据调查,绝大部分的安全事件,都是内部用户引起的
电影里经常有的剧情,某黑客破坏了监控,然后偷偷潜入机房,把自己的电脑跟客户的网络用网线互联一下,然后数据就被偷走了。
所以说,监控的质量在前期物理建设的时候需要严格去把关。
不过本篇的重点先不讨论监控的问题,而是这种随意插线就可以接入网络的行为,如何去给他做好防护呢。
本篇的准入方案,围绕着802.1x 来开展
首先介绍一下802.1X 802.1x认证系统是指提供了一种用户接入认证手段的系统,它仅关注端口的打开与关闭。对于合法用户(根据账号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则使端口处于关闭状态。认证的结果在于端口状态的改变,而不涉及其他认证技术所考虑的IP地址协商和分配问题,是各种认证技术中最为简化的实现方案。但如果802.1x认证技术应用于宽带IP城域网,就存在端口打开之后,其他用户(合法或非法)可自由接入且难以控制的问题。
802.1x认证的优点:
(1)802.1x协议为二层协议,不需要到达三层,而且接入层交换机无须支持802.1x的VLAN对设备的整体性能要求不高,可以有效降低建网成本。
(2)通过组播实现,解决其他认证协议广播问题,对组播业务的支持性好。
(3)业务报文直接承载在正常的二层报文上,用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求。
802.1x认证的缺点:
(1)需要特定客户端软件。
(2)网络现有楼道交换机的问题。由于802.1x是比较新的二层协议,要求楼道交换机支持认证报文透传或完成认证过程,因此在全面采用该协议的过程中,存在对已经在网上的用户交换机的升级处理问题。
(3)IP地址分配和网络安全问题。802.1x协议是一个二层协议,只负责完成对用户端口的认证控制,对于完成端口认证后,用户进入三层IP网络后,需要继续解决用户IP地址分配、三层网络安全等问题,因此,单靠以太网交换机加802.1x,无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题。
(4)计费问题。802.1x协议可以根据用户完成认证和离线间的时间进行时长计费,不能对流量进行统计,因此无法开展基于流量的计费或满足用户永远在线的要求。
咱们产品中支持做802.1x准入认证的,有两款产品,一个是全网行为管理,一个是物联网准入网关
这两个产品要做802.1x认证的话都是需要授权的,首先要确认授权 AC: SIG:
授权OK没问题,接下来就是配置802.1X的内容 AC: SIG:
在设备上配置服务端很简单,打开这个802.1x认证开关就可以,配置好服务器密钥 然后配置好认证体系,下载下来客户端,给需要接入的终端安装上 剩下的就是和交换机的认证对接
这里推荐一个小工具:
交换机的配置,建议还是由专业的网络工程师来做,但是配置过程和步骤,这个工具可以提供一定的参考
对接成功的交换机,AC/SIG上是能看到的 AC: SIG:
目前这种方式只支持WINDOWS的PC来做准入,对于linux和其他的网络设备例如摄像头,打印机等,这些没法通过正常的安装认证客户端来接入网络,可以在交换机上对设备的MAC地址进行放行,做到哑终端不进行认证
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2022-10-10 18:50
发表于 2022-10-8 13:51
技术研究员2级 
