Как я могу остановить вторжение злоумышленника в розетку Ethernet, получая доступ к сети?

Является ли MAC-адрес фильтром наиболее подходящей опции, чтобы кто-то не подключил свое устройство к сети, подключив к розеткам Ethernet? Что делать, если они отключили устройство и клонировали его MAC?

30 голосов | спросил Qgenerator 6 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowSun, 06 Sep 2015 17:36:26 +0300 2015, 17:36:26

7 ответов


32

Сама фильтрация MAC-адресов не обеспечивает значительной защиты. Как вы указали, MAC-адрес может быть клонирован. Это не означает, что он не может быть частью общей стратегии обороны, но это может быть очень много работы для очень небольшого возвращения.

Вам нужна всеобъемлющая политика безопасности, которая может включать в себя такие вещи, как:

  • Ограничения на физический доступ
  • 802.1X как упоминалось в @robut, хотя это может быть сложным и требует поддержки аппаратной /программной инфраструктуры, а разочарование законных пользователей
  • Защита портов на коммутаторах может быть настроена только для того, чтобы разрешить только одно (или ограниченное число) MAC-адрес в любой момент времени или в любой заданный период времени, чтобы предотвратить подключение концентраторов, коммутаторов, точек доступа и т. д., включая порт отключается в течение определенного периода времени, если обнаружены нарушения (необходимо соблюдать осторожность для таких вещей, как телефоны VoIP, на которых ПК подключены к телефону, поскольку сам телефон будет иметь один или несколько MAC-адресов).
  • Вы также можете реализовать политику, которая требует любых портов коммутатора, которые в настоящее время не используются для отключения (в том числе, возможно, убедитесь, что неиспользуемые сетевые кабели не связаны друг с другом в данных шкаф)

Как один из моих знакомых-слесарей однажды сказал мне: «Запирает только честных честных людей». Плохие парни всегда найдут способ; ваша работа заключается в том, чтобы сделать это не стоит их усилий. Если вы обеспечите достаточные уровни защиты, только самые решительные плохие парни будут тратить время и силы.

Вы должны взвесить риски с помощью ресурсов (в первую очередь, времени и денег, но также и потери производительности), которые вы готовы обеспечить в своей сети. Возможно, нет смысла тратить тысячи долларов и много человеко-часов на то, чтобы защитить этот купленный вами гараж на продажу за 10 долларов. Вам нужно придумать план и решить, сколько риска вы можете терпеть.

ответил Ron Maupin 6 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowSun, 06 Sep 2015 20:29:33 +0300 2015, 20:29:33
5

Использовать VPN внутренне и обрабатывать раздел сети за пределами безопасных областей так же, как и для интернета.

ответил Thomas Connard 7 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowMon, 07 Sep 2015 03:17:24 +0300 2015, 03:17:24
3

Отвечайте на свой вопрос = Нет.

Я не думаю, что есть один полный ответ. Ближайшим было бы углубление защиты.

Начните с того, что Рон Мопин предложил ограничить доступ к физическому доступу. Затем используйте 802.1x с использованием EAP-TLS для аутентификации на порт.

После этого у вас все еще может быть межсетевой экран на уровне доступа /ditribution. Если вы больше говорите о внутренних веб-системах, убедитесь, что все также прошли аутентификацию через прокси.

ответил PHoSawyer 7 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowMon, 07 Sep 2015 23:52:13 +0300 2015, 23:52:13
2

Нет, поскольку MAC-адреса легко подделываются. 802.1x является подходящим инструментом для работы. При использовании 802.1x одним из методов соединений может быть, когда вы подключаетесь (будь то беспроводные или проводные), вы отправляетесь на плененный портал (aka splash page) через ваш браузер, где вы можете принять условия использования, необязательно ввести требуемый пароль и т. д.

ответил Ron Royston 18 52016vEurope/Moscow11bEurope/MoscowFri, 18 Nov 2016 08:26:34 +0300 2016, 08:26:34
1

Если ваше единственное требование - просто заблокировать пользователей (злоумышленников), вы можете просто написать пару строк сценария EEM.

Если текущее состояние интерфейса завершено, скрипт отключит этот интерфейс, когда он опустится.

Если текущее состояние не работает, скрипт отключит порт, когда он поднимется.

Затем пользователь вызывает подтверждение своей личности, а при проверке и требовании применяется «no shut».

ответил Devandroid 12 MaramSat, 12 Mar 2016 00:22:31 +03002016-03-12T00:22:31+03:0012 2016, 00:22:31
1

Нет способа предотвратить это, но это не то, о чем вам следует беспокоиться. Что вам нужно беспокоиться, так это ребята, просматривающие ваши сети, терпеливо создавая знания о трещинах в вашей сети.

Что вам нужно сделать, так это предотвращать эксплуатацию, использовать очень строгий контроль доступа, вводить тестер пера, находить вещи, которые неправильно настроены, прекрасно понимать вашу сеть и обучать людей (не нажимать на хорошо обработанные электронные письма, а не на пойдите на странные веб-сайты, будьте осторожны относительно съемных устройств и т. д.).

ответил narb 22 MaramTue, 22 Mar 2016 01:00:53 +03002016-03-22T01:00:53+03:0001 2016, 01:00:53
0

Это несколько ортогонально намерению OP, но я обнаружил, что он очень ограничивает проводные порты, в то же время создавая и открывая гостевой Wi-Fi AP, устраняет все случайные аварии (например, подключение посетителя) и то же время делает среду компании более гостеприимной для посетителей. Таким образом, вы получаете два преимущества по цене одного, или, говоря другим способом, вы можете принести пользу своему руководству, получая преимущество безопасности в качестве побочного эффекта.

Мое другое наблюдение заключается в том, что злоумышленники очень умны, а вознаграждение за вознаграждение за работу /выплату отклоняется от прямого вторжения по сети и в пользу того, чтобы просто оставить USB-накопитель на столе и ждать, пока кто-нибудь его найдет и подключит в их (законный, на авторизованной локальной сети) ПК. Хлоп.

ответил AlwaysLearning 18 52016vEurope/Moscow11bEurope/MoscowFri, 18 Nov 2016 00:23:49 +0300 2016, 00:23:49

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132