以定級為等保二級或更高安全等級的網路為例,針對違規內聯,會專門部署終端桌面管理系統,並對網路接入實行准入控制,准入控制手段主要有:
(1)基於802.1x進行准入控制;
(2)基於交換機埠繫結實行准入控制;
(3)基於認證閘道器進行准入控制;
(4)其他如dhcp等准入控制。
上述技術手段的組合,會對邊界完整性保護發揮重要作用,但仍無法完全杜絕違規內聯問題。
原因解析:
第一:無線ap通過nat結合dmz,可輕鬆突破802.1x的准入控制。事實上,基於802.1x的准入控制,推廣和普及力度最大的地方是在大學校園,大學校園實行准入控制的目的是為了收費,而非安全。在**網上,輸入「校園網路由器802.1x認證」進行搜尋,可以發現很多**賣家在兜售它們專門改裝的無線ap,這些無線ap自帶802.1x客戶端,可以相容校園網的802.1x認證。下面介紹的這種方法,可以繞過絕大多數基於802.1x的准入控制系統,如802.1x+客戶端健康檢查的組合控制,具體做法是將合法終端接入無線ap的dmz區充當堡壘機,然後ap以mac位址轉殖+nat方式接入原有網路,802.1x的接入認證由無線ap來完成,802.1x認證通過後,其他的附加認證均由堡壘機來完成,其他接入無線ap的無線裝置就可以通過dmz區的堡壘機接入內網,而無須再認證。
第二:對於無法部署客戶端的亞終端(如ip**、網路印表機等),其認證方式多是基於mac或ip位址進行驗證,無線ap可以通過mac轉殖+nat輕易突破此限制;
第三:對於交換機埠繫結,無線ap可以通過mac轉殖+nat輕易突破此限制;
第四:准入控制系統的覆蓋率影響監管效果,覆蓋率達到100%是很難完成的任務,總有小部分終端通過各種方式能夠逃避監管,導致存在監管盲區;
下面**一技術達人撰寫的破解文章:其他類似的文章很多,大家可以在網際網路上搜尋「突破802.1x」。
通過無線AP輕鬆突破內網准入控制
以定級為等保二級或更高安全等級的網路為例,針對違規內聯,會專門部署終端桌面管理系統,並對網路接入實行准入控制,准入控制手段主要有 1 基於802.1x進行准入控制 2 基於交換機埠繫結實行准入控制 3 基於認證閘道器進行准入控制 4 其他如dhcp等准入控制。上述技術手段的組合,會對邊界完整性保護發...
無線AP簡介
無線ap 無線access point wireless access point 即無線接入點,用作無線網路的無線交換機,是無線網路的核心。無線ap是無線裝置 如可攜式計算機 手機終端等 進入有線網路的接入點,主要用於寬頻家庭 大樓內部以及園區內部,可以覆蓋幾十公尺至上百公尺。無線ap是乙個含義很...
無線雙機互連配置(無路由或無AP,只通過無線網絡卡)
無線雙機互連配置 無路由或無ap,只通過無線網絡卡 2008 08 30 08 51 14 標籤 it 注 如果是windows xp之前的作業系統,還需要將兩個無線網路介面卡的通道設定統一。windows 2000就需要在網路介面卡的屬性裡面修改channel的值。其實也可以在無線網絡卡連線屬性配...