通過無線AP輕松突破內(nèi)網(wǎng)準(zhǔn)入控制

以定級為等保二級或更高安全等級的網(wǎng)絡(luò)為例，針對違規(guī)內(nèi)聯(lián)，會專門部署終端桌面管理系統(tǒng)，并對網(wǎng)絡(luò)接入實行準(zhǔn)入控制，準(zhǔn)入控制手段主要有：

創(chuàng)新互聯(lián)公司主要從事成都網(wǎng)站建設(shè)、做網(wǎng)站、網(wǎng)頁設(shè)計、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)納溪,十余年網(wǎng)站建設(shè)經(jīng)驗,價格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):18980820575

（1）基于802.1X進(jìn)行準(zhǔn)入控制；

（2）基于交換機端口綁定實行準(zhǔn)入控制；

（3）基于認(rèn)證網(wǎng)關(guān)進(jìn)行準(zhǔn)入控制；

（4）其他如DHCP等準(zhǔn)入控制。

上述技術(shù)手段的組合，會對邊界完整性保護發(fā)揮重要作用，但仍無法完全杜絕違規(guī)內(nèi)聯(lián)問題。

原因解析：

第一：無線AP通過NAT結(jié)合DMZ，可輕松突破802.1X的準(zhǔn)入控制。事實上，基于802.1X的準(zhǔn)入控制，推廣和普及力度最大的地方是在大學(xué)校園，大學(xué)校園實行準(zhǔn)入控制的目的是為了收費，而非安全。在淘寶網(wǎng)上，輸入“校園網(wǎng)路由器802.1x認(rèn)證”進(jìn)行搜索，可以發(fā)現(xiàn)很多淘寶賣家在兜售它們專門改裝的無線AP，這些無線AP自帶802.1X客戶端，可以兼容校園網(wǎng)的802.1X認(rèn)證。下面介紹的這種方法，可以繞過絕大多數(shù)基于802.1X的準(zhǔn)入控制系統(tǒng)，如802.1X+客戶端健康檢查的組合控制，具體做法是將合法終端接入無線AP的DMZ區(qū)充當(dāng)堡壘機，然后AP以MAC地址克?。玁AT方式接入原有網(wǎng)絡(luò)，802.1X的接入認(rèn)證由無線AP來完成，802.1X認(rèn)證通過后，其他的附加認(rèn)證均由堡壘機來完成，其他接入無線AP的無線設(shè)備就可以通過DMZ區(qū)的堡壘機接入內(nèi)網(wǎng)，而無須再認(rèn)證。

第二：對于無法部署客戶端的亞終端（如IP電話、網(wǎng)絡(luò)打印機等），其認(rèn)證方式多是基于MAC或IP地址進(jìn)行驗證，無線AP可以通過MAC克隆+NAT輕易突破此限制；

第三：對于交換機端口綁定，無線AP可以通過MAC克隆+NAT輕易突破此限制；

第四：準(zhǔn)入控制系統(tǒng)的覆蓋率影響監(jiān)管效果，覆蓋率達(dá)到100%是很難完成的任務(wù)，總有小部分終端通過各種方式能夠逃避監(jiān)管，導(dǎo)致存在監(jiān)管盲區(qū)；

下面轉(zhuǎn)發(fā)一技術(shù)達(dá)人撰寫的破解文章：http://blog.csdn.net/github_33709120/article/details/50849175。其他類似的文章很多，大家可以在互聯(lián)網(wǎng)上搜索“突破802.1x”。

文章名稱：通過無線AP輕松突破內(nèi)網(wǎng)準(zhǔn)入控制
網(wǎng)站路徑：http://muchs.cn/article16/isjogg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供用戶體驗、定制開發(fā)、網(wǎng)站內(nèi)鏈、外貿(mào)建站、品牌網(wǎng)站設(shè)計、ChatGPT

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)