Ich möchte das Netzwerk meines Computers sichern und einen Mechanismus implementieren, der verhindert, dass sich ein nicht autorisierter PC mit meinen Servern verbindet (ohne Filter nach MAC oder IP zu verwenden, das ist sehr schwach). Mein Netzwerk hat also viele nicht verwaltete Switches L2, die offensichtlich keine 802.1x-Portauthentifizierung unterstützen. Ich habe eine Firewall zwischen meinen Servern und diesen Switches, um Angriffe zu verhindern, und ich möchte auf diesem Server mit Debian Linux eine 802.1x-Portauthentifizierung per Software implementieren. Ist das möglich?
Antwort1
Dies ist durchaus möglich, erfordert aber eine erneute Überprüfung einiger Annahmen.
Da 802.1x nicht verfügbar ist (weil Ihre Hardware es nicht unterstützt) und Sie (zu Recht) MAC-Adresskontrollen nicht als ausreichend betrachten, können Sie nicht davon ausgehen, dass die Anwesenheit im Netzwerk Zugriffsberechtigung bedeutet. Verbinden Sie die Server stattdessen mit einem anderen, vertrauenswürdigen Netzwerk und führen Sie ein VPN über dem Client-Netzwerk aus. Dies erfordert, dass die Clients ihregutgläubigbevor auf das Servernetzwerk zugegriffen werden kann, und um den Client-Server-Verkehr vor böswilligen Betreibern im nicht vertrauenswürdigen Clientnetzwerk zu schützen.
Ich mache das über das WLAN in meinem kleinen Büro. Anstatt separate WLANs für Gäste und Mitarbeiter bereitzustellen, betreiben wir ein einziges WLAN und verwenden dann OpenVPN, um vertrauenswürdigen Clients den Zugriff auf das geschützte kabelgebundene Büronetzwerk zu ermöglichen.