Milderung des 802.1x-Bypasses durch transparente Überbrückung

7

Der DEFCON-Vortrag " A Bridge Too Far " beschreibt eine Möglichkeit, die kabelgebundenen 802.1x-Netzwerkzugriffskontrollen zu umgehen, indem eine transparente Brücke zwischen einem Originalcomputer und dem Netzwerk eingerichtet wird. Sobald die Authentifizierung durchgeführt wurde, kann die transparente Bridge den Datenverkehr manipulieren und einspeisen.

Gibt es Kontrollen, mit denen dieses Risiko gemindert werden kann?

Cybergibbons
quelle
1
Neben den folgenden Antworten finden Sie diese Frage und Antworten.
Ron Maupin
Beachten Sie, dass dies genau das ist, was Uverse-Benutzer (Glasfaser) tun, um den von AT & T erforderlichen Router zu umgehen: Klonen Sie den MAC und stellen Sie alle eap-Inhalte als Proxy bereit.
Ricky Beam
Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:

9

Ehrlich gesagt, nein.

802.1X authentifiziert den Port und nimmt, solange er authentifiziert ist, am Netzwerk teil. Eingefügte oder sogar geänderte Frames von einem ansonsten transparenten Netzwerkgerät können nicht erkannt werden.

802.1X hatte von Anfang an einige schwerwiegende Angriffsmethoden und kann nur als "besser als nichts" -Ansatz angesehen werden. Wenn Sie ernsthafte Port-Sicherheit wünschen, benötigen Sie 802.1AE, auch bekannt als MACsec.

Ein anderer Ansatz (danke Ricky) besteht darin, vollständig auf die Sicherheit auf Portebene zu verzichten und sich stattdessen auf VPN-Verbindungen zu verlassen, die Sie über Ihrem physischen Netzwerk aufbauen, um die Sicherheit im Grunde genommen zu erhöhen. Dies kann zwar sehr sicher und abwärtskompatibel mit nahezu jeder Infrastruktur gemacht werden, kann jedoch zu Engpässen bei den VPN-Routern und ihren Verbindungen führen.

Zac67
quelle
3
Genau deshalb wurde MACSec erstellt. Wenn Sie Macsec nicht ausführen können, rollen Sie Ihre eigenen mit VPN pro Host und ACLs, um die Kommunikation mit anderen Elementen zu verhindern.
Ricky Beam
5

Willkommen bei Network Engineering! Vielleicht möchten Sie dies bei Information Security SE fragen, aber hier sind einige Gedanken:

  1. Wenn man physischen Zugriff auf das Netzwerk hat, kann ein Angreifer viele Dinge tun. 802.1x anzugreifen ist nur eine davon.
  2. In der Präsentation werden einige Abhilfemaßnahmen aufgeführt, die jedoch alle auf einer sorgfältigen Überwachung des Netzwerkverkehrs beruhen - etwas, das nur in den sichersten Netzwerken durchgeführt wird.
  3. Da es sich wirklich um einen physischen Angriff handelt, ist die physische Sicherheit die beste Verteidigung.
  4. Wenn 802.1x korrekt verwendet wird, hat dieser Angriff nur minimale Auswirkungen. Ja, Sie können Ihre Angriffsbox hinter dem Drucker verstecken und Zugriff erhalten, aber das Drucker-VLAN sollte ohnehin nur eingeschränkten Zugriff haben (keine initiierenden Verbindungen). Alle Versuche, mit dem Prüfen zu beginnen, sollten Warnungen generieren.
  5. 802.1ae ist möglicherweise eine andere Möglichkeit, dies zu stoppen, aber es ist nicht üblich.
  6. Schließlich denke ich, dass das Risiko überbewertet ist. Physische Angriffe sind hart, teuer und sehr riskant. Deshalb sind sie sehr selten.
Ron Trunk
quelle
3
Für Nummer 6 habe ich vor ein paar Jahren tatsächlich ein Kit mit einem Raspberry PI oder einem ähnlichen Look gesehen, bei dem der Code bereits geladen war, um den im Artikel beschriebenen genauen Angriff auszuführen, sodass jemand ihn inline hinter einem Host installieren konnte. und es würde jemandem erlauben, Wi-Fi zu benutzen, um in das Netzwerk zu gelangen. Ich habe unsere Sicherheitsleute darauf hingewiesen, und sie sind irgendwie ausgeflippt, aber ich habe festgestellt, dass es für einen gelegentlichen Hacker zu schwierig ist, obwohl es lediglich ein Gerät inline steckt.
Ron Maupin
Wir sehen physische Angriffe gegen Netzwerke, die oft genug ausgeführt werden, um sich über sie Sorgen zu machen (unter bestimmten Bedingungen). Arstechnica.com/tech-policy/2014/04/…
Cybergibbons
2
Ja, ich habe auch Geräte wie rPIs oder andere gesehen. Angriffe passieren zwar, aber ich bin der Meinung, dass sie im Vergleich zu Fernangriffen selten sind. Und wie der von @Cybergibbons verlinkte Artikel zeigt, werden Angreifer eher erwischt.
Ron Trunk
1
802.1X sollte gegen physische Angriffe angreifen - dies ist auf einem relativ niedrigen Niveau nicht möglich.
Zac67
Auf einer Konferenz habe ich einen Vortrag über ein Gerät gesehen, das noch einen Schritt weiter geht: Sie schneiden nahtlos in ein vorhandenes Ethernet-Kabel. Hinzu kommt die Unachtsamkeit, Klumpen von Ethernet-Kabeln in einigen Regierungsbehörden durch öffentliche Toiletten zu verlegen, und Sie haben ein echtes Sicherheitsproblem für diejenigen, die entschlossen sind, Sie zu erreichen.
PlasmaHH