Как я могу остановить подключение злоумышленника к сетевой розетке Ethernet и получить доступ к сети?

32

Является ли фильтрация MAC-адресов наиболее подходящим вариантом для предотвращения подключения кем-либо своего устройства к сети путем подключения к розеткам Ethernet? Что если они отключат устройство и клонируют его MAC?

Qgenerator
источник
5
Фильтрация MAC не подходит, нет. Посмотрите 802.1x: en.wikipedia.org/wiki/IEEE_802.1X - «Стандарт IEEE для управления доступом к сети на основе портов».
Робут
Вы также можете добавить SNMP-ловушку, чтобы получать уведомления при изменении состояния определенных портов. Это больше на стороне обнаружения, чем на профилактику.
Тегбейнс
Вам помог какой-нибудь ответ? Если это так, вы должны принять ответ, чтобы вопрос не появлялся вечно, ища ответ. Кроме того, вы можете предоставить и принять свой собственный ответ.
Рон Мопин

Ответы:

34

Сама фильтрация MAC-адресов не обеспечивает особой защиты. Как вы указали, MAC-адрес может быть клонирован. Это не означает, что это не может быть частью общей стратегии защиты, но это может быть много работы для очень небольшого возвращения.

Вам нужна всеобъемлющая политика безопасности, которая может включать в себя такие вещи, как:

  • Ограничения физического доступа
  • 802.1X, как упомянул @robut, хотя это может быть сложным и требовать поддержки аппаратной / программной инфраструктуры, в то же время расстраивая законных пользователей
  • Защита порта на коммутаторах может быть настроена так, чтобы разрешать только один (или ограниченное количество) MAC-адрес в любой момент времени или в любой заданный период времени, чтобы предотвратить подключение концентраторов, коммутаторов, точек доступа и т. Д., Включая отключение порта в течение определенного периода времени, если обнаружены нарушения (необходимо соблюдать осторожность в отношении таких вещей, как VoIP-телефоны, к которым ПК подключены к телефону, поскольку сам телефон будет иметь один или несколько MAC-адресов)
  • Вы также можете реализовать политику, которая требует, чтобы все порты коммутатора, которые в настоящее время не используются, были отключены (в том числе, возможно, следя за тем, чтобы неиспользуемые сетевые кабели не пересекались в шкафу данных)

Как однажды сказал мне мой друг-слесарь: «Замки только делают честных людей честными». Плохие парни всегда найдут способ; ваша задача сделать так, чтобы это не стоило их усилий. Если вы обеспечите достаточное количество уровней защиты, только самые решительные плохие парни будут тратить время и силы.

Вы должны взвесить риски с помощью ресурсов (в первую очередь времени и денег, но также и потерянной производительности), которые вы готовы использовать для защиты своей сети. Возможно, не имеет смысла тратить тысячи долларов и много человеко-часов на защиту велосипеда, который вы купили за 10 долларов. Вам нужно придумать план и решить, какой риск вы можете терпеть.

Рон Маупин
источник
В соответствии с вашими «честными людьми честными» комментариями, 802.1x, даже должным образом настроенный, является тривиальным для обхода подлинного злоумышленника (см. Множество выступлений и статей по этому вопросу), но он не дает путникам подключить свой домашний ноутбук или мост Wi-Fi к Ваша сеть «случайно», и она предотвращает атаки на неиспользуемые, но подключенные порты, заставляя злоумышленника перепрыгивать через другие обручи.
Джефф Меден
@JeffMeden, я знаю об этом, и я освещаю это в этом ответе .
Рон Мопин
6

Используйте VPN для внутреннего пользования и относитесь к разделу сети вне защищенных областей так же, как к Интернету.

Томас Коннард
источник
Или вы можете сделать это с PPPoE, но стоит ли это усилий?
sdaffa23fdsf
4

Ответ на ваш вопрос = Нет.

Я не думаю, что есть один полный ответ. Ближайшим будет иметь глубокую оборону.

Начните, как предположил Рон Мопин, с ограниченным физическим доступом. Затем используйте 802.1x, используя EAP-TLS для аутентификации в порту.

После этого у вас все еще может быть брандмауэр на уровне доступа / распространения. Если вы говорите больше о внутренних веб-системах, убедитесь, что все аутентифицированы через прокси-сервер.

PHoBwz
источник
3

Нет, потому что MAC-адреса легко подделаны. 802.1x является подходящим инструментом для работы. В 802.1x одним из способов подключения может быть то, что при подключении (будь то беспроводное или проводное) вы отправляетесь на независимый портал (также называемый заставкой) через браузер, где вы можете принять условия использования, при желании ввести требуемое пароль и т. д.

Рон Ройстон
источник
1

Если ваше единственное требование - просто блокировать пользователей (злоумышленников), вы можете просто написать пару строк сценария EEM.

Если текущее состояние интерфейса работает, скрипт отключит этот интерфейс, когда он выйдет из строя.

Если текущее состояние не работает, сценарий отключит порт, когда он поднимется.

Затем пользователь звонит, чтобы подтвердить свою личность, и «нет закрытия» применяется при проверке и запросе.

Devandroid
источник
1

Нет способа предотвратить это, но это не то, о чем вам следует беспокоиться. Вам нужно беспокоиться о том, чтобы ребята сканировали ваши сети, терпеливо наращивая знания о взломах в вашей сети.

Что вам нужно сделать, это предотвратить эксплуатацию, использовать очень строгий контроль доступа, ввести тестер пера, найти вещи, которые неправильно настроены, понять вашу сеть и обучить людей (не нажимать на хорошо продуманные электронные письма, не впадать в странности веб-сайты, будьте осторожны со съемными устройствами и т. д.).

НАРБ
источник
0

Это несколько ортогонально намерению ОП, но я обнаружил, что ограничение проводных портов при одновременном создании и открытии гостевой точки доступа Wi-Fi исключает все случайные аварии (например, подключение посетителя) и в то же время делает окружающую среду компании более гостеприимной для посетителей. Таким образом, вы получаете два преимущества по цене одного, или, другими словами, вы можете предоставить выгоду своему руководству, одновременно получая выгоду для обеспечения безопасности в качестве побочного эффекта.

Мое другое наблюдение заключается в том, что злоумышленники очень умны, и расчет вознаграждения за работу / вознаграждение сводится к прямому вторжению в сеть и в пользу того, чтобы просто оставить USB-флешку на столе и ждать, пока кто-нибудь найдет ее и подключит к своим ( законный, в авторизованной локальной сети) ПК. Хлоп.

AlwaysLearning
источник
-1

Выключите неиспользуемые порты и включите защиту портов на других. В любом случае, если кто-то может клонировать существующий MAC-адрес, его невозможно остановить.

Lormayna
источник