Portsecurity 802.1x

[südpol 10]

Hallo zusammen!

 

ich bin gerade dabei zu überlegen ob der Einsatz von 802.1x in einem Netzwerk mit hohen Sicherheitsanforderungen Sinn macht. Es geht dabei um folgenden Aufbau:

 

Es handelt sich um ein LAN (ohne W!!). Ich würde gerne mit dieser Technik gepachte Ports sichern, die derzeit nciht von einem Firmenrechner verwendet werden. Der Client soll sich durch ein Zertifikat ausweisen - nicht durch Eingabe eines PW o.ä. sprich das ganze soll ohne zutun des Users stattfinden.

 

Ich habe bis jetzt herausgefunde, dass ich dafür switches brauche, die 802.1x verstehen und gleichzeitig brauche ich einen Radiusserver und ein client OS das damit umgehen kann (z. B. XP). Soweit ist alles OK.

 

Jetzt meine Fragen zu dem Thema:

 

1. Wie sicher ist diese Technik einzustuffen. Gibt es bereits Möglichkeiten diese zu umgehen?

 

2. Wie sehen die Clientzertifikate aus? Können diese aus dem System entwendet werden. (z. B. mit Knoppix) oder sind diese mit der Hardware gedongelt?

 

3. Zählt ein Zertifikat immer nur für einen bestimmten Port oder kann man einem Zertifikat auch das Recht zuordnen sich an mehreren Ports anzumelden.

 

Ich bin auch für jeden Link zu dem Thema sehr dankbar!

 

Danke