Hallo,
Ich habe mich etwas mit 802.1x-Security im Wired-LAN beschäftigt. Folgende Situation bereitet mir Kopfzerbrechen :
Ein Supplicant authentifiziert sich an einem Port des Netzwerkes mittels Zertifikat (EAP-TLS) erfolgreich und wird in meinem Fall mit Hilfe von von RADIUS in ein VLAN verwiesen. An diesem Port hängt nun aber bereits ein HUB an den sich ein weiterer Client ohne Zertifikat aber mit gefakter MAC anschliest. Der Switch bzw. 802.1x bekommen davon natürlich nichts mit. Eine der NICs (bzw das OS) sollte einen der Clients jedoch vom Netz trennen wenn ihre MAC von jemand anderem benutzt wird.
Da ich periodisch eine re-authentication fordere wäre der Kittel wohl geflickt.
Da ich mich darauf jedoch nicht verlassen möchte wird es wohl nötig sein jeden Port in ein eigenes VLAN zu isolieren.
Liege ich soweit richtig ?