802.1x协议macbased模式,hub下终端无需通过认证便可与内网设备互相通讯数据交互。
- 0关注
- 1收藏,2329浏览
问题描述:
问题一:802.1x协议macbased认证模式,交换机接了HUB的情,hub下的终端(设置同网段地址)无需通过802.1x认证便可互相通讯数据交互。
问题二:非法终端插入相同HUB下,仿冒已通过认证终端的MAC地址,无需认证便可直接访问网络资源。(即使macbased认证模式设置认证mac范围为1)
以上两问题均是HUB环境下的802.1x风险问题,咨询可否有什么方法进行限制。或限制私自接hub并仿冒问题。
组网及组网描述:
802.1x场景泛类问题
- 2020-11-23提问
- 举报
-
(0)
最佳答案
问题一,主要是HUB不具备自动寻址能力,不具备交换作用,它不能分割广播域和冲突域的特殊性导致的。 问题二,即使就是账号密码去radius认证,但是对于交换机来说判断条件为该端口下这个MAC是通过认证的授权的。因此仿冒的MAC上来以后也是直接通讯的。这两个问题换思科华为做802.1x认证都会有的问题,我就想看官方厂商针对这两个情况有没有好的解决方法。或者不能解决给个说明这样子。
- 2020-11-23回答
- 评论(0)
- 举报
-
(0)
都能仿冒终端mac地址了,那没辙了呀,换一种认证方式改成用账户密码的也会破解账户密码了
· 采用基于端口的接入控制方式时,只要该端口下的第一个用户认证成功后,其它接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其它用户也会被拒绝使用网络。
· 采用基于MAC的接入控制方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线后,也只有该用户无法使用网络。
- 2020-11-23回答
- 评论(3)
- 举报
-
(0)
主要现在仿冒MAC的门槛太低了,win10修改网络适配器设置就可以;然而在很多网络环境中HUB是很常见的。这种环境下员工私自仿冒没有办法限制,但即使剔除HUB从技术层面也没办法限制员工私接HUB的操作。头大呀
问题一,主要是HUB不具备自动寻址能力,不具备交换作用,它不能分割广播域和冲突域的特殊性导致的。 问题二,即使就是账号密码去radius认证,但是对于交换机来说判断条件为该端口下这个MAC是通过认证的授权的。因此仿冒的MAC上来以后也是直接通讯的。这两个问题换思科华为做802.1x认证都会有的问题,我就想看官方厂商针对这两个情况有没有好的解决方法。或者不能解决给个说明这样子。
第一个问题就好像交换机下面接个无管理交换机,下面终端要二层互通,上面的交换机没法做限制。第二个问题我意思是没办法解决啊,按照你的思路,换成别的认证方式,客户端也可以通过欺骗或者暴力破解连进来,MAC IP 这两个特征都可以仿冒,其他的密码什么可以破解。你觉得第二个问题你有什么解决思路吗
主要现在仿冒MAC的门槛太低了,win10修改网络适配器设置就可以;然而在很多网络环境中HUB是很常见的。这种环境下员工私自仿冒没有办法限制,但即使剔除HUB从技术层面也没办法限制员工私接HUB的操作。头大呀
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明