场景: 创建两个SSID,分别为SSID1和SSID2,设置如下: 角色设置: 未认证角色(仅允许DNS); 外部访客(仅允许访问外网); 内部访客(允许访问外网及内部特定服务器,调试设备使用); 内部员工(允许访问所有网络)。
SSID1:启用单一访客二维码认证(内部员工角色授权),认证通过角色为外部访客。
SSID2:启用帐号认证及访客二维码认证(内部员工角色授权) ,帐号认证角色为内部员工,二维码认证角色为内部访客
问题现象: 外部用户A联接SSID1,弹出二维码,内部员工授权后,外部用户A获取到外部访客,上外网正常,不能访问内网。 此时若外部用户A再联接DDIS2,使用二维码认证可直接点击“登陆”按钮直接通过认证,不需要重新授权就可接入无线网络,而此时外部用户A获取到了内部访客的角色,可以访问企业内部的服务器了,这就造成了原本外部用户A仅授权访问外网却通过切换SSID就可越权可以访问企业其他服务器的问题。 同样若外部用户B先联接DDIS2,再去联接SSID1,可以直接登陆,而登陆后去访问指定的企业内部服务器会出现无法访问的问题。
建议: 用户切换SSID或是切换角色不管之前是何种认证方式上线均需要重新认证或授权,避免出现越的问题。 |