トランスペアレントブリッジングによる802.1xバイパスの軽減

DEFCONの講演「A Bridge Too Far」では、正規のマシンとネットワークの間に透過的なブリッジを設定することにより、有線802.1xネットワークアクセス制御をバイパスする方法について詳しく説明しています。認証が実行されると、トランスペアレントブリッジは自由に改ざんしてトラフィックを注入できます。

このリスクを軽減するために導入できる管理策はありますか？

率直に言って、いいえ。

802.1Xはポートを認証し、認証されている限り、ネットワークに参加します。それ以外の場合は透過的なネットワークデバイスによって挿入または変更されたフレームも検出できません。

802.1Xには最初からいくつかの深刻な攻撃ベクトルがあり、「何よりも優れている」アプローチとしか見なされません。深刻なポートセキュリティが必要な場合は、802.1AE別名MACsecが必要です。

別のアプローチ（thick Ricky）は、ポートレベルのセキュリティを完全に廃止し、代わりに物理ネットワークの上に構築したVPN接続に依存して、基本的にはセキュリティをスタックに上げます。これは非常に安全で、ほぼすべてのインフラストラクチャとの下位互換性を確保できますが、VPNルーターとそのリンクにボトルネックが生じる可能性があります。

ネットワークエンジニアリングへようこそ！これについては、Information Security SEで質問することもできますが、ここではいくつかの考えを示します。

1. ネットワークに物理的にアクセスできる場合、攻撃者は多くのことを行うことができます。802.1xへの攻撃は1つだけです。
2. プレゼンテーションでは、いくつかの緩和手法がリストされていますが、それらはすべて、ネットワークトラフィックの注意深い監視に依存しています。これは、最も安全なネットワーク以外ではほとんど行われません。
3. これは実際には物理的な攻撃なので、最善の防御策は物理的なセキュリティです。
4. 802.1xが正しく使用されている場合、この攻撃による影響は最小限です。はい。攻撃ボックスをプリンターの後ろに隠してアクセスできますが、プリンターVLANのアクセスは制限されています（開始接続はありません）。プローブを開始しようとすると、アラートが生成されます。
5. 802.1aeはそれを止める別の方法かもしれませんが、それは一般的ではありません。
6. 最後に、リスクは誇張されていると思います。物理的な攻撃は困難で、費用がかかり、非常に危険です。それが非常にまれな理由です。