Bir Ethernet duvar prizine giren bir saldırganın ağa erişmesini nasıl durdurabilirim?


32

MAC adresi, birinin Ethernet duvar prizlerine takarak kendi cihazını ağa bağlamasını önlemek için en uygun seçenek mi filtreliyor mu? Ya bir cihazı çıkarırlar ve MAC'lerini klonlarlarsa?


5
MAC filtreleme uygun değil, hayır. 802.1x'e bakınız: en.wikipedia.org/wiki/IEEE_802.1X - "port tabanlı Ağ Erişim Kontrolü için bir IEEE Standardı".
15

Ayrıca, belirli bağlantı noktaları durumu değiştiğinde bildirim almak için SNMP tuzağı özelliğini de ekleyebilirsiniz. Bu, önleme yerine algılama tarafında daha fazladır.
tegbains

Herhangi bir cevap size yardımcı oldu mu? eğer öyleyse, cevabı kabul etmelisin ki soru sonsuza kadar ortaya çıkmayacak, cevap arayacaksın. Alternatif olarak, kendi cevabınızı verebilir ve kabul edebilirsiniz.
Ron Maupin

Yanıtlar:


34

MAC adresi filtrelemenin kendisi fazla koruma sağlamaz. Belirttiginiz gibi bir MAC adresi klonlanabilir. Bu, genel savunma stratejisinin bir parçası olamayacağı anlamına gelmez, ancak çok az geri dönüş için çok fazla iş olabilir.

Aşağıdakileri içerebilecek kapsamlı bir güvenlik politikasına ihtiyacınız vardır:

  • Fiziksel erişim sınırlamaları
  • 802.1X @ robut'tan bahsedildiği gibi, bunun karmaşık olmasına rağmen meşru kullanıcıları sinirlendirirken donanım / yazılım altyapısını desteklemesini gerektirebilir
  • Anahtarlar üzerindeki bağlantı noktası güvenliği, bağlantı noktası devre dışı bırakma dahil hub, anahtar, AP, vb. Bağlantılarını engellemek için herhangi bir zamanda veya belirli bir zaman diliminde yalnızca (veya sınırlı sayıda) bir MAC adresine izin verecek şekilde ayarlanabilir Belirli bir süre boyunca ihlal tespit edilirse (PC’lerin telefona bağlandığı VoIP telefonları gibi şeyler için dikkatli olunmalıdır, çünkü telefonun kendisi bir veya daha fazla MAC adresine sahip olacaktır)
  • Şu anda devre dışı bırakılmayan herhangi bir anahtar bağlantı noktası gerektiren bir politika da uygulayabilirsiniz (belki de kullanılmayan ağ kablolarının veri dolabına çapraz bağlanmadığından emin olmak dahil)

Bir çilingir arkadaşımın bir keresinde bana, “Kilitler sadece dürüst insanları dürüst tut.” Kötü adamlar her zaman bir yolunu bulur; senin işin çabalarına değmez hale getirmek. Yeterli koruma katmanı sağlarsanız, sadece en kararlı kötü adamlar zaman ve çaba harcarlar.

Ağınızı güvence altına almak için istekli olduğunuz kaynaklarla (öncelikle zaman ve para, ancak verimliliği kaybetmek) riskleri değerlendirmek zorundasınız. Satın aldığınız garaj satış bisikletini 10 dolara korumak için binlerce dolar ve birçok erkek saati harcamak pek mantıklı gelmeyebilir. Bir plan yapmalı ve ne kadar riske tahammül edeceğine karar vermelisin.


"Dürüst insanlara karşı dürüst" yorumunuza uygun olarak, 802.1x, doğru bir şekilde yapılandırılmış olsa bile, gerçek bir saldırganın atlaması çok önemsiz ağınız "kaza durumunda" ve kullanılmayan ancak bağlı portlara saldırmayı engelliyor, saldırganı daha fazla çembere atlamaya zorluyor.
Jeff Meden

@JeffMeden, bunu biliyorum ve bu cevabı ben de yazıyorum .
Ron Maupin

6

Dahili olarak bir VPN kullanın ve ağın güvenli bölgeleri dışından, internete yaptığınız gibi kullanın.


Ya da PPPoE ile yapabilirsiniz, ama bu çabaya değer mi?
sdaffa23fdsf 13:15

4

Sorunuza cevap = Hayır.

Tek bir cevap olduğunu sanmıyorum. En yakınları derinlemesine savunmak olacaktır.

Ron Maupin'in Fiziksel erişimin kısıtlandığını önerdiği şekilde başlayın. Ardından, bağlantı noktasında kimlik doğrulaması yapmak için EAP-TLS'yi kullanarak 802.1x'e sahip olun.

Bundan sonra hala erişim / dağıtım katmanında bir güvenlik duvarı olabilir. Dahili web sistemleri hakkında daha fazla konuşuyorsanız, proxy üzerinden herkesin doğrulandığından emin olun.


3

Hayır, çünkü MAC adresleri kolayca taklit edilir. 802.1x iş için uygun araçtır. 802.1x ile, bağlantı yöntemlerinden biri olabilir (bağlandığınızda (kablosuz veya kablolu)), tarayıcınız aracılığıyla kullanım koşullarını kabul edebileceğiniz bir isteğe bağlı portala (aka açılış sayfası) gönderilirsiniz, isteğe bağlı olarak gerekli şifre vb.


1

Tek gereksiniminiz kullanıcıları (davetsiz misafirleri) engellemektir, birkaç satır EEM betiği yazabilirsiniz.

Arabirimin geçerli durumu açıksa, komut dosyası aşağı indiğinde bu arayüzü kapatır.

Geçerli durum aşağıdaysa, komut dosyası yukarı çıktığında bağlantı noktasını kapatır.

Daha sonra kullanıcı kimliğini doğrulamak için çağrı yapar ve doğrulama ve talep üzerine "kapatma" uygulanır.


1

Bunu önlemenin yolu yok, ama endişelenmen gereken şey bu değil. Endişelenmen gereken şey, ağlarını tarayan, sabırla ağındaki çatlaklar hakkında bilgi sahibi olan çocuklar.

Yapmanız gereken, sömürüyü önlemek, çok katı bir erişim kontrolü kullanmak, kalem test cihazı getirmek, yanlış yapılandırılmış şeyleri bulmak, ağınızı mükemmel bir şekilde anlamak ve insanları eğitmek (iyi hazırlanmış e-postalara tıklamamak, garip davranmamak) web siteleri, çıkarılabilir cihazlar, vb. konusunda dikkatli olun).


0

Bu OP'nin amacına biraz diktir, ancak aynı zamanda bir misafir wifi AP oluştururken ve açarken aynı zamanda tüm kazaları (örneğin, takan bir ziyaretçi) ve aynı anda ortadan kaldırırken kablolu portlarda çok kısıtlayıcı olduğunu buldum. şirket ortamını ziyaretçileri daha sıcak karşılar. Böylece, birinin fiyatı için iki avantaj elde edersiniz, veya başka bir deyişle, bir yan etki olarak güvenlik yardımı alırken yönetiminize bir fayda sağlayabilirsiniz.

Diğer gözlemlerim, saldırganların çok akıllı oldukları ve iş / kazanç ödülü hesaplamasının, ağ üzerinden doğrudan sızmaya karşı ve sadece bir USB çubuğunu bir masaya bırakıp birisinin bulmasını ve fişe takmasını beklemekten yana olduğu yönünde. meşru, yetkili LAN'da) PC. Amanın.


-1

Kullanılmayan bağlantı noktalarını kapatın ve diğerlerinde bağlantı noktası güvenliğini etkinleştirin. Her neyse, birisi mevcut bir MAC adresini kopyalayabiliyorsa, onu durdurmanın bir yolu yoktur.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.