Atenuação do desvio 802.1x por ponte transparente

7

A palestra DEFCON talk " A Bridge Too Far " detalha um meio de ignorar os controles de acesso à rede 802.1x com fio, configurando uma ponte transparente entre uma máquina genuína e a rede. Depois que a autenticação é realizada, a ponte transparente fica livre para adulterar e injetar tráfego.

Existem controles que podem ser implementados para mitigar esse risco?

Cybergibbons
fonte
11
Além das respostas abaixo, consulte esta pergunta e respostas.
Ron Maupin
Observe que é exatamente isso que os usuários Uverse (fibra) fazem para contornar o roteador necessário da AT&T: clonar o MAC e fazer proxy de todos os itens eap.
Ricky feixe
Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.
Ron Maupin

Respostas:

9

Francamente, não.

O 802.1X autentica a porta e, desde que seja autenticada, participa da rede. Os quadros inseridos ou mesmo modificados por um dispositivo de rede transparente não podem ser detectados.

O 802.1X teve alguns vetores de ataque sérios desde o início e só pode ser considerado como uma abordagem "melhor que nada". Se você deseja segurança de porta séria, precisará do 802.1AE, também conhecido como MACsec.

Outra abordagem (thx Ricky) é renunciar completamente à segurança no nível da porta e confiar nas conexões VPN que você constrói na sua rede física, basicamente movendo a segurança para a pilha. Embora isso possa ser muito seguro e compatível com versões anteriores de praticamente qualquer infraestrutura, pode apresentar gargalos no (s) roteador (s) VPN e seus links.

Zac67
fonte
3
Exatamente por que o MACSec foi criado. Se você não pode executar o macsec, faça o seu próprio com VPN por host e ACLs para impedir a comunicação com qualquer outra coisa.
Ricky feixe
5

Bem-vindo à engenharia de rede! Você pode perguntar isso no Information Security SE, mas aqui estão alguns pensamentos:

  1. Se alguém tiver acesso físico à rede, um invasor poderá fazer muitas coisas. Atacar o 802.1x é apenas um.
  2. A apresentação lista algumas técnicas de mitigação, mas todas elas dependem de um monitoramento cuidadoso do tráfego de rede - algo que raramente é feito, exceto nas redes mais seguras.
  3. Como é realmente um ataque físico, a melhor defesa é a segurança física.
  4. Se o 802.1x for usado corretamente, esse ataque terá um efeito mínimo. Sim, você pode ocultar sua caixa de ataque atrás da impressora e obter acesso, mas a VLAN da impressora deve ter acesso limitado de qualquer maneira (sem iniciar conexões). Qualquer tentativa de iniciar a investigação deve gerar alertas.
  5. O 802.1ae pode ser outra maneira de pará-lo, mas não é comum.
  6. Finalmente, acho que o risco é exagerado. Ataques físicos são difíceis, caros e muito arriscados. É por isso que eles são muito raros.
Ron Trunk
fonte
3
Para o número 6, vi um kit há alguns anos com um Raspberry PI, ou similar, que já tinha o código carregado para executar o ataque exato detalhado no artigo, permitindo que alguém o instalasse embutido atrás de um host, e permitiria que alguém usasse o Wi-Fi para entrar na rede. Eu apontei isso para o pessoal da Segurança, e eles meio que surtaram, mas decidiram que era muito difícil para um hacker casual, mesmo que estivesse apenas conectando um dispositivo na linha.
Ron Maupin
Vemos ataques físicos contra redes realizados com frequência suficiente para se preocupar com eles (sob condições específicas) arstechnica.com/tech-policy/2014/04/…
Cybergibbons
2
Sim, também vi dispositivos como RPIs ou outros. Ataques acontecem, mas, na minha opinião, eles são raros em comparação com ataques remotos. E, como mostra o artigo vinculado por @Cybergibbons, é mais provável que os atacantes sejam pegos.
Ron Trunk
11
O objetivo do 802.1X era atacar contra ataques físicos - ele não o faz em um nível bastante baixo.
Zac67
Em uma conferência, vi uma palestra sobre um dispositivo que leva isso um passo adiante: você corta perfeitamente um cabo Ethernet existente. Acrescente a isso o descuido de rotear pedaços de cabos Ethernet através de banheiros públicos em algumas agências governamentais e você tem um problema de segurança real para aqueles que estão determinados a pegá-lo.
PlasmaHH