通過(guò)無(wú)線AP輕松突破內(nèi)網(wǎng)準(zhǔn)入控制

以定級(jí)為等保二級(jí)或更高安全等級(jí)的網(wǎng)絡(luò)為例，針對(duì)違規(guī)內(nèi)聯(lián)，會(huì)專(zhuān)門(mén)部署終端桌面管理系統(tǒng)，并對(duì)網(wǎng)絡(luò)接入實(shí)行準(zhǔn)入控制，準(zhǔn)入控制手段主要有：

（1）基于802.1X進(jìn)行準(zhǔn)入控制；

（2）基于交換機(jī)端口綁定實(shí)行準(zhǔn)入控制；

（3）基于認(rèn)證網(wǎng)關(guān)進(jìn)行準(zhǔn)入控制；

（4）其他如DHCP等準(zhǔn)入控制。

上述技術(shù)手段的組合，會(huì)對(duì)邊界完整性保護(hù)發(fā)揮重要作用，但仍無(wú)法完全杜絕違規(guī)內(nèi)聯(lián)問(wèn)題。

原因解析：

第一：無(wú)線AP通過(guò)NAT結(jié)合DMZ，可輕松突破802.1X的準(zhǔn)入控制。事實(shí)上，基于802.1X的準(zhǔn)入控制，推廣和普及力度最大的地方是在大學(xué)校園，大學(xué)校園實(shí)行準(zhǔn)入控制的目的是為了收費(fèi)，而非安全。在淘寶網(wǎng)上，輸入“校園網(wǎng)路由器802.1x認(rèn)證”進(jìn)行搜索，可以發(fā)現(xiàn)很多淘寶賣(mài)家在兜售它們專(zhuān)門(mén)改裝的無(wú)線AP，這些無(wú)線AP自帶802.1X客戶端，可以兼容校園網(wǎng)的802.1X認(rèn)證。下面介紹的這種方法，可以繞過(guò)絕大多數(shù)基于802.1X的準(zhǔn)入控制系統(tǒng)，如802.1X+客戶端健康檢查的組合控制，具體做法是將合法終端接入無(wú)線AP的DMZ區(qū)充當(dāng)堡壘機(jī)，然后AP以MAC地址克?。玁AT方式接入原有網(wǎng)絡(luò)，802.1X的接入認(rèn)證由無(wú)線AP來(lái)完成，802.1X認(rèn)證通過(guò)后，其他的附加認(rèn)證均由堡壘機(jī)來(lái)完成，其他接入無(wú)線AP的無(wú)線設(shè)備就可以通過(guò)DMZ區(qū)的堡壘機(jī)接入內(nèi)網(wǎng)，而無(wú)須再認(rèn)證。

第二：對(duì)于無(wú)法部署客戶端的亞終端（如IP電話、網(wǎng)絡(luò)打印機(jī)等），其認(rèn)證方式多是基于MAC或IP地址進(jìn)行驗(yàn)證，無(wú)線AP可以通過(guò)MAC克隆+NAT輕易突破此限制；

第三：對(duì)于交換機(jī)端口綁定，無(wú)線AP可以通過(guò)MAC克隆+NAT輕易突破此限制；

第四：準(zhǔn)入控制系統(tǒng)的覆蓋率影響監(jiān)管效果，覆蓋率達(dá)到100%是很難完成的任務(wù)，總有小部分終端通過(guò)各種方式能夠逃避監(jiān)管，導(dǎo)致存在監(jiān)管盲區(qū)；

下面轉(zhuǎn)發(fā)一技術(shù)達(dá)人撰寫(xiě)的破解文章：http://blog.csdn.net/github_33709120/article/details/50849175。其他類(lèi)似的文章很多，大家可以在互聯(lián)網(wǎng)上搜索“突破802.1x”。