有线网络上的 802.1X

网络工程 思科 安全 端口安全 IEEE-802.1x
2021-07-15 11:35:32

假设我保护办公室中物理可访问的 RJ45 插座,这些插座连接到具有基于 802.1X 端口的身份验证和半径服务器的交换机(Cisco SF220)。

授权设备具有证书,允许它们向 Radius 服务器进行身份验证。假设这样的设备安装在某处并连接到受保护的端口。

攻击者断开授权设备的连接并插入他的(恶意)设备将无法在没有有效证书/登录的情况下进行身份验证。但是,如果攻击者连接了一个交换机/集线器,并将他的恶意设备和我的授权设备都连接到该端口呢?

授权设备不会向 Radius 服务器进行身份验证,交换机会将端口放入我受保护 VLAN 的访问端口。所以最终他的恶意设备也可以访问,因为它只是基于端口的身份验证。

如果是,建议采取哪些应对措施?我不想使用基于 MAC 的身份验证,因为 MAC 地址很容易被欺骗

1个回答

这是 802.1X 的一个众所周知的弱点。它可以很好地防止偶然的不当行为,但不能完全防止确定的攻击。您可以通过将 802.1X 与受保护接口上的 MAC 端口绑定相结合来稍微减少弱点,但这也可以克服。

如果您需要更好的安全性,请查看 IEEE 802.1AE 定义的 MACsec:https ://ieeexplore.ieee.org/document/1678345/ (注册后免费)。

其它你可能感兴趣的问题
上一篇为什么ARQ(自动重复请求)这么命名? 下一篇GNS3 上的虚拟设备无法 ping 物理主机