Jak zatrzymać intruza podłączającego się do ściennego gniazdka Ethernet, aby uzyskać dostęp do sieci?


32

Czy filtrowanie adresów MAC jest najbardziej odpowiednią opcją, aby zapobiec podłączeniu własnego urządzenia do sieci przez podłączenie do ściennych gniazd Ethernet? Co jeśli odłączą urządzenie i sklonują jego MAC?


5
Filtrowanie adresów MAC nie jest odpowiednie, nie. Spójrz na 802.1x: en.wikipedia.org/wiki/IEEE_802.1X - „standard IEEE dla opartej na portach kontroli dostępu do sieci”.
robut

Możesz także dodać pułapki SNMP, aby otrzymywać powiadomienia o zmianie niektórych portów. Jest to bardziej po stronie wykrywania niż zapobiegania.
tegbains

Czy jakaś odpowiedź ci pomogła? jeśli tak, powinieneś zaakceptować odpowiedź, aby pytanie nie wyskakiwało wiecznie, szukając odpowiedzi. Alternatywnie możesz podać i zaakceptować własną odpowiedź.
Ron Maupin

Odpowiedzi:


34

Samo filtrowanie adresów MAC nie zapewnia dużej ochrony. Jak już wspomniałeś, adres MAC można sklonować. To nie znaczy, że nie może być częścią ogólnej strategii obrony, ale może być bardzo pracochłonne przy bardzo niewielkim powrocie.

Potrzebujesz kompleksowej polityki bezpieczeństwa, która może obejmować takie rzeczy jak:

  • Fizyczne ograniczenia dostępu
  • 802.1X, jak wspomniano w @robut, choć może to być skomplikowane i wymagać wsparcia infrastruktury sprzętowej / programowej, jednocześnie frustrując legalnych użytkowników
  • Zabezpieczenia portów na przełącznikach można skonfigurować tak, aby zezwalały tylko na jeden (lub ograniczoną liczbę) adres MAC w danym momencie lub w danym okresie, aby zapobiec podłączeniu koncentratorów, przełączników, punktów dostępowych itp., W tym wyłączyć port przez określony czas, jeśli zostaną wykryte naruszenia (należy zachować ostrożność w przypadku takich rzeczy jak telefony VoIP, w których komputery są podłączone do telefonu, ponieważ sam telefon będzie miał jeden lub więcej adresów MAC)
  • Można również wdrożyć zasadę, która wymaga, aby wszystkie porty przełącznika, które nie są obecnie używane, były wyłączone (w tym być może upewniając się, że nieużywane kable sieciowe nie są połączone krzyżowo w szafie danych)

Jak kiedyś powiedział mi mój przyjaciel ślusarza: „Zamki utrzymują uczciwość tylko uczciwych ludzi”. Źli zawsze znajdą sposób; Twoim zadaniem jest sprawienie, by nie było to warte ich wysiłków. Jeśli zapewnisz wystarczającą liczbę warstw ochrony, tylko najbardziej zdeterminowani złoczyńcy spędzą czas i wysiłek.

Ryzyko należy rozważyć przy użyciu zasobów (przede wszystkim czasu i pieniędzy, ale także utraconej produktywności), które są Państwo gotowi poświęcić na zabezpieczenie swojej sieci. Wydać tysiące dolarów i wiele roboczogodzin na ochronę tego roweru z garażem, który kupiłeś za 10 USD, może nie mieć sensu. Musisz wymyślić plan i zdecydować, jakie ryzyko możesz tolerować.


Zgodnie z Twoim komentarzem „uczciwi ludzie, uczciwy”, 802.1x, nawet właściwie skonfigurowany, jest trywialny dla prawdziwego napastnika, który może go ominąć (zobacz wiele rozmów i dokumentów na ten temat), ale powstrzymuje bumblerów przed podłączeniem swojego domowego laptopa lub mostka Wi-Fi do twoja sieć „na wypadek” i odstrasza ataki na nieużywane, ale podłączone porty, zmuszając atakującego do przeskoczenia większej liczby obręczy.
Jeff Meden,

@JeffMeden, wiem o tym i opisuję to w tej odpowiedzi .
Ron Maupin

6

Użyj VPN wewnętrznie i traktuj część sieci poza bezpiecznymi obszarami w taki sam sposób, jak traktujesz Internet.


Czy możesz to zrobić za pomocą PPPoE, ale czy warto?
sdaffa23fdsf

4

Odpowiedź na twoje pytanie = Nie.

Nie sądzę, że jest jedna pełna odpowiedź. Najbliżej byłoby mieć głębszą obronę.

Zacznij od tego, jak sugerował Ron Maupin, że ma ograniczony dostęp fizyczny. Następnie korzystaj z protokołu 802.1x przy użyciu protokołu EAP-TLS w celu uwierzytelnienia na porcie.

Następnie możesz nadal mieć zaporę ogniową na warstwie dostępu / dystrybucji. Jeśli mówisz więcej o wewnętrznych systemach sieciowych, upewnij się, że wszyscy są uwierzytelniani również przez proxy.


3

Nie, ponieważ adresy MAC można łatwo sfałszować. 802.1x jest właściwym narzędziem do tego zadania. W przypadku 802.1x jedną z metod połączeń może być, gdy po połączeniu (bezprzewodowym lub przewodowym) zostaniesz wysłany do portalu typu captive (inaczej strona powitalna) za pośrednictwem przeglądarki, gdzie możesz zaakceptować warunki użytkowania, opcjonalnie wprowadź wymagane hasło itp.


1

Jeśli Twoim jedynym wymaganiem jest po prostu blokowanie użytkowników (intruzów), możesz po prostu napisać kilka wierszy skryptu EEM.

Jeśli bieżący stan interfejsu jest włączony, skrypt zamknie ten interfejs, gdy zostanie wyłączony.

Jeśli bieżący stan jest wyłączony, skrypt zamknie port po jego podniesieniu.

Następnie użytkownik dzwoni, aby zweryfikować swoją tożsamość, a przy weryfikacji i żądaniu stosowane jest polecenie „bez zamykania”.


1

Nie ma sposobu, aby temu zapobiec, ale nie o to powinieneś się martwić. To, o co musisz się martwić, to faceci skanujący twoje sieci, cierpliwie budujący wiedzę na temat pęknięć w sieci.

To, co musisz zrobić, to zapobiec wykorzystaniu, zastosować bardzo ścisłą kontrolę dostępu, wprowadzić tester pióra, znaleźć rzeczy, które są źle skonfigurowane, doskonale zrozumieć swoją sieć i przeszkolić ludzi (nie klikać dobrze spreparowanych wiadomości e-mail, nie robić dziwnych rzeczy strony internetowe, bądź ostrożny w stosunku do urządzeń wymiennych itp.).


0

Jest to nieco ortogonalne w stosunku do intencji PO, ale stwierdziłem, że bardzo restrykcyjne w stosunku do portów przewodowych, a jednocześnie tworzenie i otwieranie punktu dostępowego Wi-Fi dla gości eliminuje wszystkie przypadkowe wypadki (np. Podłączenie gościa) i jednocześnie sprawia, że ​​środowisko firmy jest bardziej przyjazne dla odwiedzających. Otrzymujesz więc dwie korzyści za cenę jednej lub, inaczej mówiąc, możesz dostarczyć korzyści swojemu kierownictwu, a jednocześnie uzyskać korzyści bezpieczeństwa jako efekt uboczny.

Moje inne spostrzeżenie jest takie, że osoby atakujące są bardzo inteligentne, a obliczanie nagrody za pracę / wypłatę przechyla się przeciwko bezpośredniemu wtargnięciu przez sieć i na korzyść pozostawiania pamięci USB na biurku i czekania, aż ktoś ją znajdzie i włączy ( legalne, na autoryzowanym komputerze LAN). Yikes.


-1

Zamknij nieużywane porty i włącz zabezpieczenia portów w pozostałych. W każdym razie, jeśli ktoś jest w stanie sklonować istniejący adres MAC, nie ma sposobu, aby go zatrzymać.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.