Wie kann ich verhindern, dass ein Eindringling, der sich an eine Ethernet-Wandsteckdose anschließt, Zugang zum Netzwerk erhält?

32

Ist die MAC-Adressfilterung die am besten geeignete Option, um zu verhindern, dass jemand sein eigenes Gerät an das Netzwerk anschließt, indem er es in Ethernet-Steckdosen einsteckt? Was ist, wenn sie ein Gerät vom Computer trennen und dessen MAC klonen?

Qgenerator
quelle
5
MAC-Filterung ist nicht geeignet, nein. Schauen Sie sich 802.1x an: en.wikipedia.org/wiki/IEEE_802.1X - "ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle".
Robut
Sie können auch SNMP-Traping hinzufügen, um benachrichtigt zu werden, wenn sich der Status bestimmter Ports ändert. Dies ist eher auf der Detektionsseite als auf der Präventionsseite.
Tegbains
Hat Ihnen eine Antwort geholfen? In diesem Fall sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie auch Ihre eigene Antwort eingeben und annehmen.
Ron Maupin

Antworten:

34

Die MAC-Adressfilterung selbst bietet keinen ausreichenden Schutz. Wie Sie bereits betont haben, kann eine MAC-Adresse geklont werden. Das bedeutet nicht, dass es nicht Teil der gesamten Verteidigungsstrategie sein kann, aber es kann eine Menge Arbeit für sehr wenig Rendite sein.

Sie benötigen eine umfassende Sicherheitsrichtlinie, die Folgendes umfassen kann:

  • Physische Zugangsbeschränkungen
  • 802.1X wie @robut erwähnt, obwohl dies komplex sein kann und die Unterstützung der Hardware- / Software-Infrastruktur erfordert, während legitime Benutzer frustriert werden
  • Die Port-Sicherheit für Switches kann so eingerichtet werden, dass nur eine einzige (oder eine begrenzte Anzahl von) MAC-Adressen zu einem bestimmten Zeitpunkt oder in einem bestimmten Zeitraum zugelassen werden, um die Verbindung von Hubs, Switches, APs usw., einschließlich einer Port-Deaktivierung, zu verhindern für einen bestimmten Zeitraum, wenn Verstöße festgestellt werden (z. B. bei VoIP-Telefonen, bei denen PCs mit dem Telefon verbunden sind, da das Telefon selbst eine oder mehrere MAC-Adressen hat)
  • Sie können auch eine Richtlinie implementieren, die erfordert, dass alle derzeit nicht verwendeten Switch-Ports deaktiviert werden (einschließlich möglicherweise der Sicherstellung, dass nicht verwendete Netzwerkkabel im Datenschrank nicht querverbunden sind).

Ein Schlosserfreund sagte mir einmal: "Schlösser halten nur ehrliche Leute ehrlich." Die Bösen werden immer einen Weg finden; Ihre Aufgabe ist es, dafür zu sorgen, dass es sich nicht lohnt. Wenn Sie genügend Schutz bieten, werden nur die entschlossensten Bösewichte Zeit und Mühe aufwenden.

Sie müssen die Risiken mit den Ressourcen abwägen (in erster Linie Zeit und Geld, aber auch Produktivitätsverluste), die Sie bereit sind, in die Sicherung Ihres Netzwerks zu investieren. Es ist möglicherweise nicht sinnvoll, Tausende von Dollar und viele Mannstunden für den Schutz des Fahrrads zu verwenden, das Sie für 10 US-Dollar gekauft haben. Sie müssen einen Plan ausarbeiten und entscheiden, wie viel Risiko Sie tolerieren können.

Ron Maupin
quelle
Gemäß Ihrer Bemerkung "Ehrliche Leute, ehrlich" ist 802.1x, selbst richtig konfiguriert, für einen echten Angreifer trivial, um es zu umgehen (siehe viele Vorträge und Dokumente zu diesem Thema), aber es hindert die Hummel daran, ihren Laptop oder die WLAN-Brücke zu Hause anzuschließen Ihr Netzwerk ist "zufällig" und es verhindert Angriffe auf nicht verwendete, aber verbundene Ports, wodurch ein Angreifer gezwungen wird, durch weitere Rahmen zu springen.
Jeff Meden
@ JeffMeden, ich weiß darüber Bescheid und ich beschreibe es in dieser Antwort .
Ron Maupin
6

Verwenden Sie intern ein VPN und behandeln Sie den Abschnitt des Netzwerks außerhalb sicherer Bereiche genauso wie das Internet.

Thomas Connard
quelle
Oder Sie können es mit PPPoE tun, aber ist es die Mühe wert?
sdaffa23fdsf
4

Antwort auf Ihre Frage = Nein.

Ich glaube nicht, dass es eine vollständige Antwort gibt. Am nächsten wäre eine gründliche Verteidigung.

Beginnen Sie, wie Ron Maupin vorschlug, den physischen Zugang einzuschränken. Dann muss 802.1x EAP-TLS verwenden, um eine Authentifizierung am Port zu erhalten.

Danach können Sie immer noch eine Firewall auf der Zugriffs- / Verteilungsebene haben. Wenn Sie mehr über interne Web-Systeme sprechen, stellen Sie sicher, dass alle Benutzer auch über einen Proxy authentifiziert werden.

PHoBwz
quelle
3

Nein, da MAC-Adressen leicht gefälscht werden können. 802.1x ist das richtige Werkzeug für diesen Job. Bei 802.1x kann eine der Verbindungsmethoden sein, dass Sie beim Herstellen einer Verbindung (drahtlos oder kabelgebunden) über Ihren Browser an ein Captive-Portal (auch als Begrüßungsseite bezeichnet) weitergeleitet werden, in dem Sie die Nutzungsbedingungen akzeptieren können. Geben Sie optional eine erforderliche Adresse ein Passwort usw.

Ron Royston
quelle
1

Wenn Sie nur Benutzer (Eindringlinge) blockieren möchten, können Sie einfach ein paar Zeilen EEM-Skript schreiben.

Wenn der aktuelle Status der Schnittstelle aktiv ist, würde das Skript diese Schnittstelle beim Herunterfahren herunterfahren.

Wenn der aktuelle Status inaktiv ist, fährt das Skript den Port herunter, wenn er inaktiv ist.

Dann ruft der Benutzer an, um seine Identität zu verifizieren, und das "no shut" wird bei Verifikation und Anforderung angewendet.

Devandroid
quelle
1

Es gibt keine Möglichkeit, dies zu verhindern, aber dies ist nicht das, worüber Sie sich Sorgen machen sollten. Worüber Sie sich Sorgen machen müssen, sind die Jungs, die Ihre Netzwerke durchsuchen und geduldig Wissen über Risse in Ihrem Netzwerk aufbauen.

Was Sie tun müssen, ist, um Ausbeutung zu verhindern, eine sehr strenge Zugriffskontrolle zu verwenden, Stifttester einzuschalten, falsch konfigurierte Dinge zu finden, Ihr Netzwerk perfekt zu verstehen und Leute zu schulen (nicht auf gut gestaltete E-Mails zu klicken, nicht seltsam zu werden) Websites, seien Sie vorsichtig mit Wechseldatenträgern usw.).

narb
quelle
0

Dies ist etwas orthogonal zu der Absicht des OP, aber ich habe festgestellt, dass es sehr restriktiv für kabelgebundene Ports ist, während gleichzeitig ein WLAN-AP für Gäste erstellt und geöffnet wird, um alle zufälligen Unfälle (z. B. Einstecken eines Besuchers) und zur gleichen Zeit zu vermeiden macht das Unternehmensumfeld für Besucher einladender. Sie erhalten also zwei Vorteile zum Preis von einem oder, anders ausgedrückt, Sie können Ihrem Management einen Vorteil bieten und gleichzeitig einen Sicherheitsvorteil als Nebeneffekt erhalten.

Meine andere Beobachtung ist, dass Angreifer sehr klug sind und die Berechnung der Work / Payoff-Belohnung gegen direkten Zugriff auf das Netzwerk und zugunsten der Tatsache, dass nur ein USB-Stick auf dem Schreibtisch liegt und darauf gewartet wird, dass jemand ihn findet und an den Computer anschließt. legitim, auf dem autorisierten LAN) PC. Huch.

Immer lernen
quelle
-1

Fahren Sie nicht verwendete Ports herunter und aktivieren Sie die Port-Sicherheit für die anderen. Wenn jemand in der Lage ist, eine vorhandene MAC-Adresse zu klonen, gibt es keine Möglichkeit, ihn daran zu hindern.

Lormayna
quelle