【2022争霸赛*干货满满】【天逸出品】【第卅一期】安全从终端抓起,准入篇之802.1x
  

常鸿 19942人觉得有帮助

{{ttag.title}}
据调查,绝大部分的安全事件,都是内部用户引起的

电影里经常有的剧情,某黑客破坏了监控,然后偷偷潜入机房,把自己的电脑跟客户的网络用网线互联一下,然后数据就被偷走了。

所以说,监控的质量在前期物理建设的时候需要严格去把关。



不过本篇的重点先不讨论监控的问题,而是这种随意插线就可以接入网络的行为,如何去给他做好防护呢。


本篇的准入方案,围绕着802.1x 来开展

首先介绍一下802.1X
802.1x认证系统是指提供了一种用户接入认证手段的系统,它仅关注端口的打开与关闭。对于合法用户(根据账号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则使端口处于关闭状态。认证的结果在于端口状态的改变,而不涉及其他认证技术所考虑的IP地址协商和分配问题,是各种认证技术中最为简化的实现方案。但如果802.1x认证技术应用于宽带IP城域网,就存在端口打开之后,其他用户(合法或非法)可自由接入且难以控制的问题。

802.1x认证的优点:
(1)802.1x协议为二层协议,不需要到达三层,而且接入层交换机无须支持802.1x的VLAN对设备的整体性能要求不高,可以有效降低建网成本。
(2)通过组播实现,解决其他认证协议广播问题,对组播业务的支持性好。
(3)业务报文直接承载在正常的二层报文上,用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求。
802.1x认证的缺点:
(1)需要特定客户端软件。
(2)网络现有楼道交换机的问题。由于802.1x是比较新的二层协议,要求楼道交换机支持认证报文透传或完成认证过程,因此在全面采用该协议的过程中,存在对已经在网上的用户交换机的升级处理问题。
(3)IP地址分配和网络安全问题。802.1x协议是一个二层协议,只负责完成对用户端口的认证控制,对于完成端口认证后,用户进入三层IP网络后,需要继续解决用户IP地址分配、三层网络安全等问题,因此,单靠以太网交换机加802.1x,无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题。
(4)计费问题。802.1x协议可以根据用户完成认证和离线间的时间进行时长计费,不能对流量进行统计,因此无法开展基于流量的计费或满足用户永远在线的要求。


咱们产品中支持做802.1x准入认证的,有两款产品,一个是全网行为管理,一个是物联网准入网关

这两个产品要做802.1x认证的话都是需要授权的,首先要确认授权
AC:
SIG:


授权OK没问题,接下来就是配置802.1X的内容
AC:
SIG:

在设备上配置服务端很简单,打开这个802.1x认证开关就可以,配置好服务器密钥
然后配置好认证体系,下载下来客户端,给需要接入的终端安装上
剩下的就是和交换机的认证对接

这里推荐一个小工具:

交换机的配置,建议还是由专业的网络工程师来做,但是配置过程和步骤,这个工具可以提供一定的参考

对接成功的交换机,AC/SIG上是能看到的
AC:
SIG:

目前这种方式只支持WINDOWS的PC来做准入,对于linux和其他的网络设备例如摄像头,打印机等,这些没法通过正常的安装认证客户端来接入网络,可以在交换机上对设备的MAC地址进行放行,做到哑终端不进行认证

打赏鼓励作者,期待更多好文!

打赏
5人已打赏

七嘴八舌bar 发表于 2022-10-10 18:50
  
专家点评:感谢楼主分享,文章较为清晰地介绍了802.1X相关原理与配置思路,期待楼主带来更多案例分享
新手751436 发表于 2022-10-8 13:51
  
学习了,对801.x认证更加了解了
水之蓝色 发表于 2022-10-8 18:56
  
感谢分享,学习了!!!!!!!!!!!
奔走的公牛 发表于 2022-10-10 09:22
  
感谢分享,有助于工资和学习!!!
新手581097 发表于 2022-10-10 11:29
  
感谢分享,有助于工资和学习!!!
新手511527 发表于 2022-10-10 11:29
  
感谢分享,有助于工资和学习!!!
新手1018 发表于 2022-10-10 11:29
  
感谢分享,有助于工资和学习!!!
新手1018 发表于 2022-10-10 11:30
  
感谢分享,有助于工资和学习!!!
头像被屏蔽
新手612152 发表于 2022-10-10 14:29
  
提示: 作者被禁止或删除 内容自动屏蔽
沧海 发表于 2022-10-10 16:08
  
感谢楼主无私奉献,学习一下
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
安全效果
干货满满
西北区每日一问
技术笔记
新版本体验
功能体验
【 社区to talk】
技术咨询
标准化排查
2023技术争霸赛专题
产品连连看
GIF动图学习
信服课堂视频
每周精选
自助服务平台操作指引
秒懂零信任
技术晨报
技术圆桌
通用技术
答题自测
安装部署配置
每日一记
原创分享
玩转零信任
场景专题
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

147
113
49

发帖

粉丝

关注

121
316
352

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人