イーサネットの壁のソケットに差し込む侵入者がネットワークにアクセスするのを止めるにはどうすればよいですか?

32

MACアドレスフィルタリングは、誰かがイーサネットウォールソケットに接続して自分のデバイスをネットワークに接続するのを防ぐ最適なオプションですか?デバイスのプラグを抜いてそのMACのクローンを作成するとどうなりますか?

mac-address  security  port-security  ieee-802.1x  rogue 
Qgenerator
ソース
5
MACフィルタリングは適切ではありません。802.1xを調べてください:en.wikipedia.org/wiki/IEEE_802.1X-「ポートベースのネットワークアクセス制御のためのIEEE標準」。
ロブト
特定のポートのステータスが変更されたときに通知を受け取るために、SNMPトラップを追加することもできます。これは、予防というよりも検出側にあります。
テグベイン
何か答えがありましたか?もしそうなら、質問が永遠にポップアップし続けないように答えを受け入れ、答えを探してください。または、独自の回答を提供して受け入れることもできます。
ロンモーピン

回答:

34

MACアドレスフィルタリング自体は、多くの保護を提供しません。指摘したように、MACアドレスを複製できます。それは、それが全体的な防衛戦略の一部になれないことを意味しませんが、非常にわずかな利益のために多くの仕事になることができます。

次のようなものを含めることができる包括的なセキュリティポリシーが必要です。

  • 物理的なアクセス制限
  • @robutが述べたように、802.1Xは複雑で、ハードウェア/ソフトウェアインフラストラクチャをサポートする必要がありますが、正当なユーザーをイライラさせます
  • スイッチのポートセキュリティは、特定の時間または特定の期間に単一(または限られた数)のMACアドレスのみを許可するように設定でき、ポートの無効化を含むハブ、スイッチ、APなどの接続を防止します。違反が検出された場合、一定期間(電話自体に1つ以上のMACアドレスがあるため、PCが電話に接続されているVoIP電話のようなことに注意する必要があります)
  • また、現在使用されていないスイッチポートを無効にすることを要求するポリシーを実装することもできます(おそらく、データクローゼットで未使用のネットワークケーブルが相互接続されていないことを確認することを含む)

私の錠前屋の友人がかつて私に言ったように、「ロックは正直な人だけを正直に保つ」。悪者は常に道を見つけます。あなたの仕事は、彼らの努力に値しないものにすることです。十分な数の保護レイヤーを提供すると、最も決意の強い悪者だけが時間と労力を費やします。

ネットワークを保護するために喜んで投入するリソース(主に時間とお金ですが、生産性も失われます)でリスクを比較検討する必要があります。10ドルで購入したガレージセール自転車を保護するために数千ドルと多くの人時間を費やすことはあまり意味がないかもしれません。計画を立て、どの程度のリスクを許容できるかを決める必要があります。

ロン・モーピン
ソース
「正直な正直者」のコメントによれば、802.1xは適切に設定されていても、本物の攻撃者が迂回するのは簡単です(この件に関する多くの講演や論文を参照)。ネットワークは「偶然」であり、未使用であるが接続されているポートに対する攻撃を阻止し、攻撃者がより多くのフープをジャンプするように強制します。
ジェフメデン
@JeffMeden、私はそれについて知っています、そして私はこの答えでそれをカバーします
ロンモーピン
6

内部でVPNを使用し、インターネットの扱いと同じ方法で、ネットワークの一部を安全な領域外で扱います。

トーマス・コナード
ソース
または、PPPoEで実行できますが、努力する価値はありますか?
sdaffa23fdsf
4

質問への回答=いいえ

完全な答えがあるとは思わない。最も近いのは、徹底的に防御することです。

物理的なアクセスが制限されているとRon Maupinが提案したとおりに開始します。次に、EAP-TLSを使用して802.1xでポートの認証を取得します。

その後、アクセス/ディストリビューションレイヤーにファイアウォールを設定できます。内部Webシステムについて詳しく説明している場合は、プロキシを介して全員が認証されていることを確認してください。

PHoBwz
ソース
3

いいえ、MACアドレスは簡単にスプーフィングされるためです。802.1xは、ジョブに適したツールです。802.1xでは、接続方法の1つとして、接続すると(ワイヤレスまたは有線)、ブラウザを介してキャプティブポータル(別名スプラッシュページ)に送られ、そこで利用規約に同意し、必要に応じて入力することができます。パスワードなど

ロン・ロイストン
ソース
1

唯一の要件がユーザー(侵入者)をブロックすることだけである場合、EEMスクリプトを数行書くだけで済みます。

インターフェイスの現在の状態がアップの場合、スクリプトはこのインターフェイスがダウンしたときにシャットダウンします。

現在の状態が停止している場合、スクリプトはポートが起動するとポートをシャットダウンします。

次に、ユーザーは自分の身元を確認するために電話をかけ、確認と要求に応じて「no shut」が適用されます。

デヴァンドロイド
ソース
1

これを防ぐ方法はありませんが、これは心配するべきことではありません。心配する必要があるのは、ネットワークをスキャンし、ネットワークのクラックに関する忍耐強く知識を構築している人たちです。

悪用を防止し、非常に厳しいアクセス制御を使用し、ペンテスターを持ち込み、構成が不適切なものを見つけ、ネットワークを完全に理解し、人々を訓練する必要がありますウェブサイト、リムーバブルデバイスなどに注意してください)。

麻薬
ソース
0

これは、OPの意図に多少直交していますが、有線ポートを非常に制限すると同時に、ゲストWiFi APを作成して開くことで、偶発的な事故(訪問者のプラグインなど)を排除し、同時に会社の環境を訪問者により歓迎します。したがって、1つの価格で2つのメリットを得ることができます。つまり、別の言い方をすれば、副作用としてセキュリティ上のメリットを得ながら、マネジメントにメリットをもたらすことができます。

私の他の観察は、攻撃者は非常に賢く、仕事/ペイオフ報酬の計算はネットワーク上の直接侵入に対して傾いており、USBスティックを机の上に置いて誰かがそれを見つけてそれをプラグインするのを待つだけです正当な、許可されたLAN上)PC。いいね。

いつも学ぶ
ソース
-1

未使用のポートをシャットダウンし、他のポートのセキュリティを有効にします。とにかく、誰かが既存のMACアドレスのクローンを作成できる場合、彼を止める方法はありません。

ロルマイナ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.