¿WPA2 Enterprise también autentica a los clientes en el puerto del conmutador protegido 802.1X?

2

En una LAN protegida con 802.1X, el puerto del conmutador generalmente se establece en el modo "Hosts múltiples" y el punto de acceso se configura como un suplicante 802.1X que se autentica en el conmutador y "abre" el puerto. El punto de acceso ahora puede conectar libremente los clientes inalámbricos a la LAN y tiene la responsabilidad de autenticar cada cliente inalámbrico.

Esto es inseguro porque puede desconectar el cable de LAN del punto de acceso y enchufarlo a un interruptor no autorizado junto con el punto de acceso y el punto de acceso se autenticaría y permitiría el acceso de la LAN al interruptor no autorizado donde se pueden conectar dispositivos no autorizados.

Cambiar el puerto del conmutador al modo "Sesiones múltiples" requerirá que todos los hosts se autentiquen, incluso si están conectados a un conmutador no autorizado con el punto de acceso autenticado. Si el Wi-Fi también usa WPA2 Enterprise (basado en 802.1X), ¿esto autentificará de alguna manera a los clientes inalámbricos al conmutador para que puedan acceder a la LAN?

    
pregunta Monstieur 27.03.2014 - 11:54
fuente

1 respuesta

0

Comenzaré diciendo que, si bien algunos puntos de acceso pueden configurarse como un cliente para autenticarse en un puerto de conmutación protegido por 802.1X, no todos pueden hacerlo. Además, no puede habilitar 802.1X en un puerto troncal / etiquetado, por lo que no podrá hacer esto si tiene un punto de acceso configurado para manejar múltiples VLAN (es decir, múltiples asignaciones de SSID / VLAN con un AP autónomo o alguna los proveedores con 802.11ac se están alejando del túnel de todo el tráfico a los controladores).

No tengo conocimiento de un punto de acceso que funcione en modo de "sesión múltiple" como usted describe. Creo que el primer obstáculo aquí es que el AP funciona como un NAS en sí mismo, por lo que el cliente ya se está autenticando en la red. Esto podría requerir una segunda autenticación 802.1X por parte del cliente al conmutador.

El segundo obstáculo es que esto interrumpiría cualquier capacidad de ejecutar múltiples SSID en diferentes VLAN o tener la dirección IP de administración de AP en una VLAN diferente a la de los usuarios. En un modo de "sesión múltiple", por lo general, todos los dispositivos deben tener la misma asignación de VLAN o se les negará el acceso.

En última instancia, los puntos de acceso son parte de su infraestructura y siempre debe considerar la seguridad física para toda la infraestructura. ¿Cómo está asegurando su conmutador para cambiar los enlaces que no participan en 802.1X? Esto también es una vulnerabilidad de seguridad si no se asegura adecuadamente.

Por ejemplo, comenzaría con algún tipo de dispositivo de bloqueo de cable como este de Panduit . Si bien no es perfecto, a menos de $ 10 por AP, hace que un cable sea mucho más difícil (ya sea por accidente o por manipulación) para retirarlo sin la herramienta "clave".

Si quisiera más seguridad, usaría un gabinete para contener el AP y el cableado. Estos van desde los $ 50-300 por ubicación y brindan diferentes niveles de seguridad (según la marca / modelo). Si va con un gabinete de metal, necesitará usar una antena externa para evitar que el gabinete interfiera con la señal, lo que puede agregar costos adicionales.

    
respondido por el YLearn 30.05.2014 - 22:38
fuente

Lea otras preguntas en las etiquetas