Criptografia entre um switch de LAN e um dispositivo final

Não sei como responder à postagem acima, mas aqui está minha resposta à sua pergunta para Rory. No modo de vários hosts, você pode oferecer suporte a vários clientes por trás de uma única porta, mas não é excelente, desde que um dispositivo autentica, a porta inteira é autorizada para todos os clientes. Multi-auth é melhor porque força cada MAC único a autenticar, mas você perde a capacidade de usar vlans guest, vlans de falha de autenticação e várias vlans fornecidas por raio em determinados casos. existe um bug em multi-auth e multi-domínio no IOS 12.2 (54) SG1 em pelo menos os switches da série 4500. Veja para detalhes: link .Eu tenho esses recursos trabalhando com netgear e d-link comutadores de desktop de 5 portas - não apenas o equipamento da marca Cisco. Dot1x é mais para autenticar clientes antes de se conectarem à rede.Para criptografia de cliente para servidor, o IPSec é o caminho a percorrer e pode ser configurado completamente (e de graça) via GPO

As postagens anteriores mencionam 802.1x mas não entram em muitos detalhes. O 802.1x existe há muito tempo (grande especificação do IEEE em 2004), mas sempre houve uma preocupação em garantir a pós-autenticação da integridade do cliente. A injeção e monitoração de pacotes não autorizadas após a autenticação usando um hub com fio sempre foi uma possibilidade (boa sorte em colocar uma caixa de ataque + hub de envelhecimento despercebida na mesa de alguém, no entanto). O NAC como um conceito foi em parte destinado a resolver isso, mas nunca o fez tão bem quanto o 802.11i.

O 802.1x teve uma revisão de padrões em 2010 (802.1x-2010, também conhecida como 802.1x-REV), que incorporou um padrão de 2006 (802.11AE) abordando os requisitos específicos de Alex. Confira a criptografia MacSec. O IEEE agora tem acesso gratuito às especificações, que são interessantes.

O MacSec é projetado como um paralelo à segurança fornecida pelo WPA2-AES (802.11i), com ambos os esquemas de criptografia sendo conduzidos pela autenticação 802.1x EAP (Extensible Authentication Protocol) para um servidor RADIUS. O MacSec garante a integridade do pacote na camada de link e protege contra a injeção e monitoramento de pacotes.

A Cisco é, neste post, a mais avançada no que diz respeito à implementação e suporte do 802.1x-2010, mas estou vendo dicas de suporte pendente de outros fornecedores de hardware (alguns switches Juniper estão prontos para MacSec). Existem três bits necessários para que tudo funcione e, no momento, somente a Cisco possui todos os três bits em um estado comercial: - Um suplicante 802.1x que pode fazer autenticação EAP e criptografia MacSec em software e / ou trabalhar com uma NIC de hardware que suporte MacSec em hardware. - Um switch que pode ser configurado para o MacSec Encryption em uma porta. - Um servidor AAA que pode entregar todo o material de chave como parte da resposta Aceitar EAP.

O valor real do MacSec está aberto ao debate. Se alguém conseguir se aproximar o suficiente para tocar em um cabo de rede, estará em maior conflito de segurança.

Qualquer tráfego IP pode ser protegido usando IPSEC - seja em LAN ou WAN.

No entanto, é mais complicado em LANs - já que você tem que lidar com a configuração de SAs (associações de segurança) e gerenciamento de chaves (se não estiver usando PSKs). Com o Windows, você pode integrar o gerenciamento de chaves no diretório ativo, mas também precisa da infraestrutura do Certificado para suportar a distribuição de certificados para os clientes e como eles obtêm os certificados, caso o tráfego ainda não esteja criptografado.

O 802.1x funciona bem em uma LAN de um único fornecedor (minha experiência foi com Cisco aqueles ) - e, de fato, tem menos desafios de uma perspectiva de gerenciamento do que o IPSec em um ambiente corporativo.

Se você usa Cisco para sua LAN, eu provavelmente sugeriria isso, já que é simples de implementar.

você quer dizer algo como RADIUS ?