Czy filtrowanie adresów MAC jest najbardziej odpowiednią opcją, aby zapobiec podłączeniu własnego urządzenia do sieci przez podłączenie do ściennych gniazd Ethernet? Co jeśli odłączą urządzenie i sklonują jego MAC?
Czy filtrowanie adresów MAC jest najbardziej odpowiednią opcją, aby zapobiec podłączeniu własnego urządzenia do sieci przez podłączenie do ściennych gniazd Ethernet? Co jeśli odłączą urządzenie i sklonują jego MAC?
Odpowiedzi:
Samo filtrowanie adresów MAC nie zapewnia dużej ochrony. Jak już wspomniałeś, adres MAC można sklonować. To nie znaczy, że nie może być częścią ogólnej strategii obrony, ale może być bardzo pracochłonne przy bardzo niewielkim powrocie.
Potrzebujesz kompleksowej polityki bezpieczeństwa, która może obejmować takie rzeczy jak:
Jak kiedyś powiedział mi mój przyjaciel ślusarza: „Zamki utrzymują uczciwość tylko uczciwych ludzi”. Źli zawsze znajdą sposób; Twoim zadaniem jest sprawienie, by nie było to warte ich wysiłków. Jeśli zapewnisz wystarczającą liczbę warstw ochrony, tylko najbardziej zdeterminowani złoczyńcy spędzą czas i wysiłek.
Ryzyko należy rozważyć przy użyciu zasobów (przede wszystkim czasu i pieniędzy, ale także utraconej produktywności), które są Państwo gotowi poświęcić na zabezpieczenie swojej sieci. Wydać tysiące dolarów i wiele roboczogodzin na ochronę tego roweru z garażem, który kupiłeś za 10 USD, może nie mieć sensu. Musisz wymyślić plan i zdecydować, jakie ryzyko możesz tolerować.
Użyj VPN wewnętrznie i traktuj część sieci poza bezpiecznymi obszarami w taki sam sposób, jak traktujesz Internet.
Odpowiedź na twoje pytanie = Nie.
Nie sądzę, że jest jedna pełna odpowiedź. Najbliżej byłoby mieć głębszą obronę.
Zacznij od tego, jak sugerował Ron Maupin, że ma ograniczony dostęp fizyczny. Następnie korzystaj z protokołu 802.1x przy użyciu protokołu EAP-TLS w celu uwierzytelnienia na porcie.
Następnie możesz nadal mieć zaporę ogniową na warstwie dostępu / dystrybucji. Jeśli mówisz więcej o wewnętrznych systemach sieciowych, upewnij się, że wszyscy są uwierzytelniani również przez proxy.
Nie, ponieważ adresy MAC można łatwo sfałszować. 802.1x jest właściwym narzędziem do tego zadania. W przypadku 802.1x jedną z metod połączeń może być, gdy po połączeniu (bezprzewodowym lub przewodowym) zostaniesz wysłany do portalu typu captive (inaczej strona powitalna) za pośrednictwem przeglądarki, gdzie możesz zaakceptować warunki użytkowania, opcjonalnie wprowadź wymagane hasło itp.
Jeśli Twoim jedynym wymaganiem jest po prostu blokowanie użytkowników (intruzów), możesz po prostu napisać kilka wierszy skryptu EEM.
Jeśli bieżący stan interfejsu jest włączony, skrypt zamknie ten interfejs, gdy zostanie wyłączony.
Jeśli bieżący stan jest wyłączony, skrypt zamknie port po jego podniesieniu.
Następnie użytkownik dzwoni, aby zweryfikować swoją tożsamość, a przy weryfikacji i żądaniu stosowane jest polecenie „bez zamykania”.
Nie ma sposobu, aby temu zapobiec, ale nie o to powinieneś się martwić. To, o co musisz się martwić, to faceci skanujący twoje sieci, cierpliwie budujący wiedzę na temat pęknięć w sieci.
To, co musisz zrobić, to zapobiec wykorzystaniu, zastosować bardzo ścisłą kontrolę dostępu, wprowadzić tester pióra, znaleźć rzeczy, które są źle skonfigurowane, doskonale zrozumieć swoją sieć i przeszkolić ludzi (nie klikać dobrze spreparowanych wiadomości e-mail, nie robić dziwnych rzeczy strony internetowe, bądź ostrożny w stosunku do urządzeń wymiennych itp.).
Jest to nieco ortogonalne w stosunku do intencji PO, ale stwierdziłem, że bardzo restrykcyjne w stosunku do portów przewodowych, a jednocześnie tworzenie i otwieranie punktu dostępowego Wi-Fi dla gości eliminuje wszystkie przypadkowe wypadki (np. Podłączenie gościa) i jednocześnie sprawia, że środowisko firmy jest bardziej przyjazne dla odwiedzających. Otrzymujesz więc dwie korzyści za cenę jednej lub, inaczej mówiąc, możesz dostarczyć korzyści swojemu kierownictwu, a jednocześnie uzyskać korzyści bezpieczeństwa jako efekt uboczny.
Moje inne spostrzeżenie jest takie, że osoby atakujące są bardzo inteligentne, a obliczanie nagrody za pracę / wypłatę przechyla się przeciwko bezpośredniemu wtargnięciu przez sieć i na korzyść pozostawiania pamięci USB na biurku i czekania, aż ktoś ją znajdzie i włączy ( legalne, na autoryzowanym komputerze LAN). Yikes.