WPA2 Enterprise autentica anche i client nella porta dello switch protetto 802.1X?

2

In una LAN protetta 802.1X, la porta dello switch viene generalmente impostata sulla modalità "Più host" e il punto di accesso è configurato come supplicant 802.1X che autentica lo switch e "apre" la porta. Il punto di accesso può ora collegare liberamente i client wireless alla LAN e ha la responsabilità di autenticare ogni client wireless.

Questo non è sicuro perché è possibile scollegare il cavo LAN dal punto di accesso e collegarlo a un interruttore falso insieme al punto di accesso e il punto di accesso si autenticherà e garantirà l'accesso LAN allo switch non autorizzato in cui è possibile connettere dispositivi non autorizzati.

Se si modifica la porta dello switch in modalità "Più sessioni", tutti gli host devono essere autenticati anche se collegati a uno switch non autorizzato con il punto di accesso autenticato. Se il Wi-Fi utilizza anche WPA2 Enterprise (basato su 802.1X), questo in qualche modo autentica i client wireless allo switch in modo che possano accedere alla LAN?

    
posta Monstieur 27.03.2014 - 11:54
fonte

1 risposta

0

Inizierò dicendo che mentre alcuni punti di accesso possono essere configurati come client per autenticarsi su un protocollo protetto 802.1X, non tutti possono farlo. Inoltre, non è possibile abilitare 802.1X su una porta trunk / tagged, quindi non sarà possibile farlo se si dispone di un access point configurato per gestire più VLAN (ovvero più mapping SSID / VLAN con un AP autonomo o alcuni i venditori con 802.11ac si stanno allontanando dal tunneling di tutto il traffico verso i controllori).

Non sono a conoscenza di un punto di accesso che funzionerà in modalità "sessione multipla" come descritto. Penso che il primo ostacolo qui è che l'AP funziona come un NAS stesso, quindi il client sta già autenticando la rete. Ciò richiederebbe potenzialmente una seconda autenticazione 802.1X dal client allo switch.

Il secondo ostacolo è che ciò interromperà qualsiasi possibilità di eseguire più SSID su VLAN diverse o di avere l'indirizzo IP di gestione AP su una VLAN separata rispetto agli utenti. In una modalità "sessione multipla", in genere tutti i dispositivi devono avere la stessa assegnazione VLAN o verrà negato l'accesso.

In definitiva i punti di accesso fanno parte dell'infrastruttura e dovresti sempre considerare la sicurezza fisica per tutta l'infrastruttura. Come stai assicurando il tuo passaggio per cambiare i link che non partecipano a 802.1X? Questa è anche una vulnerabilità di sicurezza se non è protetta correttamente.

Ad esempio, inizierei con una sorta di dispositivo di blocco del cavo come questo da Panduit . Anche se non è perfetto, a meno di $ 10 per AP rende un cavo molto più difficile (accidentalmente o da manomissioni) da rimuovere senza lo strumento "chiave".

Se volessi più sicurezza, userei un enclosure per contenere l'AP e il cablaggio. Questi vanno da circa $ 50-300 per posizione e forniscono diversi livelli di sicurezza (a seconda della marca / modello). Se utilizzi una custodia metallica, dovrai utilizzare un'antenna esterna per evitare che l'involucro interferisca con il segnale, il che potrebbe comportare costi aggiuntivi.

    
risposta data 30.05.2014 - 22:38
fonte

Leggi altre domande sui tag