Я хочу защитить свою компьютерную сеть и хочу реализовать какой-то механизм, который не позволит неавторизованному ПК подключаться к моим серверам (без использования фильтра по MAC или IP, который очень слаб). Так вот, в моей сети много неуправляемых коммутаторов L2, которые, очевидно, не поддерживают аутентификацию портов 802.1x. Я являюсь брандмауэром между своими серверами, и это коммутаторы для предотвращения атак, и я хочу реализовать программную аутентификацию портов 802.1x на этом сервере с Debian Linux. Возможно ли это?
решение1
Это вполне возможно, но вам придется перепроверить некоторые предположения.
Поскольку 802.1x недоступен (потому что ваше оборудование его не поддерживает), и вы (справедливо) не считаете контроль MAC-адресов достаточным, вы не можете предполагать, что присутствие в сети означает право на доступ. Вместо этого подключите серверы к другой, доверенной сети и запустите VPN поверх клиентской сети; это потребует, чтобы клиенты доказали своюдобросовестныйпрежде чем получить доступ к серверной сети, и защитить клиент-серверный трафик от злоумышленников в недоверенной клиентской сети.
Я делаю это на Wi-Fi в моем небольшом офисе; вместо того, чтобы предоставлять отдельные гостевые и служебные Wi-Fi-сети, мы запускаем одну Wi-Fi-сеть, а затем используем OpenVPN, чтобы предоставить доверенным клиентам доступ к защищенной офисной проводной сети.