我想保护我的计算机网络,并希望实施某种机制来阻止未经授权的 PC 连接到我的服务器(不使用 MAC 或 IP 过滤器,这非常薄弱)。因此,我的网络有许多非托管的 L2 交换机,显然不支持 802.1x 端口身份验证。我在服务器和交换机之间设置了防火墙来防止攻击,我想在装有 Debian Linux 的服务器上通过软件实施 802.1x 端口身份验证。这可能吗?
答案1
这是完全可能的,但需要你重新检查一些假设。
由于 802.1x 不可用(因为您的硬件不支持它)并且您(正确地)认为 MAC 地址控制不够充分,因此您不能假设网络上的存在意味着有权访问。相反,将服务器连接到不同的受信任网络,并在客户端网络之上运行 VPN;这两者都需要客户端证明他们的诚意才能够访问服务器网络,并保护客户端-服务器流量免受不受信任的客户端网络上的恶意操作员的攻击。
我在我的小型办公室 WiFi 上进行此操作;我们没有提供单独的访客和员工 WiFi,而是运行单个 WiFi,然后使用 OpenVPN 使受信任的客户端能够访问受保护的办公室有线网络。