloqueados.

Este documento fornece instruções básicas para configurar câmeras VIGI por meio da página de gerenciamento web para habilitar a autenticação IEEE 802.1X.

A autenticação 802.1x utiliza um modelo cliente-servidor que contém três funções de dispositivo: cliente/solicitante, autenticador e servidor de autenticação. Isso é descrito na figura abaixo:

• Cliente

Um cliente, como uma IPC ou um PC, conecta-se ao autenticador por meio de uma porta física. Neste documento, a câmera VIGI é o foco e atua como solicitante, enviando solicitações de autenticação ao servidor por meio do autenticador.

• Autenticador

Um autenticador é geralmente um dispositivo de rede, como um switch, que suporta o protocolo 802.1X. Ele encaminha informações de autenticação entre o cliente e o servidor de autenticação, permitindo que clientes autenticados acessem a LAN enquanto bloqueia os não autenticados.

• Servidor de Autenticação

Um servidor de autenticação é tipicamente um servidor RADIUS. Ele verifica as credenciais do cliente e informa ao autenticador se o cliente tem permissão para acessar a LAN.

A topologia a seguir é usada como exemplo neste documento. Nessa configuração, o switch conecta-se ao servidor RADIUS pela porta 2 e fornece acesso de uplink pela porta 1. Uma Câmera VIGI, conectada à porta 5, funciona como solicitante 802.1X e se comunica com o servidor RADIUS para autenticação por meio do switch atuando como autenticador.

Requisitos

• Servidor Radius
• Câmera VIGI
• Switch Autenticador

Configuração

Para garantir um processo de configuração tranquilo e evitar perder o acesso à IPC, siga o fluxo de trabalho abaixo. Configure a IPC para 802.1X primeiro, enquanto ela está conectada a uma porta de rede aberta. Em seguida, como etapa final, habilite a autenticação 802.1X na porta do switch de destino.

• Preparar e Configurar o Servidor RADIUS: Configure o servidor com o nome de usuário e senha para a IPC, e o segredo compartilhado para o switch.
• Configurar a IPC: Conecte a IPC a uma porta de rede com acesso aberto, faça login na página de gerenciamento web e insira as credenciais 802.1X que correspondem à conta de usuário no servidor RADIUS.
• Configurar o Switch e Habilitar a Autenticação 802.1X: Adicione o servidor RADIUS ao switch e, em seguida, habilite imediatamente a autenticação 802.1X na porta específica onde a IPC será conectada. Esta é a etapa final que ativa a política de segurança.

Preparar e Configurar o Servidor RADIUS

Esta seção usa o FreeRadius como exemplo para configurar um Servidor Radius em um computador local.

Passo 1. Instale o FreeRadius no Ubuntu. O Freeradius pode ser instalado online com o comando sudo apt install freeradius, ou a partir do arquivo-fonte. Compile com o guia de instalação do freeradius Building FreeRADIUS.

Passo 2. Configure o clients.conf para o FreeRadius. Para testes a partir de máquinas externas, edite /etc/freeradius/clients.conf e adicione uma entrada. Há muitos exemplos e a sintaxe é simples:

client tplink {

ipaddr = 192.168.0.1/24

secret = testing123

}

Passo 3. Defina um usuário e senha. Edite o arquivo /etc/freeradius/users e adicione uma nova entrada de usuário no início do arquivo. Por exemplo, para criar uma conta de usuário com o nome de usuário ipcamera1 e senha tplink, adicione a seguinte linha:

ipcamera1 Cleartext-Password := "tplink"

Passo 4. Salve o arquivo de configuração e inicie o serviço FreeRADIUS.

Use o seguinte comando para iniciar o servidor: service freeradius start.

Configurar o 802.1X na página de Gerenciamento Web da IPC

Nota：Certifique-se de que a IPC está conectada a uma porta sem 802.1X habilitado antes de começar. Uma vez que o 802.1X é habilitado em uma porta, dispositivos não autenticados são bloqueados.

Passo 1. Faça login na página de gerenciamento web da IPC usando seu endereço IP.
Navegue até Configurações > Configurações de Rede > Avançado > 802.1X. Habilite o botão 802.1X, selecione o Tipo de Protocolo e a Versão EAPOL apropriados, e insira o Nome de Usuário, Senha e Confirmar Senha conforme definido no servidor RADIUS (por exemplo, ipcamera1 e tplink, criados no Passo 3 da seção Preparar e Configurar o Servidor RADIUS).

Nota: Certifique-se de que o Tipo de Protocolo selecionado corresponde ao método de autenticação suportado pelo servidor RADIUS, e que a Versão EAPOL é compatível com o switch atuando como autenticador. Caso contrário, a autenticação pode falhar.

A Câmera VIGI suporta os seguintes Tipos de Protocolo: EAP-MD5, EAP-LEAP e EAP-PEAP, e é compatível com a Versão EAPOL 1 e Versão 2.

Passo 2. Após concluir a configuração, clique em Aplicar para salvar as configurações.

Configurar o Switch e Habilitar a Autenticação 802.1X

Esta seção usa a página de gerenciamento web do Switch Omada como exemplo para ilustrar a configuração da autenticação 802.1X.

Passo 1. Adicionar o Servidor RADIUS: Faça login na página de gerenciamento web do switch usando seu endereço IP. Navegue até SEGURANÇA > AAA > Configuração RADIUS e clique em Adicionar para adicionar um servidor RADIUS. Insira o IP do Servidor, que é o endereço IP do computador que executa o serviço RADIUS, e defina a Chave Compartilhada com o valor de chave configurado no Passo 2 da seção Preparar e Configurar o Servidor RADIUS.

Passo 2: Habilitar o 802.1X Globalmente. Navegue até SEGURANÇA > 802.1X > Configuração Global. Habilite o botão global 802.1X e selecione EAP como o Protocolo de Autenticação.
Nota: Como a IPC suporta apenas autenticação baseada em EAP, o switch também deve usar EAP para garantir compatibilidade com o servidor RADIUS. Aqui é usado o switch Omada como exemplo.

Passo 3: Habilitar o 802.1X na Porta desejada. Navegue até SEGURANÇA > 802.1X > Configuração de Porta para configurar a autenticação 802.1X na porta desejada. Selecione a porta à qual a IPC está conectada (por exemplo, porta 5), defina o Status como Habilitado e, em seguida, habilite a autenticação 802.1X nessa porta.

Passo 4: Conecte a IPC à porta configurada (por exemplo, porta 5). Se já estiver conectada, desconecte e reconecte para iniciar a autenticação.

Verificação

1. Verificar o Status de Autenticação no Switch

Na página de gerenciamento web do switch, navegue até Segurança > 802.1X > Estado do Autenticador. Verifique a porta configurada (por exemplo, porta 5) e confirme que seu status é Autorizado. A IPC passou na autenticação 802.1X e agora tem permissão para acessar a rede.

2. Confirmar a Acessibilidade da IPC na Rede

Em um computador dentro da mesma rede, abra a Ferramenta de Configuração VIGI e verifique se a IPC aparece na lista de dispositivos. Use o endereço IP exibido para acessar a interface de gerenciamento web da IPC por meio de um navegador. Um login bem-sucedido confirma que o dispositivo tem conectividade total com a rede e está funcionando normalmente.

Conclusão

Você configurou com sucesso a autenticação 802.1X para a Câmera VIGI, e o dispositivo está agora autenticado e apto a acessar a rede.

Para conhecer mais detalhes de cada função e configuração, acesse o Centro de Download para baixar o manual do seu produto.