Có phải lọc địa chỉ MAC là tùy chọn phù hợp nhất để ngăn người khác kết nối thiết bị của họ với mạng bằng cách cắm vào ổ cắm trên tường Ethernet? Điều gì xảy ra nếu họ rút phích cắm thiết bị và sao chép MAC của thiết bị?
Có phải lọc địa chỉ MAC là tùy chọn phù hợp nhất để ngăn người khác kết nối thiết bị của họ với mạng bằng cách cắm vào ổ cắm trên tường Ethernet? Điều gì xảy ra nếu họ rút phích cắm thiết bị và sao chép MAC của thiết bị?
Câu trả lời:
Bản thân bộ lọc địa chỉ MAC không cung cấp nhiều bảo vệ. Như bạn đã chỉ ra, một địa chỉ MAC có thể được nhân bản. Điều đó không có nghĩa là nó không thể là một phần của chiến lược phòng thủ tổng thể, nhưng nó có thể là rất nhiều công việc cho rất ít lợi nhuận.
Bạn cần một chính sách bảo mật toàn diện có thể bao gồm những điều như:
Như một người bạn thợ khóa của tôi từng nói với tôi, "Khóa chỉ giữ người trung thực trung thực." Kẻ xấu sẽ luôn tìm cách; công việc của bạn là làm cho nó không xứng đáng với nỗ lực của họ. Nếu bạn cung cấp đủ các lớp bảo vệ, chỉ những kẻ xấu kiên quyết nhất mới dành thời gian và công sức.
Bạn phải cân nhắc rủi ro với các tài nguyên (chủ yếu là thời gian và tiền bạc, nhưng cũng mất năng suất) mà bạn sẵn sàng đưa vào để bảo vệ mạng của mình. Có thể không có ý nghĩa gì khi bỏ ra hàng ngàn đô la và nhiều giờ để bảo vệ chiếc xe đạp bán nhà để xe mà bạn đã mua với giá 10 đô la. Bạn cần đưa ra một kế hoạch và quyết định mức độ rủi ro bạn có thể chịu đựng.
Sử dụng VPN nội bộ và xử lý phần của mạng bên ngoài các khu vực an toàn giống như cách bạn đối xử với internet.
Trả lời câu hỏi của bạn = Không.
Tôi không nghĩ có một câu trả lời hoàn chỉnh. Gần nhất sẽ có phòng thủ theo chiều sâu.
Bắt đầu như Ron Maupin đề nghị hạn chế truy cập vật lý. Sau đó, có 802.1x sử dụng EAP-TLS để xác thực cổng.
Sau đó, bạn vẫn có thể có tường lửa trên lớp truy cập / phân bổ. Nếu bạn đang nói nhiều hơn về các hệ thống web nội bộ thì hãy đảm bảo rằng tất cả mọi người đều được xác thực thông qua proxy.
Không vì địa chỉ MAC dễ bị giả mạo. 802.1x là công cụ thích hợp cho công việc. Với 802.1x, một trong những phương thức kết nối có thể là, khi bạn kết nối (dù không dây hoặc có dây), bạn được gửi đến một cổng bị khóa (còn gọi là trang giật gân) thông qua trình duyệt của bạn, nơi bạn có thể chấp nhận các điều khoản sử dụng, tùy ý nhập một yêu cầu mật khẩu, v.v.
Nếu yêu cầu duy nhất của bạn là chỉ chặn người dùng (kẻ xâm nhập), bạn chỉ cần viết một vài dòng tập lệnh EEM.
Nếu trạng thái hiện tại của giao diện không hoạt động, tập lệnh sẽ tắt giao diện này khi nó ngừng hoạt động.
Nếu trạng thái hiện tại không hoạt động, tập lệnh sẽ tắt cổng khi nó tăng.
Sau đó, người dùng gọi để xác minh danh tính của mình và "không tắt" được áp dụng theo yêu cầu và xác minh.
Không có cách nào để ngăn chặn điều này, nhưng đây không phải là điều bạn nên lo lắng. Điều bạn cần lo lắng là những kẻ quét mạng của bạn, kiên nhẫn xây dựng kiến thức về các vết nứt trong mạng của bạn.
Những gì bạn cần làm là ngăn chặn việc khai thác, sử dụng kiểm soát truy cập rất nghiêm ngặt, mang theo máy kiểm tra bút, tìm những thứ bị định cấu hình sai, hiểu hoàn hảo mạng của bạn và đào tạo mọi người (không nhấp vào email được tạo tốt, không đi vào email lạ các trang web, hãy thận trọng về các thiết bị di động, v.v.).
Điều này có phần trực giao với ý định của OP, nhưng tôi đã thấy rằng việc hạn chế rất nhiều đối với các cổng có dây đồng thời tạo và mở một wifi cho khách AP giúp loại bỏ tất cả các tai nạn thông thường (ví dụ như một khách truy cập cắm vào) và đồng thời làm cho môi trường công ty chào đón nhiều du khách hơn Vì vậy, bạn nhận được hai lợi ích cho giá của một, hoặc, nói cách khác, bạn có thể mang lại lợi ích cho quản lý của mình trong khi nhận được lợi ích bảo mật là tác dụng phụ.
Quan sát khác của tôi là những kẻ tấn công rất thông minh, và tính toán phần thưởng công việc / tiền thưởng đang nghiêng về sự xâm nhập trực tiếp qua mạng và ủng hộ việc chỉ để một chiếc USB trên bàn và chờ ai đó tìm thấy nó và cắm nó vào ( hợp pháp, trên mạng LAN được ủy quyền). Rất tiếc.