神话3:启用了802.1X端口控制,我就是安全的。
IEEE的802.1X端口控制可提供一种认证机制,会对每一部希望通过端口进行通信的设备进行安全认证。只有通过认证之后,该设备才会被允许进行通信。如果认证失败,通过此端口的通信就会被禁止。然而,802.1X设计者的目的并不是为了保护网络免遭无线安全威胁。正如我们所预料的,802.1X在防范Wi-Fi客户端的威胁方面是完全无能为力的。即便802.1X端口控制可以防止欺骗AP的通信,但是它依然很容易被“隐藏的欺骗AP”所绕过。举个例子,假设某员工已获得了802.1X的认证证书,他便可利用一个静态IP,以“沉静”模式配置他需要连接的2层桥接AP(这样一来,该AP就绝不会在网路上被识别出)。然后他便可以给Wi-Fi客户端一个伪装的身份(即MAC地址),从而蒙骗过802.1X端口控制。
实际情况:这里的基本问题是,802.1X提供的是一过性控制(也就是入口控制),而企业真正需要的是连续的监控。
