Làm cách nào tôi có thể ngăn chặn kẻ xâm nhập cắm vào ổ cắm tường Ethernet để truy cập mạng?


32

Có phải lọc địa chỉ MAC là tùy chọn phù hợp nhất để ngăn người khác kết nối thiết bị của họ với mạng bằng cách cắm vào ổ cắm trên tường Ethernet? Điều gì xảy ra nếu họ rút phích cắm thiết bị và sao chép MAC của thiết bị?


5
Lọc MAC không phù hợp, không. Nhìn vào 802.1x: en.wikipedia.org/wiki/IEEE_802.1X - "một tiêu chuẩn IEEE cho Kiểm soát truy cập mạng dựa trên cổng".
cướp

Bạn cũng có thể thêm bẫy SNMP để được thông báo khi một số cổng nhất định thay đổi trạng thái. Đây là nhiều hơn về phía phát hiện hơn là phòng ngừa.
tegbains

Có câu trả lời nào giúp bạn không? nếu vậy, bạn nên chấp nhận câu trả lời để câu hỏi không xuất hiện mãi mãi, tìm kiếm câu trả lời. Ngoài ra, bạn có thể cung cấp và chấp nhận câu trả lời của riêng bạn.
Ron Maupin

Câu trả lời:


34

Bản thân bộ lọc địa chỉ MAC không cung cấp nhiều bảo vệ. Như bạn đã chỉ ra, một địa chỉ MAC có thể được nhân bản. Điều đó không có nghĩa là nó không thể là một phần của chiến lược phòng thủ tổng thể, nhưng nó có thể là rất nhiều công việc cho rất ít lợi nhuận.

Bạn cần một chính sách bảo mật toàn diện có thể bao gồm những điều như:

  • Giới hạn truy cập vật lý
  • 802.1X như @robut đã đề cập, mặc dù điều này có thể phức tạp và yêu cầu hỗ trợ cơ sở hạ tầng phần cứng / phần mềm, trong khi làm nản lòng người dùng hợp pháp
  • Bảo mật cổng trên các công tắc có thể được thiết lập để chỉ cho phép một (hoặc số lượng hạn chế) địa chỉ MAC tại bất kỳ thời điểm nào hoặc trong bất kỳ khoảng thời gian nhất định nào, để ngăn kết nối các trung tâm, công tắc, AP, v.v., kể cả tắt cổng trong một khoảng thời gian nhất định nếu phát hiện vi phạm (cần phải cẩn thận đối với những thứ như điện thoại VoIP nơi PC được kết nối với điện thoại vì chính điện thoại sẽ có một hoặc nhiều địa chỉ MAC)
  • Bạn cũng có thể thực hiện chính sách yêu cầu bất kỳ cổng chuyển đổi nào hiện không được sử dụng bị vô hiệu hóa (bao gồm, có lẽ, đảm bảo rằng các cáp mạng không sử dụng không được kết nối chéo trong tủ dữ liệu)

Như một người bạn thợ khóa của tôi từng nói với tôi, "Khóa chỉ giữ người trung thực trung thực." Kẻ xấu sẽ luôn tìm cách; công việc của bạn là làm cho nó không xứng đáng với nỗ lực của họ. Nếu bạn cung cấp đủ các lớp bảo vệ, chỉ những kẻ xấu kiên quyết nhất mới dành thời gian và công sức.

Bạn phải cân nhắc rủi ro với các tài nguyên (chủ yếu là thời gian và tiền bạc, nhưng cũng mất năng suất) mà bạn sẵn sàng đưa vào để bảo vệ mạng của mình. Có thể không có ý nghĩa gì khi bỏ ra hàng ngàn đô la và nhiều giờ để bảo vệ chiếc xe đạp bán nhà để xe mà bạn đã mua với giá 10 đô la. Bạn cần đưa ra một kế hoạch và quyết định mức độ rủi ro bạn có thể chịu đựng.


Căn cứ vào nhận xét "người trung thực trung thực" của bạn, 802.1x, thậm chí được định cấu hình đúng, là một kẻ tầm thường để kẻ tấn công thực sự bỏ qua (xem nhiều cuộc nói chuyện và giấy tờ về chủ đề này) nhưng nó ngăn chặn những kẻ lừa đảo cắm vào máy tính xách tay hoặc wifi của họ mạng của bạn "vô tình" và nó ngăn chặn các cuộc tấn công vào các cổng không được sử dụng nhưng được kết nối buộc kẻ tấn công phải nhảy qua nhiều vòng.
Jeff Meden

@JeffMeden, tôi biết về điều đó, và tôi bao quát nó trong câu trả lời này .
Ron Maupin

6

Sử dụng VPN nội bộ và xử lý phần của mạng bên ngoài các khu vực an toàn giống như cách bạn đối xử với internet.


Hoặc bạn có thể làm điều đó với PPPoE, nhưng nó có đáng để nỗ lực không?
sdaffa23fdsf

4

Trả lời câu hỏi của bạn = Không.

Tôi không nghĩ có một câu trả lời hoàn chỉnh. Gần nhất sẽ có phòng thủ theo chiều sâu.

Bắt đầu như Ron Maupin đề nghị hạn chế truy cập vật lý. Sau đó, có 802.1x sử dụng EAP-TLS để xác thực cổng.

Sau đó, bạn vẫn có thể có tường lửa trên lớp truy cập / phân bổ. Nếu bạn đang nói nhiều hơn về các hệ thống web nội bộ thì hãy đảm bảo rằng tất cả mọi người đều được xác thực thông qua proxy.


3

Không vì địa chỉ MAC dễ bị giả mạo. 802.1x là công cụ thích hợp cho công việc. Với 802.1x, một trong những phương thức kết nối có thể là, khi bạn kết nối (dù không dây hoặc có dây), bạn được gửi đến một cổng bị khóa (còn gọi là trang giật gân) thông qua trình duyệt của bạn, nơi bạn có thể chấp nhận các điều khoản sử dụng, tùy ý nhập một yêu cầu mật khẩu, v.v.


1

Nếu yêu cầu duy nhất của bạn là chỉ chặn người dùng (kẻ xâm nhập), bạn chỉ cần viết một vài dòng tập lệnh EEM.

Nếu trạng thái hiện tại của giao diện không hoạt động, tập lệnh sẽ tắt giao diện này khi nó ngừng hoạt động.

Nếu trạng thái hiện tại không hoạt động, tập lệnh sẽ tắt cổng khi nó tăng.

Sau đó, người dùng gọi để xác minh danh tính của mình và "không tắt" được áp dụng theo yêu cầu và xác minh.


1

Không có cách nào để ngăn chặn điều này, nhưng đây không phải là điều bạn nên lo lắng. Điều bạn cần lo lắng là những kẻ quét mạng của bạn, kiên nhẫn xây dựng kiến ​​thức về các vết nứt trong mạng của bạn.

Những gì bạn cần làm là ngăn chặn việc khai thác, sử dụng kiểm soát truy cập rất nghiêm ngặt, mang theo máy kiểm tra bút, tìm những thứ bị định cấu hình sai, hiểu hoàn hảo mạng của bạn và đào tạo mọi người (không nhấp vào email được tạo tốt, không đi vào email lạ các trang web, hãy thận trọng về các thiết bị di động, v.v.).


0

Điều này có phần trực giao với ý định của OP, nhưng tôi đã thấy rằng việc hạn chế rất nhiều đối với các cổng có dây đồng thời tạo và mở một wifi cho khách AP giúp loại bỏ tất cả các tai nạn thông thường (ví dụ như một khách truy cập cắm vào) và đồng thời làm cho môi trường công ty chào đón nhiều du khách hơn Vì vậy, bạn nhận được hai lợi ích cho giá của một, hoặc, nói cách khác, bạn có thể mang lại lợi ích cho quản lý của mình trong khi nhận được lợi ích bảo mật là tác dụng phụ.

Quan sát khác của tôi là những kẻ tấn công rất thông minh, và tính toán phần thưởng công việc / tiền thưởng đang nghiêng về sự xâm nhập trực tiếp qua mạng và ủng hộ việc chỉ để một chiếc USB trên bàn và chờ ai đó tìm thấy nó và cắm nó vào ( hợp pháp, trên mạng LAN được ủy quyền). Rất tiếc.


-1

Tắt các cổng không sử dụng và cho phép bảo mật cổng trên các cổng khác. Dù sao, nếu ai đó có thể sao chép một địa chỉ MAC hiện có, không có cách nào để ngăn chặn anh ta.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.