Giảm thiểu bỏ qua 802.1x bằng cách bắc cầu trong suốt

Cuộc nói chuyện DEFCON nói chuyện " Một cây cầu quá xa " chi tiết một phương tiện để vượt qua các điều khiển truy cập mạng có dây 802.1x bằng cách thiết lập một cầu nối trong suốt giữa một máy chính hãng và mạng. Sau khi xác thực được thực hiện, cây cầu trong suốt có thể tự do can thiệp và tiêm lưu lượng.

Có biện pháp kiểm soát nào có thể được đưa ra để giảm thiểu rủi ro này không?

security ieee-802.1x

— Dải băng
nguồn

Bên cạnh các câu trả lời dưới đây, xem câu hỏi và câu trả lời này.

— Ron Maupin

Lưu ý, đây chính xác là những gì người dùng Uverse (sợi) làm để bỏ qua bộ định tuyến bắt buộc của AT & T: sao chép MAC và proxy tất cả các công cụ nhảy vọt.

— Ricky Beam

Có câu trả lời nào giúp bạn không? Nếu vậy, bạn nên chấp nhận câu trả lời để câu hỏi không xuất hiện mãi mãi, tìm kiếm câu trả lời. Ngoài ra, bạn có thể cung cấp và chấp nhận câu trả lời của riêng bạn.

— Ron Maupin

Câu trả lời:

Thành thật mà nói, không.

802.1X xác thực cổng và miễn là được xác thực nó tham gia vào mạng. Không thể phát hiện các khung được chèn hoặc thậm chí sửa đổi bằng thiết bị mạng trong suốt khác.

802.1X đã có một số vectơ tấn công nghiêm trọng ngay từ đầu và chỉ có thể được coi là phương pháp "tốt hơn không có gì". Nếu bạn muốn bảo mật cổng nghiêm túc, bạn sẽ cần 802.1AE hay MACsec.

Một cách tiếp cận khác (thx Ricky) là từ bỏ hoàn toàn bảo mật cấp cổng và thay vào đó dựa vào các kết nối VPN mà bạn xây dựng trên mạng vật lý của mình, về cơ bản di chuyển bảo mật lên ngăn xếp. Mặc dù điều này có thể được thực hiện rất an toàn và tương thích ngược với bất kỳ cơ sở hạ tầng nào, nhưng nó có thể gây ra các tắc nghẽn tại (các) bộ định tuyến VPN và các liên kết của chúng.

— Zac67
nguồn

Chính xác tại sao MACSec được tạo ra. Nếu bạn không thể thực hiện macsec, hãy tự cuộn với VPN trên mỗi máy chủ lưu trữ và ACL để ngăn chặn mọi thứ khác.

— Ricky Beam

Chào mừng bạn đến với Kỹ thuật mạng! Bạn có thể muốn hỏi điều này trên Information Security SE, nhưng đây là một vài suy nghĩ:

Nếu một người có quyền truy cập vật lý vào mạng, kẻ tấn công có thể làm rất nhiều việc. Tấn công 802.1x chỉ là một.
Bài thuyết trình liệt kê một số kỹ thuật giảm thiểu, nhưng tất cả đều dựa vào việc giám sát cẩn thận lưu lượng mạng - một điều hiếm khi được thực hiện ngoại trừ trên các mạng an toàn nhất.
Vì nó thực sự là một cuộc tấn công vật lý, nên cách phòng thủ tốt nhất là an ninh vật lý.
Nếu sử dụng chính xác 802.1x, cuộc tấn công này có hiệu quả tối thiểu. Có, bạn có thể ẩn hộp tấn công của mình phía sau máy in và có quyền truy cập, nhưng Vlan của máy in nên có quyền truy cập hạn chế (không có kết nối khởi tạo). Bất kỳ nỗ lực để bắt đầu thăm dò sẽ tạo ra cảnh báo.
802.1ae có thể là một cách khác để ngăn chặn nó, nhưng nó không phổ biến.
Cuối cùng, tôi nghĩ rằng rủi ro là quá mức. Tấn công vật lý là khó khăn, tốn kém, và rất rủi ro. Đó là lý do tại sao chúng rất hiếm.

— Ron Trunk
nguồn

Đối với số 6, tôi thực sự đã thấy một bộ cách đây vài năm với Raspberry PI, hoặc trông giống nhau, có mã đã được tải để thực hiện tấn công chính xác được nêu chi tiết trong bài viết, cho phép ai đó cài đặt nội tuyến phía sau máy chủ, và nó sẽ cho phép ai đó sử dụng Wi-Fi để truy cập mạng. Tôi đã chỉ ra điều này cho những người bảo mật của chúng tôi, và họ hơi bối rối, nhưng quyết định rằng nó quá khó đối với một hacker thông thường, mặc dù nó chỉ đơn thuần là cắm một thiết bị nội tuyến.

— Ron Maupin

Chúng tôi thấy các cuộc tấn công vật lý chống lại các mạng được thực hiện thường xuyên đủ để lo lắng về chúng (trong các điều kiện cụ thể) arstechnica.com/tech-policy/2014/04/ ám

— Cyberg Ribbon

Có, tôi cũng đã thấy các thiết bị như rPI hoặc các thiết bị khác. Tấn công xảy ra, nhưng tôi nghĩ rằng chúng hiếm khi xảy ra so với các cuộc tấn công từ xa. Và như bài viết được liên kết bởi @Cyberg Ribbon cho thấy, những kẻ tấn công có nhiều khả năng bị bắt hơn.

— Ron Trunk

802.1X được dự định để tấn công chống lại các cuộc tấn công vật lý - nó không thực hiện được ở mức khá thấp.

— Zac67

Tại một số hội nghị, tôi đã thấy một cuộc nói chuyện về một thiết bị tiến xa hơn một bước: bạn cắt liền mạch với cáp ethernet hiện có. Thêm vào đó là sự bất cẩn của việc định tuyến các cục cáp ethernet thông qua các nhà vệ sinh công cộng ở một số cơ quan chính phủ và bạn có một vấn đề bảo mật thực sự cho những người quyết tâm lấy bạn.

— PlasmaHH