私は自分のコンピューター ネットワークを安全にし、権限のない PC がサーバーに接続できないようにするメカニズムを実装したいと考えています (MAC または IP によるフィルターは使用しません。これは非常に脆弱です)。そのため、私のネットワークには、明らかに 802.1x ポート認証をサポートしていない、管理されていない L2 スイッチが多数あります。私はサーバーとスイッチの間にファイアウォールを設置して攻撃を防ぎ、Debian Linux を搭載したそのサーバーにソフトウェアによる 802.1x ポート認証を実装したいと考えています。これは可能ですか?
答え1
それは完全に可能ですが、いくつかの仮定を再確認する必要があります。
802.1xは利用できない(ハードウェアがサポートしていないため)ため、MACアドレス制御が十分であるとは考えていない(当然のことながら)ので、ネットワーク上に存在することがアクセス権を意味すると想定することはできません。代わりに、サーバーを別の信頼できるネットワークに接続し、クライアントネットワーク上でVPNを実行します。これにより、クライアントは誠実サーバー ネットワークにアクセスする前に、信頼できないクライアント ネットワーク上の悪意のあるオペレーターからクライアントとサーバーのトラフィックを保護します。
私は小規模オフィスの Wi-Fi でこれを行っています。ゲスト用と従業員用に別々の Wi-Fi を提供する代わりに、単一の Wi-Fi を実行し、OpenVPN を使用して信頼できるクライアントが保護されたオフィスの有線ネットワークにアクセスできるようにします。