通過無線AP輕松突破內網準入控制

以定級為等保二級或更高安全等級的網絡為例，針對違規內聯，會專門部署終端桌面管理系統，并對網絡接入實行準入控制，準入控制手段主要有：

（1）基于802.1X進行準入控制；

（2）基于交換機端口綁定實行準入控制；

（3）基于認證網關進行準入控制；

（4）其他如DHCP等準入控制。

上述技術手段的組合，會對邊界完整性保護發揮重要作用，但仍無法完全杜絕違規內聯問題。

原因解析：

第一：無線AP通過NAT結合DMZ，可輕松突破802.1X的準入控制。事實上，基于802.1X的準入控制，推廣和普及力度最大的地方是在大學校園，大學校園實行準入控制的目的是為了收費，而非安全。在淘寶網上，輸入“校園網路由器802.1x認證”進行搜索，可以發現很多淘寶賣家在兜售它們專門改裝的無線AP，這些無線AP自帶802.1X客戶端，可以兼容校園網的802.1X認證。下面介紹的這種方法，可以繞過絕大多數基于802.1X的準入控制系統，如802.1X+客戶端健康檢查的組合控制，具體做法是將合法終端接入無線AP的DMZ區充當堡壘機，然后AP以MAC地址克?。玁AT方式接入原有網絡，802.1X的接入認證由無線AP來完成，802.1X認證通過后，其他的附加認證均由堡壘機來完成，其他接入無線AP的無線設備就可以通過DMZ區的堡壘機接入內網，而無須再認證。

第二：對于無法部署客戶端的亞終端（如IP電話、網絡打印機等），其認證方式多是基于MAC或IP地址進行驗證，無線AP可以通過MAC克隆+NAT輕易突破此限制；

第三：對于交換機端口綁定，無線AP可以通過MAC克隆+NAT輕易突破此限制；

第四：準入控制系統的覆蓋率影響監管效果，覆蓋率達到100%是很難完成的任務，總有小部分終端通過各種方式能夠逃避監管，導致存在監管盲區；

下面轉發一技術達人撰寫的破解文章：http://blog.csdn.net/github_33709120/article/details/50849175。其他類似的文章很多，大家可以在互聯網上搜索“突破802.1x”。