Какие существуют стандарты / протоколы / продукты, которые поддерживают шифрование всех данных, передаваемых между устройством (например, рабочей станцией) и коммутатором LAN? Что-то вроде WPA для WLAN.
В предыдущих сообщениях упоминается 802.1x, но не очень подробно. 802.1x существует уже давно (основная спецификация IEEE в 2004 году), но всегда было беспокойство о гарантии целостности клиента после аутентификации. Внедрение и мониторинг незаконных пакетов после аутентификации с использованием проводного концентратора всегда были возможны (хотя удачи, разместив устаревший концентратор + блок атаки незамеченным на чьем-то столе). NAC как концепция отчасти должен был решить эту проблему, но никогда не делал это так чисто, как 802.11i.
В 802.1x были пересмотрены стандарты в 2010 году (802.1x-2010, также известный как 802.1x-REV), которые включали стандарт 2006 года (802.11AE), отвечающий конкретным требованиям Алекса. Оцените шифрование MacSec. IEEE теперь может бесплатно скачать интересные спецификации.
MacSec разработан как аналог системы безопасности, обеспечиваемой WPA2-AES (802.11i), причем обе схемы шифрования управляются аутентификацией 802.1x EAP (Extensible Authentication Protocol) на сервере RADIUS. MacSec обеспечивает целостность пакетов на канальном уровне и защищает от внедрения и мониторинга пакетов.
На момент публикации этой публикации Cisco является наиболее продвинутой в отношении внедрения и поддержки 802.1x-2010, но я вижу намеки на поддержку со стороны других поставщиков оборудования (некоторые коммутаторы Juniper «готовы» к MacSec). Однако есть три бита, которые вам нужны, чтобы все это работало, и только Cisco в настоящее время имеет все три бита в коммерческом состоянии: - Соискатель 802.1x, который может выполнять аутентификацию EAP и шифрование MacSec в программном обеспечении и / или работать с аппаратной сетевой картой, которая поддерживает MacSec аппаратно. - Коммутатор, который можно настроить для шифрования MacSec на порту. - Сервер AAA, который может доставить весь ключевой материал как часть ответа EAP Accept.
Реальная ценность MacSec остается предметом споров. Если кто-то может подойти достаточно близко, чтобы коснуться сетевого кабеля, у вас больше проблем с безопасностью.
802.1x отлично работает в локальной сети одного производителя (мой опыт работы с Cisco) - и фактически имеет меньше проблем с точки зрения управления, чем IPSec в корпоративной среде.
Если вы используете Cisco для своей локальной сети, я бы, вероятно, предложил это, поскольку это просто реализовать.
С помощью IPSEC можно защитить любой IP-трафик - будь то LAN или WAN.
Однако в локальных сетях все сложнее - вам приходится иметь дело с настройкой SA (ассоциаций безопасности) и управления ключами (если не используются PSK). В Windows вы можете интегрировать управление ключами в активный каталог, но вам также понадобится инфраструктура сертификатов для поддержки распространения сертификатов клиентам и того, как они получают сертификаты, если трафик еще не зашифрован.
Я не знаю, как ответить на указанное выше сообщение, но вот мой ответ на ваш вопрос Рори. В режиме с несколькими хостами вы можете поддерживать несколько клиентов за одним портом, но это не очень хорошо, потому что пока одно устройство аутентифицируется , весь порт авторизован для всех клиентов. Мульти-аутентификация лучше, потому что она заставляет каждый уникальный Mac аутентифицироваться, но вы теряете возможность использовать гостевые виртуальные локальные сети, виртуальные локальные сети с ошибкой аутентификации и несколько виртуальных локальных сетей, предоставляемых радиусом в некоторых случаях. Кроме того, существует ошибка с несколькими аутентификациями и несколькими доменами в IOS 12.2 (54) SG1 по крайней мере на коммутаторах серии 4500. Подробнее см. https://supportforums.cisco.com/thread/2044456. У меня эти функции работают с маленькими 5-портовыми настольными коммутаторами netgear и d-link, а не только с оборудованием Cisco. Dot1x больше подходит для аутентификации клиентов перед их подключением к сети. Для шифрования клиент-сервер IPSec является подходящим решением, и его можно полностью (и бесплатно) настроить через GPO.
ты имеешь в виду что-то вроде РАДИУС?