ฉันจะหยุดผู้บุกรุกที่เสียบเข้ากับเต้ารับ Ethernet เพื่อเข้าถึงเครือข่ายได้อย่างไร

32

ที่อยู่ MAC กรองตัวเลือกที่เหมาะสมที่สุดเพื่อป้องกันไม่ให้ใครบางคนกำลังเชื่อมต่ออุปกรณ์ของตัวเองเข้ากับเครือข่ายโดยเสียบเข้ากับเต้ารับอีเธอร์เน็ตหรือไม่ เกิดอะไรขึ้นถ้าพวกเขาถอดปลั๊กอุปกรณ์และโคลน MAC ของมัน

mac-address  security  port-security  ieee-802.1x  rogue 
Qgenerator
แหล่งที่มา
5
การกรอง MAC ไม่เหมาะสมไม่มี ดูที่ 802.1x: en.wikipedia.org/wiki/IEEE_802.1X - "มาตรฐาน IEEE สำหรับการควบคุมการเข้าถึงเครือข่ายที่ใช้พอร์ต"
robut
คุณสามารถเพิ่ม SNMP trap'ing เพื่อรับการแจ้งเตือนเมื่อบางพอร์ตเปลี่ยนสถานะ นี่คือด้านการตรวจจับมากกว่าการป้องกัน
tegbains
คำตอบใดช่วยคุณได้บ้าง ถ้าเป็นเช่นนั้นคุณควรยอมรับคำตอบเพื่อที่คำถามจะไม่โผล่ขึ้นมาเรื่อย ๆ โดยมองหาคำตอบ หรือคุณสามารถให้และยอมรับคำตอบของคุณเอง
Ron Maupin

คำตอบ:

34

การกรองที่อยู่ MAC นั้นไม่ได้ให้การปกป้องมากนัก ในขณะที่คุณชี้ให้เห็นว่าที่อยู่ MAC สามารถโคลนได้ ไม่ได้หมายความว่ามันไม่สามารถเป็นส่วนหนึ่งของกลยุทธ์การป้องกันโดยรวม แต่มันสามารถทำงานได้มากสำหรับการกลับมาเพียงเล็กน้อย

คุณต้องมีนโยบายความปลอดภัยที่ครอบคลุมซึ่งอาจรวมถึงสิ่งต่าง ๆ เช่น:

  • ข้อ จำกัด การเข้าถึงทางกายภาพ
  • 802.1X ตามที่ @ robut ที่กล่าวถึงแม้ว่าจะมีความซับซ้อนและต้องการการสนับสนุนโครงสร้างพื้นฐานด้านฮาร์ดแวร์ / ซอฟต์แวร์
  • ความปลอดภัยของพอร์ตบนสวิตช์สามารถตั้งค่าให้อนุญาตที่อยู่ MAC เดียว (หรือจำนวน จำกัด ) ในเวลาใดก็ตามหรือในช่วงเวลาที่กำหนดเพื่อป้องกันการเชื่อมต่อฮับสวิตช์ AP และอื่น ๆ รวมถึงพอร์ตที่ปิดการใช้งาน สำหรับช่วงเวลาที่กำหนดหากตรวจพบการละเมิด (ต้องดำเนินการอย่างระมัดระวังสำหรับสิ่งต่างๆเช่นโทรศัพท์ VoIP ที่พีซีเชื่อมต่อกับโทรศัพท์เนื่องจากโทรศัพท์จะมีที่อยู่ MAC อย่างน้อยหนึ่งที่อยู่)
  • คุณยังสามารถใช้นโยบายที่ต้องการพอร์ตสวิตช์ที่ไม่ได้ใช้งานในปัจจุบันเพื่อปิดการใช้งาน (รวมถึงบางทีทำให้แน่ใจว่าสายเคเบิลเครือข่ายที่ไม่ได้ใช้งานไม่ได้เชื่อมต่อข้ามกันในตู้ข้อมูล)

ในฐานะที่เป็นเพื่อนของช่างทำกุญแจของฉันเคยบอกฉันว่า คนเลวจะหาทางเสมอ งานของคุณคือทำให้ไม่คุ้มค่ากับความพยายาม หากคุณให้การป้องกันที่เพียงพอเลเยอร์ที่ดีที่สุดเท่านั้นที่จะใช้เวลาและความพยายาม

คุณต้องชั่งน้ำหนักความเสี่ยงกับทรัพยากร (หลักเวลาและเงิน แต่สูญเสียผลผลิตเช่นกัน) ที่คุณยินดีที่จะทำให้เครือข่ายของคุณปลอดภัย อาจไม่สมเหตุสมผลเลยที่จะใช้เงินหลายพันดอลลาร์และเวลาทำงานหลายชั่วโมงเพื่อปกป้องจักรยานขายโรงรถที่คุณซื้อมาราคา $ 10 คุณต้องวางแผนและตัดสินใจว่าคุณสามารถยอมรับความเสี่ยงได้มากน้อยเพียงใด

Ron Maupin
แหล่งที่มา
ตามความคิดเห็นของคุณ "คนซื่อสัตย์ซื่อสัตย์" 802.1x แม้กำหนดค่าอย่างเหมาะสมเป็นเรื่องเล็กน้อยสำหรับผู้โจมตีของแท้ที่จะเลี่ยงผ่าน (ดูการพูดคุยและเอกสารจำนวนมากในเรื่อง) แต่มันจะหยุด bumblers จากการเสียบแล็ปท็อปในบ้านหรือสะพาน wifi เครือข่ายของคุณ "โดยบังเอิญ" และจะขัดขวางการโจมตีในพอร์ตที่ไม่ได้ใช้ แต่เชื่อมต่อกันทำให้ผู้โจมตีต้องกระโดดผ่านห่วงมากขึ้น
Jeff Meden
@ JeffMeden ฉันรู้เกี่ยวกับสิ่งนั้นและฉันครอบคลุมมันในคำตอบนี้
Ron Maupin
6

ใช้ VPN ภายในและปฏิบัติต่อส่วนของเครือข่ายนอกพื้นที่ที่ปลอดภัยเช่นเดียวกับที่คุณใช้กับอินเทอร์เน็ต

โทมัสคอนนาร์ด
แหล่งที่มา
หรือคุณสามารถทำได้ด้วย PPPoE แต่มันคุ้มค่ากับความพยายามหรือไม่?
sdaffa23fdsf
4

ตอบคำถามของคุณ = ไม่

ฉันไม่คิดว่าจะมีคำตอบที่สมบูรณ์ ที่ใกล้เคียงที่สุดจะมีการป้องกันในเชิงลึก

เริ่มต้นตามที่ Ron Maupin แนะนำว่าให้ จำกัด การเข้าถึงทางกายภาพ จากนั้นให้ 802.1x ใช้ EAP-TLS เพื่อตรวจสอบสิทธิ์พอร์ต

หลังจากนั้นคุณยังสามารถมีไฟร์วอลล์ในเลเยอร์การเข้าถึง / การกระจาย หากคุณกำลังพูดถึงเพิ่มเติมเกี่ยวกับระบบเว็บภายในให้แน่ใจว่าทุกคนได้รับการรับรองความถูกต้องผ่านพร็อกซีด้วย

PHoBwz
แหล่งที่มา
3

ไม่ใช่เพราะที่อยู่ MAC นั้นถูกปลอมแปลงได้ง่าย 802.1x เป็นเครื่องมือที่เหมาะสมสำหรับงาน ด้วย 802.1x วิธีการเชื่อมต่ออย่างใดอย่างหนึ่งอาจเป็นได้เมื่อคุณเชื่อมต่อ (ไม่ว่าจะเป็นแบบไร้สายหรือแบบใช้สาย) คุณจะถูกส่งไปยังพอร์ทัล Captive (หน้าสแปลช) ผ่านเบราว์เซอร์ของคุณซึ่งคุณสามารถยอมรับข้อกำหนดการใช้งาน รหัสผ่าน ฯลฯ

รอนรอยสตัน
แหล่งที่มา
1

หากข้อกำหนดเพียงอย่างเดียวของคุณคือเพียงบล็อกผู้ใช้ (ผู้บุกรุก) คุณสามารถเขียนสคริปต์ EEM สองบรรทัด

หากสถานะปัจจุบันของอินเทอร์เฟซหมดสคริปต์จะปิดอินเทอร์เฟซนี้เมื่อมันลง

หากสถานะปัจจุบันไม่ทำงานสคริปต์จะปิดพอร์ตเมื่อมันขึ้นไป

จากนั้นผู้ใช้โทรเพื่อยืนยันตัวตนของเขาและใช้ "ไม่ปิด" ในการตรวจสอบและความต้องการ

Devandroid
แหล่งที่มา
1

ไม่มีวิธีที่จะป้องกันสิ่งนี้ได้ แต่นี่ไม่ใช่สิ่งที่คุณควรกังวล สิ่งที่คุณต้องกังวลคือคนที่สแกนเครือข่ายของคุณสร้างความรู้อย่างอดทนเกี่ยวกับรอยแตกในเครือข่ายของคุณ

สิ่งที่คุณต้องทำคือป้องกันการเอารัดเอาเปรียบใช้การควบคุมการเข้าถึงที่เข้มงวดมากนำเครื่องทดสอบปากกาค้นหาสิ่งที่กำหนดค่าผิดเข้าใจเครือข่ายของคุณอย่างสมบูรณ์และฝึกอบรมผู้คน (อย่าคลิกอีเมลที่ออกแบบมาอย่างดี เว็บไซต์ระมัดระวังเกี่ยวกับอุปกรณ์พกพา ฯลฯ )

narb
แหล่งที่มา
0

นี่เป็นมุมมองที่ค่อนข้างสอดคล้องกับความตั้งใจของ OP แต่ฉันพบว่าการ จำกัด บนพอร์ตแบบมีสายในขณะเดียวกันในขณะเดียวกันก็สร้างและเปิด wifi แขก AP ช่วยลดอุบัติเหตุที่เกิดขึ้นชั่วคราวทั้งหมด (เช่นผู้เข้าชมเสียบปลั๊ก) และในเวลาเดียวกัน ทำให้สภาพแวดล้อมของ บริษัท ต้อนรับผู้มาเยือนมากขึ้น ดังนั้นคุณจะได้รับประโยชน์สองประการสำหรับราคาหนึ่งหรืออีกวิธีหนึ่งคุณสามารถมอบผลประโยชน์ให้กับการจัดการของคุณในขณะที่รับผลประโยชน์ด้านความปลอดภัยเป็นผลข้างเคียง

ข้อสังเกตอื่น ๆ ของฉันคือผู้โจมตีฉลาดมากและการคำนวณรางวัลการทำงาน / ผลตอบแทนเอียงจากการบุกรุกโดยตรงผ่านเครือข่ายและเพียงแค่ทิ้งแท่ง USB ไว้บนโต๊ะและรอให้ใครสักคนค้นหาและเสียบเข้ากับพวกเขา ( ถูกต้องบนพีซีที่ได้รับอนุญาต) Yikes

AlwaysLearning
แหล่งที่มา
-1

ปิดพอร์ตที่ไม่ได้ใช้และเปิดใช้งานความปลอดภัยของพอร์ตบนพอร์ตอื่น อย่างไรก็ตามถ้ามีใครสามารถโคลนที่อยู่ MAC ที่มีอยู่แล้วก็ไม่มีทางหยุดเขาได้

Lormayna
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.