有哪些标准/协议/产品支持对设备(例如工作站)和 LAN 交换机之间发送的所有数据进行加密? 类似于 WLAN 的 WPA。
答案1
我不知道该如何回复上面的帖子,但这是我对你向 Rory 提出的问题的回复。在多主机模式下,你可以在一个端口后面支持多个客户端,但这并不是很好,因为只要一个设备通过身份验证,整个端口就会被授权给所有客户端。多重身份验证更好,因为它会强制每个唯一的 mac 进行身份验证,但在某些情况下,你将失去使用访客 VLAN、身份验证失败 VLAN 和多个 radius 提供的 VLAN 的能力。此外,至少在 4500 系列交换机上,IOS 12.2(54) SG1 中的多重身份验证和多域存在错误。详情请参阅:https://supportforums.cisco.com/thread/2044456。我将这些功能与 netgear 和 d-link 小型 5 端口桌面交换机(而不仅仅是 Cisco 品牌的设备)配合使用。Dot1x 更适合在客户端连接到网络之前对其进行身份验证。对于客户端到服务器的加密,IPSec 是可行的方法,可以通过 GPO 完全(免费)配置
答案2
之前的帖子提到了 802.1x,但并没有真正深入讨论。802.1x 已经存在很长时间了(2004 年的主要 IEEE 规范),但人们一直担心如何保证身份验证后的客户端完整性。使用有线集线器进行身份验证后恶意数据包注入和监控始终是可能的(不过,将老化的集线器 + 攻击箱放在某人的桌子上而不被人发现,这可不好办)。NAC 作为一个概念,部分是为了解决这个问题,但从来没有像 802.11i 那样干净利落地解决。
802.1x 在 2010 年进行了标准修订(802.1x-2010,也称为 802.1x-REV),其中纳入了 2006 年标准(802.11AE),满足了 Alex 的特定要求。查看 MacSec 加密。IEEE 现在可以免费下载规范,这很有趣。
MacSec 的设计与 WPA2-AES (802.11i) 提供的安全性类似,两种加密方案均由 802.1x EAP(可扩展身份验证协议)身份验证驱动,并向 RADIUS 服务器提供身份验证。MacSec 确保链路层的数据包完整性,并防止数据包注入和监控。
截至本文发布时,思科在实施和支持 802.1x-2010 方面是最先进的,但我看到其他硬件供应商也即将提供支持(一些 Juniper 交换机已“准备好”支持 MacSec)。不过,要让所有功能正常工作,您需要三个组件,而目前只有思科已将这三个组件投入商用:- 802.1x 请求者,可以在软件中进行 EAP 身份验证和 MacSec 加密,和/或与支持硬件 MacSec 的硬件 NIC 配合使用。- 可以在端口上配置 MacSec 加密的交换机。- AAA 服务器,可以在 EAP 接受响应中提供所有密钥材料。
MacSec 的实际价值尚有争议。如果有人能够靠近并窃听网络电缆,那么您将面临更大的安全危机。
答案3
任何 IP 流量都可以使用 IPSEC 进行保护 – 无论它是在 LAN 还是 WAN 上。
然而,在 LAN 中情况会更复杂,因为您必须处理 SA(安全关联)的设置和密钥管理(如果不使用 PSK)。使用 Windows,您可以将密钥管理集成到 Active Directory 中,但您还需要证书基础结构来支持向客户端分发证书,以及如果流量尚未加密,他们如何获取证书。
答案4
你的意思是半径?