MikroTik dla zaawansowanych — część 10: Dynamiczna segmentacja VLAN, NAC i Keycloak z MikroTik
MikroTik dla zaawansowanych — część 10: Dynamiczna segmentacja VLAN, NAC i Keycloak z MikroTik
Wprowadzenie: Bezpieczeństwo od warstwy 2
Wraz ze wzrostem złożoności środowisk brzegowych (edge), coraz większego znaczenia nabierają mechanizmy zapewniające bezpieczeństwo i izolację już od momentu podłączenia urządzenia do fizycznego portu switcha. Rozwiązania takie jak 802.1X, dynamiczne przypisywanie VLAN, autoryzacja przez RADIUS, a nawet integracja z Identity Providers (IdP), stają się nie tylko użyteczne, ale wręcz konieczne.
W tej części pokażemy jak:
- wdrożyć dynamiczne VLANy na MikroTik z FreeRADIUS
- zintegrować uwierzytelnianie z Keycloak (OIDC/SAML)
- zabezpieczyć sieć lokalną przez pełnoprawny NAC
- zautomatyzować całość poprzez skrypty i API
1. Co to jest dynamiczna segmentacja VLAN?
Dynamiczna segmentacja VLAN oznacza przypisywanie urządzenia do konkretnej sieci (VLAN) na podstawie tożsamości użytkownika lub urządzenia, a nie na podstawie fizycznego portu. To umożliwia:
- izolowanie działów (HR, IT, IoT)
- segmentację BYOD
- stosowanie zasad polityki bezpieczeństwa już na wejściu do sieci
2. Architektura rozwiązania
[Keycloak] <---> [FreeRADIUS] <---> [MikroTik Router/Switch]
|
Dynamic VLAN / 802.1X
- Keycloak – identyfikacja użytkownika (LDAP, SAML, OIDC)
- FreeRADIUS – kontrola dostępu, atrybuty VLAN
- MikroTik – enforcement: przypisanie portu do VLAN, filtrowanie
3. Konfiguracja MikroTik: Switch + VLAN + 802.1X
VLAN:
/interface vlan
add name=vlan10 vlan-id=10 interface=ether2
add name=vlan20 vlan-id=20 interface=ether2
Mostek i przełącznik:
/interface bridge
add name=bridge1 vlan-filtering=yes
/interface bridge port
add bridge=bridge1 interface=ether2
/interface bridge vlan
add bridge=bridge1 tagged=bridge1 untagged=ether2 vlan-ids=10
add bridge=bridge1 tagged=bridge1 untagged=ether2 vlan-ids=20
802.1X:
/interface ethernet switch ingress-port
set ether2 auth-mode=mac-based guest-vlan-id=999
/interface dot1x server
set authentication-method=mac radius=yes
/ip radius
add service=dot1x address=192.168.1.10 secret=radiusSecret
4. FreeRADIUS: reguły autoryzacji i VLANy
users:
admin1 Cleartext-Password := "adminpass"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Tunnel-Private-Group-Id = "10"
iotdevice1 Cleartext-Password := "iotpass"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Tunnel-Private-Group-Id = "20"
radiusd.conf:
Włącz obsługę dynamic VLAN przez EAP i inner tunnel.
5. Keycloak jako źródło tożsamości
Integracja z FreeRADIUS:
- Użycie Keycloak LDAP/IdP jako backendu użytkowników dla FreeRADIUS
- Możliwa integracja poprzez
rlm_rest— REST API zapytania do tokenu JWT i claim
Token oparty dostęp:
FreeRADIUS może odpalać zewnętrzny skrypt w Pythonie, który:
- pobiera token OIDC z Keycloak
- waliduje go
- przypisuje VLAN na podstawie roli (claim)
6. Praktyczne zastosowania dynamicznego NAC
| Typ urządzenia | Autoryzacja | VLAN | Dodatkowe polityki |
|---|---|---|---|
| Laptop HR | 802.1X + login | 10 | Dostęp tylko do HR serwera |
| Kamera IP | MAC-auth | 20 | Izolacja, brak internetu |
| Gość | Portal captive | 30 | Dostęp czasowy z limitem |
| Admin | Certyfikat X.509 | 40 | Full access do sieci |
7. MikroTik jako NAC enforcement point
MikroTik nie jest pełnoprawnym NAC serwerem, ale jako enforcement point:
- może działać jako 802.1X authenticator
- obsługuje dynamic VLAN
- wspiera RADIUS + MAC fallback
- może logować każde podłączenie
- wspiera
scripts on connect/disconnect
8. Rozszerzenia i automatyzacja
- Grafana + Prometheus: monitoruj ruch na VLAN-ach
- Loki: zapisuj logi z portów
- Ansible: automatyczne przypisywanie interfejsów do bridge/VLAN
- Webhook z FreeRADIUS: push zdarzeń do Cortex/SOAR
- Watchdog scripts: skanuj sieć pod kątem nowych urządzeń i reaguj
9. Wdrożenie bezpieczne i kontrolowane
Rekomendacje:
- zacznij od audytu MAC → VLAN
- przetestuj 802.1X tylko na jednym porcie
- wdrażaj polityki etapowo (np. VLAN fallback guest)
- zawsze loguj i monitoruj zdarzenia
Podsumowanie
Dzięki tej konfiguracji stworzyliśmy nowoczesne, inteligentne środowisko sieciowe z MikroTik, które łączy:
- dynamiczne przypisywanie VLAN
- uwierzytelnianie użytkowników zewnętrznych
- centralną kontrolę tożsamości (Keycloak)
- bezpieczeństwo na brzegu (NAC)
To nie tylko segmentacja, ale pełnoprawna polityka bezpieczeństwa na poziomie infrastruktury.
W kolejnej części zajmiemy się integracją MikroTik z systemami MDM (Mobile Device Management) i mechanizmami compliance enforcement, czyli narzucaniem polityk bezpieczeństwa w zależności od typu i stanu urządzenia.
Routing statyczny vs. routing dynamiczny: Różnice, zastosowania, zalety i wady Routing, czyli wyznaczanie tras, jest kluczowym elementem sieci komputerowych. Odpowiada Czytaj dalej
VPN (Virtual Private Network) – Kompleksowy Przewodnik W dzisiejszych czasach prywatność i bezpieczeństwo w Internecie są kluczowe zarówno dla użytkowników Czytaj dalej
