通过 WPA2 Enterprise 和 802.1x 运行 RADIUS 时,希望访问网络的客户端必须提供有效的凭据。但是,这并不能阻止恶意客户端伪造有效的客户端 MAC 地址,以获取对网络上运行的 MAC 认证服务的访问权限。RADIUS 协议是否可以防止这种情况发生,从而保证具有特定 MAC 的客户端在保持连接时在网络上拥有该唯一 MAC?
答案1
..这并不能阻止恶意客户端伪造有效的客户端 MAC 地址..
不,它不是,也不打算这样做。RADIUS 的目的是验证有效的用户/服务,RADIUS 在应用层。MAC 白名单可以有效绕过这一点,并且确实会造成漏洞,允许某些人访问这些资源。如果您担心这一点,最好完全关闭 MAC 身份验证。
此外,没有任何东西可以“保证”节点在网络上时会拥有唯一的 MAC 或 IP。是的,根据设计,所有节点在出厂时都具有唯一的 IP,如果您使用的是 DHCP 服务器,它“不应该”给出已经租用的地址,但穿着黑色连帽衫、戴着 Guy Fawkes 面具的人可以伪造数据包,使数据包看起来像是来自某个 mac 或 IP。
这并不是说您的网络不能配置为识别来自多个端口的单个 MAC 地址,但这在一定程度上超出了我的专业知识范围,可能超出了这个问题的范围。