Як я можу зупинити зловмисника підключення до розетки Ethernet, отримуючи доступ до мережі?


32

Чи є фільтрація MAC-адреси найбільш підходящим варіантом, щоб запобігти підключенню власного пристрою до мережі шляхом підключення до розетки Ethernet? Що робити, якщо вони відключать пристрій і клонують його MAC?


5
MAC-фільтрація не підходить, ні. Подивіться на 802.1x: en.wikipedia.org/wiki/IEEE_802.1X - "стандарт IEEE для управління доступом до мережі".
robut

Ви також можете додати SNMP trap'ing, щоб отримувати сповіщення, коли певні порти змінюють статус. Це більше стосується виявлення, а не запобігання.
tegbains

Чи допомогла вам якась відповідь? якщо так, то слід прийняти відповідь, щоб питання не з’являлося вічно, шукаючи відповідь. Крім того, ви можете надати та прийняти власну відповідь.
Рон Моупін

Відповіді:


34

Сама фільтрація MAC-адреси не забезпечує особливого захисту. Як ви вказали, MAC-адресу можна клонувати. Це не означає, що вона не може бути частиною загальної оборонної стратегії, але це може бути багато роботи для дуже невеликого повернення.

Вам потрібна комплексна політика безпеки, яка може включати в себе такі речі, як:

  • Фізичні обмеження доступу
  • Як згадувалося @robut, 802.1X, хоча це може бути складним і вимагати підтримки апаратної та програмної інфраструктури, а також засмучує законних користувачів
  • Захист порту на комутаторах може бути налаштований так, щоб дозволяти лише одну (або обмежену кількість) MAC-адресу в будь-який момент часу або в будь-який даний період часу, щоб запобігти підключенню концентраторів, комутаторів, AP-адрес тощо, включаючи відключення порту протягом певного періоду часу, якщо виявляються порушення (потрібно подбати про такі речі, як VoIP-телефони, де ПК підключені до телефону, оскільки сам телефон матиме одну або декілька MAC-адрес)
  • Ви також можете застосувати політику, яка вимагає відключення будь-яких портів комутації, які наразі не використовуються (включаючи, можливо, переконайтеся, що невикористані мережеві кабелі не перехресно пов'язані в шафі даних)

Як одного разу мені сказав мій друг слюсаря: "Замки тримають тільки чесних людей". Погані хлопці завжди знайдуть спосіб; Ваше завдання - зробити так, щоб не варто їх зусиль. Якщо ви забезпечите достатньо шарів захисту, час і сили витратять тільки найбільш рішучі погані хлопці.

Ви повинні зважувати ризики з ресурсами (насамперед часом та грошима, але й втраченою продуктивністю), які ви готові вкласти у безпеку своєї мережі. Можливо, не має сенсу витрачати тисячі доларів і багато людей, щоб захистити той велосипед-гараж, який ви купили за 10 доларів. Вам потрібно придумати план і вирішити, який ризик ви можете терпіти.


Відповідно до ваших коментарів "чесні люди чесні", 802.1x, навіть налаштований належним чином, є справжнім для справжнього зловмисника в обхід (див. Багато розмов і паперів на цю тему), але це не зупиняє джмелів від підключення домашнього ноутбука чи мосту Wi-Fi до ваша мережа "випадково", і вона стримує атаки на невикористані, але підключені порти, змушуючи зловмисника перестрибувати більше обручів.
Джефф Меден

@JeffMeden, я знаю про це, і висвітлюю це у цій відповіді .
Рон Моупін

6

Використовуйте внутрішню VPN і обробляйте ділянку мережі поза захищеними зонами так само, як ви ставитесь до Інтернету.


Або ви можете це зробити за допомогою PPPoE, але чи варто докласти зусиль?
sdaffa23fdsf

4

Відповідь на ваше запитання = Ні.

Я не думаю, що є одна повна відповідь. Найближчим було б мати глибоку оборону.

Почніть так, як Рон Мопін запропонував обмежити фізичний доступ. Тоді отримайте 802.1x за допомогою EAP-TLS для аутентифікації до порту.

Після цього ви все ще можете мати брандмауер на шарі доступу / розподілу. Якщо ви більше розмовляєте про внутрішні веб-системи, то переконайтеся, що всі також проходять автентифікацію через проксі.


3

Ні, оскільки MAC-адреси легко підробляються. 802.1x - це належний інструмент для роботи. З 802.1x, одним із способів підключення може бути, коли ви підключаєтесь (бездротовим чи дротовим), ви пересилаєтесь на веб-портал, що перебуває в полоні (він же - заплескна сторінка), через веб-переглядач, де ви можете прийняти умови використання, необов'язково ввести необхідний пароль тощо.


1

Якщо ваша єдина вимога - просто блокувати користувачів (зловмисників), ви можете просто написати пару рядків сценарію EEM.

Якщо поточний стан інтерфейсу вмикається, сценарій буде вимикати цей інтерфейс, коли він знижується.

Якщо поточний стан вниз, сценарій відключить порт, коли він піднімається вгору.

Потім користувач дзвонить, щоб підтвердити свою особу, і "не закривається" застосовується під час перевірки та запиту.


1

Не можна цього запобігти, але це не те, про що ви повинні турбуватися. Що потрібно турбуватися, це хлопці, які сканують ваші мережі, терпляче будуючи знання про тріщини у вашій мережі.

Що вам потрібно зробити, це запобігти експлуатації, використовувати дуже суворий контроль доступу, ввести тестер ручки, знайти речі, які неправильно налаштовані, прекрасно розуміти вашу мережу та навчити людей (не натискати на добре складені електронні листи, не йти дивно веб-сайти, будьте обережні щодо знімних пристроїв тощо).


0

Це дещо ортогонально до намірів ОП, але я виявив, що, будучи дуже обмежуючим для дротових портів, одночасно створюючи та відкриваючи гостьовий Wi-Fi AP, виключає всі випадкові аварії (наприклад, підключення відвідувача) та в той же час робить середовище компанії привітнішим для відвідувачів. Таким чином, ви отримуєте дві вигоди за ціну одного, або, кажучи іншим чином, ви можете доставити користь своєму керівництву, отримуючи при цьому перевагу для безпеки як побічний ефект.

Моє інше зауваження полягає в тому, що зловмисники дуже розумні, і підрахунок винагороди за роботу / виплату нахиляється проти прямого вторгнення в мережу і на користь просто залишити USB-накопичувач на столі і чекати, коли хтось знайде його і підключить його ( законний, на авторизованому LAN) ПК. Yikes.


-1

Вимкніть невикористані порти та ввімкніть безпеку портів для інших. У будь-якому випадку, якщо комусь вдасться клонувати існуючу MAC-адресу, немає можливості зупинити його.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.