当我需要使用中间交换机时,如何实现 802.1x?

网络工程 安全 设计 验证
2021-07-15 16:17:31

假设我有一个办公室,每个 RJ45 插孔需要支持 4 台计算机。每个 RJ45 插孔都连接到网络机柜中 24 端口管理交换机上的一个端口。但是,我们还需要在墙壁插孔和 4 台计算机之间使用 5 个端口开关。

以下哪个选项是实现 802.1x 的最佳方式?

  • 选项 A)

购买支持 802.1x 的 24 端口管理型交换机。找到一些托管的 5 端口交换机,它们既可以向父交换机进行身份验证,也可以向客户端验证自己的端口。我不知道这种 802.1x 菊花链是否可行,所以请告诉我。但是通过这种方式,没有人可以在墙壁插孔和 5 端口交换机之间插入集线器来未经身份验证访问网络。

  • 选项 B)

购买一个可管理的 48 端口交换机,并将其锁定在网络机柜中。重新布线办公室,使我们有 4 个墙壁插孔组而不是 1 个,并移除中间的 5 端口开关。这样,每个端口都将通过 802.1x 进行身份验证,并且必须有人闯入网络机柜才能访问内部网络。

  • 选项 C)

保留我们目前在网络机柜中使用的 24 端口非管理型交换机,但购买支持 802.1x 的管理型 5 端口交换机。移除墙上的插孔并将电缆直接插入管理型交换机,将每台计算机插入交换机,然后将交换机锁定在防篡改盒内。这样,没有人可以轻松访问未经身份验证的以太网连接,至少无需切断网线。

在每一种情况下,我们都会有 ARP 欺骗保护,如果检测到可疑活动,就会关闭端口。

请告诉我您认为哪个选项最好,或者您是否能想到更好的解决方案。我们刚刚为 wifi 推出了 802.1x,但我们当前的网络拓扑使得有线 802.1x 很难实现。

2个回答

我不知道有任何交换机是 802.1x 请求方,因此选项 A 可能已失效。因此,选项 B 和 C 之间的主要区别在于成本。我想,与管理所有这些新交换机的成本和麻烦相比,重新布线您的办公室既昂贵又具有破坏性。

您应该问的真正问题是,我要防御什么威胁,真正的风险是什么?您是否真的担心有人可能会潜入您的大楼(我不知道您在什么样的办公室或在哪里)并插入未知设备?他们为什么要那样做?问题不应该是“是否有可能”,而是“重新布线或购买新开关的成本是否值得承担重大风险?”

例如,在我目前工作的办公室(一个准政府机构)中,我们没有 802.1x。理论上,任何人都可以将设备插入网络。但是为了做到这一点,您首先必须通过入口处的警卫,并且需要带有卡片钥匙的徽章。如果您是一名员工,您就会知道有一项政策禁止在网络上使用未经授权的设备。

显然,如果您真的非常想要,您可以绕过所有这些控制。但考虑到网络面临的风险,管理层认为这些控制措施已经足够了。坦率地说,如果您真的想要我们网络上的某些东西,那么远程窃取一台机器并窃取它会更容易。这样,您就可以慢慢来,避免被发现和逮捕的风险。

我的观点是:仅仅因为你有一个全新的 802.1x wifi 系统,并不意味着你的有线网络需要它。或者,如果您决定使用它,则可能不需要防篡改盒等。您(和管理层)需要权衡风险与新交换机、布线、维护和可靠性的成本(如果您的 RADIUS 服务器崩溃会发生什么?是否会阻止所有网络访问?)。

也许您在需要所有这些控制的高安全性环境中工作。但我猜你有一个寻找问题的解决方案。最好权衡风险与成本。该分析将使您能够证明管理层的成本(货币和运营)是合理的。

在我看来,“替代方案”是(与回答“或者如果您能想到更好的解决方案”一致) - 将交换机和网络视为不受信任,并强制客户端使用 VPN 进行连接。由于难以控制现场物理开关,这是我公司对小型办公室的标准响应(4 个工作站对我来说似乎很小)。对于我们这样使用的办公室,打印机只能在不使用 VPN 或使用直接 USB 时使用.

我不确定这是否适用于您 - 我要么对您建议的交换机感到困惑,要么您似乎只需要四台计算机就需要大量端口。

其它你可能感兴趣的问题
上一篇城域网 (MAN) 如何互连? 下一篇如何从数据包跟踪器输出中破译丢弃的数据包?