Comment puis-je empêcher un intrus de se brancher sur une prise murale Ethernet et d'accéder au réseau?


32

Le filtrage par adresse MAC est-il l’option la plus appropriée pour empêcher une personne de connecter son propre appareil au réseau en la connectant à des prises murales Ethernet? Que se passe-t-il si ils débranchent un périphérique et clone son MAC?


5
Le filtrage MAC ne convient pas, non. Regardez dans 802.1x: en.wikipedia.org/wiki/IEEE_802.1X - "une norme IEEE pour le contrôle d’accès réseau basé sur port".
Robut

Vous pouvez également ajouter une trappe SNMP pour être averti lorsque certains ports changent de statut. C'est davantage du côté de la détection que de la prévention.
Tegbains

Est-ce qu'une réponse vous a aidé? Si tel est le cas, vous devez accepter la réponse afin que la question ne se répète pas pour toujours, à la recherche d'une réponse. Vous pouvez également fournir et accepter votre propre réponse.
Ron Maupin

Réponses:


34

Le filtrage d’adresses MAC ne fournit pas beaucoup de protection. Comme vous l'avez souligné, une adresse MAC peut être clonée. Cela ne signifie pas que cela ne peut pas faire partie de la stratégie de défense globale, mais cela peut représenter beaucoup de travail pour un très faible rendement.

Vous avez besoin d'une politique de sécurité complète pouvant inclure des éléments tels que:

  • Limitations d'accès physique
  • 802.1X comme @robut mentionné, bien que cela puisse être complexe et nécessite une infrastructure matérielle / logicielle compatible, tout en frustrant les utilisateurs légitimes
  • La sécurité des ports sur les commutateurs peut être configurée pour n'autoriser qu'une seule (ou un nombre limité) d'adresses MAC à un moment donné, ou pendant une période donnée, afin d'empêcher la connexion de concentrateurs, de commutateurs, de points d'accès, etc., y compris la désactivation de port. pendant une période donnée si des violations sont détectées (des précautions doivent être prises, comme les téléphones VoIP où les ordinateurs sont connectés au téléphone, car le téléphone lui-même aura une ou plusieurs adresses MAC)
  • Vous pouvez également implémenter une stratégie nécessitant la désactivation de tous les ports de commutateur non utilisés à l’heure actuelle (notamment en vérifiant que les câbles réseau inutilisés ne sont pas interconnectés dans le placard de données).

Comme un de mes amis serrurier me l'a dit un jour: "Les serrures ne gardent que les honnêtes gens honnêtes." Les méchants trouveront toujours un moyen; votre travail consiste à faire en sorte que cela ne vaille pas leurs efforts. Si vous fournissez suffisamment de couches de protection, seuls les méchants les plus déterminés consacreront leur temps et leurs efforts.

Vous devez peser les risques avec les ressources (principalement du temps et de l’argent, mais également une perte de productivité) que vous êtes prêt à consacrer à la sécurisation de votre réseau. Il n’est peut-être pas logique de dépenser des milliers de dollars et de consacrer beaucoup d’heures de travail à la protection du vélo de garage-vente que vous avez acheté pour 10 $. Vous devez élaborer un plan et décider du niveau de risque que vous pouvez tolérer.


Conformément à votre commentaire "honnête peuple honnête", le 802.1x, même correctement configuré, est simple à contourner (voir de nombreux exposés et documents sur le sujet), mais il empêche les intrus de brancher leur ordinateur portable ou leur pont Wi-Fi à la maison. votre réseau "en cas d'accident" et il dissuade les attaques sur les ports inutilisés mais connectés, forçant un attaquant à franchir plus de paniers.
Jeff Meden

@JeffMeden, je suis au courant et je l'explique dans cette réponse .
Ron Maupin

6

Utilisez un VPN en interne et traitez la partie du réseau en dehors des zones sécurisées de la même manière que vous traiteriez Internet.


Ou vous pouvez le faire avec PPPoE, mais cela en vaut-il la peine?
sdaffa23fdsf

4

Répondez à votre question = Non.

Je ne pense pas qu'il y ait une réponse complète. Le plus proche serait d'avoir une défense en profondeur.

Commencez comme Ron Maupin l'a suggéré comme ayant un accès physique restreint. Ensuite, 802.1x utilise EAP-TLS pour s’authentifier sur le port.

Après cela, vous pouvez toujours avoir un pare-feu sur la couche accès / répartition. Si vous parlez davantage de systèmes Web internes, assurez-vous également que tout le monde est authentifié par un proxy.


3

Non, car les adresses MAC sont facilement falsifiées. 802.1x est l'outil approprié pour le travail. Avec 802.1x, l’une des méthodes de connexion peut être, lorsque vous vous connectez (qu’il soit filaire ou filaire), vous êtes envoyé vers un portail captif (également appelée page de démarrage) via votre navigateur où vous pouvez accepter les conditions d'utilisation. mot de passe, etc.


1

Si votre seule exigence est de bloquer les utilisateurs (intrus), vous pouvez simplement écrire quelques lignes de script EEM.

Si l'état actuel de l'interface est activé, le script arrêterait cette interface lors de la panne.

Si l'état actuel est hors service, le script arrêterait le port lorsqu'il remontera.

Ensuite, l'utilisateur appelle pour vérifier son identité et le "non-fermeture" est appliqué lors de la vérification et de la demande.


1

Il n'y a aucun moyen d'empêcher cela, mais ce n'est pas ce qui devrait vous inquiéter. Ce qui vous préoccupe, ce sont les gars qui analysent vos réseaux et construisent patiemment des connaissances sur les failles de votre réseau.

Ce que vous devez faire est d’empêcher toute exploitation, d’utiliser un contrôle d’accès très strict, d’avoir un testeur de stylo, de trouver des éléments mal configurés, de comprendre parfaitement votre réseau et de former des personnes (ne pas cliquer sur des emails bien conçus, ne pas continuer bizarrement sites Web, soyez prudent avec les périphériques amovibles, etc.).


0

C’est un peu orthogonal à l’intention du PO, mais j’ai trouvé qu’être très restrictif pour les ports câblés tout en créant et en ouvrant un point d’accès wifi invité élimine tous les accidents accidentels (par exemple, un visiteur branché) et en même temps. rend l'environnement de l'entreprise plus accueillant pour les visiteurs. Ainsi, vous bénéficiez de deux avantages pour le prix d'un, ou, en d'autres termes, vous pouvez apporter un avantage à votre gestion tout en bénéficiant d'un avantage de sécurité.

Mon autre observation est que les attaquants sont très intelligents et que le calcul de la récompense travail / récompense pèse contre l’intrusion directe sur le réseau et qu’il est préférable de laisser une clé USB sur un bureau et d’attendre que quelqu'un la trouve et la branche ( légitime, sur le réseau local autorisé) PC. Beurk.


-1

Fermez les ports inutilisés et activez la sécurité des ports sur les autres. Quoi qu'il en soit, si quelqu'un est capable de cloner une adresse MAC existante, il n'y a aucun moyen de l'arrêter.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.