Como posso impedir que um invasor se conecte a uma tomada Ethernet e obtenha acesso à rede?

32

A filtragem de endereço MAC é a opção mais adequada para impedir que alguém conecte seu próprio dispositivo à rede conectando-os às tomadas de parede Ethernet? E se eles desconectarem um dispositivo e clonarem seu MAC?

Qgenerator
fonte
5
A filtragem MAC não é adequada, não. Veja 802.1x: en.wikipedia.org/wiki/IEEE_802.1X - "um padrão IEEE para controle de acesso à rede baseado em porta".
robut 6/09/2015
Você também pode adicionar interceptação SNMP para ser notificado quando determinadas portas mudarem de status. Isso é mais do lado da detecção do que da prevenção.
Tegbains # 8/15
Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.
Ron Maupin

Respostas:

34

A própria filtragem de endereço MAC não fornece muita proteção. Como você apontou, um endereço MAC pode ser clonado. Isso não significa que não possa fazer parte da estratégia geral de defesa, mas pode dar muito trabalho com muito pouco retorno.

Você precisa de uma política de segurança abrangente que inclua itens como:

  • Limitações de acesso físico
  • 802.1X como o @robut mencionou, embora isso possa ser complexo e exija suporte à infraestrutura de hardware / software, enquanto frustra usuários legítimos
  • A segurança da porta nos comutadores pode ser configurada para permitir apenas um único (ou número limitado de) endereços MAC a qualquer momento ou em um determinado período de tempo, para impedir a conexão de hubs, comutadores, APs, etc., incluindo uma desativação de porta por um determinado período de tempo, se forem detectadas violações (é necessário tomar cuidado com coisas como telefones VoIP em que os PCs estão conectados ao telefone, pois o telefone em si terá um ou mais endereços MAC)
  • Você também pode implementar uma política que exija que todas as portas do switch que não estão sendo usadas no momento sejam desabilitadas (incluindo, talvez, garantir que os cabos de rede não utilizados não estejam interconectados no armário de dados)

Como um amigo meu serralheiro me disse uma vez: "Fechaduras apenas mantêm pessoas honestas honestas". Os bandidos sempre encontrarão um caminho; seu trabalho é fazer com que não valha o esforço. Se você fornecer camadas de proteção suficientes, apenas os bandidos mais determinados gastarão tempo e esforço.

Você precisa avaliar os riscos com os recursos (principalmente tempo e dinheiro, mas também perda de produtividade) que está disposto a colocar na proteção de sua rede. Pode não fazer muito sentido gastar milhares de dólares e muitas horas de trabalho para proteger a bicicleta de venda de garagem que você comprou por US $ 10. Você precisa elaborar um plano e decidir quanto risco pode tolerar.

Ron Maupin
fonte
De acordo com o seu comentário "pessoas honestas e honestas", o 802.1x, mesmo configurado corretamente, é trivial para um invasor genuíno ignorar (veja muitas palestras e documentos sobre o assunto), mas impede que os trapaceiros conectem seu laptop doméstico ou ponte wifi para sua rede "por acidente" e impede ataques a portas não utilizadas, mas conectadas, forçando um invasor a saltar por mais obstáculos.
101316 Jeff Meden
@JeffMeden, eu sei sobre isso, e eu o cubro nesta resposta .
Ron Maupin
6

Use uma VPN internamente e trate a seção da rede fora das áreas seguras da mesma maneira que trataria a Internet.

Thomas Connard
fonte
Ou você pode fazê-lo com PPPoE, mas vale a pena o esforço?
sdaffa23fdsf
4

Resposta à sua pergunta = Não.

Eu não acho que haja uma resposta completa. O mais próximo seria ter uma defesa em profundidade.

Comece como Ron Maupin sugeriu como tendo acesso físico restrito. Em seguida, tenha o 802.1x usando o EAP-TLS para ter autenticação na porta.

Depois disso, você ainda pode ter um firewall na camada de acesso / distribuição. Se você está falando mais sobre sistemas internos da Web, verifique se todos estão autenticados também por meio de um proxy.

PHoBwz
fonte
3

Não, porque os endereços MAC são facilmente falsificados. 802.1x é a ferramenta adequada para o trabalho. Com o 802.1x, um dos métodos de conexão poderia ser, quando você se conecta (sem fio ou com fio), é enviado para um portal cativo (também conhecido como página inicial) por meio do navegador, onde aceita os termos de uso, opcionalmente, insira um senha etc.

Ron Royston
fonte
1

Se seu único requisito é apenas bloquear usuários (invasores), você pode simplesmente escrever algumas linhas de script EEM.

Se o estado atual da interface estiver ativo, o script encerrará essa interface quando for desativado.

Se o estado atual estiver inativo, o script encerrará a porta quando for ativada.

Em seguida, o usuário chama para verificar sua identidade e o "no shut" é aplicado na verificação e na demanda.

Devandroid
fonte
1

Não há como evitar isso, mas não é com isso que você deve se preocupar. Você precisa se preocupar com os caras que estão escaneando suas redes, construindo pacientemente o conhecimento de rachaduras na sua rede.

O que você precisa fazer é impedir a exploração, usar um controle de acesso muito rigoroso, trazer o testador de caneta, encontrar coisas mal configuradas, entender perfeitamente sua rede e treinar pessoas (para não clicar em e-mails bem elaborados, para não ficar estranho) sites, tenha cuidado com dispositivos removíveis etc.).

narb
fonte
0

Isso é um tanto ortogonal à intenção do OP, mas eu descobri que ser muito restritivo nas portas com fio, ao mesmo tempo em que cria e abre um AP wifi de convidado elimina todos os acidentes casuais (por exemplo, um visitante conectado) e ao mesmo tempo torna o ambiente da empresa mais acolhedor para os visitantes. Portanto, você obtém dois benefícios pelo preço de um ou, em outras palavras, pode oferecer um benefício ao seu gerenciamento e, ao mesmo tempo, obter um benefício de segurança.

Minha outra observação é que os invasores são muito inteligentes, e o cálculo da recompensa de trabalho / recompensa se inclina contra a intrusão direta na rede e favorece apenas deixar um pendrive em uma mesa e esperar que alguém o encontre e conecte-o ao ( legítimo, no LAN autorizado). Caramba.

Sempre aprendendo
fonte
-1

Desligue as portas não utilizadas e ative a segurança da porta nas outras. De qualquer forma, se alguém é capaz de clonar um endereço MAC existente, não há como pará-lo.

Lormayna
fonte