¿Cómo puedo evitar que un intruso que se conecta a un enchufe de pared Ethernet tenga acceso a la red?


32

¿El filtrado de direcciones MAC es la opción más adecuada para evitar que alguien conecte su propio dispositivo a la red enchufándolo a los enchufes de pared de Ethernet? ¿Qué pasa si desconectan un dispositivo y clonan su MAC?


55
El filtrado MAC no es adecuado, no. Busque en 802.1x: en.wikipedia.org/wiki/IEEE_802.1X : "un estándar IEEE para el control de acceso a la red basado en puertos".
robut

También puede agregar captura de SNMP para recibir notificaciones cuando ciertos puertos cambien de estado. Esto es más del lado de la detección que de la prevención.
tegbains

¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar y aceptar su propia respuesta.
Ron Maupin

Respuestas:


34

El filtrado de direcciones MAC en sí mismo no proporciona mucha protección. Como señaló, se puede clonar una dirección MAC. Eso no significa que no pueda ser parte de la estrategia general de defensa, pero puede ser mucho trabajo por muy poco retorno.

Necesita una política de seguridad integral que pueda incluir cosas como:

  • Limitaciones de acceso físico
  • 802.1X como @robut mencionó, aunque esto puede ser complejo y requerir infraestructura de hardware / software, mientras frustra a los usuarios legítimos
  • La seguridad del puerto en los conmutadores se puede configurar para permitir solo una única dirección MAC (o un número limitado) en cualquier momento, o en cualquier período de tiempo, para evitar la conexión de concentradores, conmutadores, AP, etc., incluida la desactivación de un puerto durante un período de tiempo determinado si se detectan infracciones (se debe tener cuidado con cosas como teléfonos VoIP en los que las PC están conectadas al teléfono, ya que el teléfono tendrá una o más direcciones MAC)
  • También podría implementar una política que requiera que se desactiven todos los puertos de conmutador que actualmente no se usan (incluyendo, tal vez, asegurarse de que los cables de red no utilizados no estén cruzados en el armario de datos)

Como un cerrajero amigo mío me dijo una vez: "Las cerraduras solo mantienen honestas a las personas honestas". Los malos siempre encontrarán un camino; su trabajo es hacer que no valga la pena sus esfuerzos. Si proporciona suficientes capas de protección, solo los malos más decididos pasarán el tiempo y el esfuerzo.

Debe sopesar los riesgos con los recursos (principalmente tiempo y dinero, pero también pérdida de productividad) que está dispuesto a poner para proteger su red. Puede que no tenga mucho sentido gastar miles de dólares y muchas horas de trabajo para proteger esa bicicleta de venta de garaje que compró por $ 10. Debe elaborar un plan y decidir cuánto riesgo puede tolerar.


De acuerdo con su comentario de "gente honesta honesta", 802.1x, incluso configurado correctamente, es trivial para un atacante genuino (ver muchas charlas y documentos sobre el tema) pero evita que los embaucadores conecten su computadora portátil o puente wifi a su red "por accidente" y disuade los ataques a puertos no utilizados pero conectados, lo que obliga a un atacante a saltar más obstáculos.
Jeff Meden

@ JeffMeden, sé sobre eso, y lo cubro en esta respuesta .
Ron Maupin

6

Use una VPN internamente y trate la sección de la red fuera de las áreas seguras de la misma manera que trataría Internet.


O puede hacerlo con PPPoE, pero ¿vale la pena el esfuerzo?
sdaffa23fdsf

4

Responda a su pregunta = No.

No creo que haya una respuesta completa. Lo más cercano sería tener defensa en profundidad.

Comience como Ron Maupin sugirió que tiene acceso físico restringido. Luego tenga 802.1x usando EAP-TLS para tener autenticación en el puerto.

Después de eso, aún puede tener un firewall en la capa de acceso / distribución. Si está hablando más sobre sistemas web internos, asegúrese de que todos estén autenticados también a través de un proxy.


3

No, porque las direcciones MAC se falsifican fácilmente. 802.1x es la herramienta adecuada para el trabajo. Con 802.1x, uno de los métodos de conexión podría ser, cuando se conecta (ya sea inalámbrico o por cable), se le envía a un portal cautivo (también conocido como página de bienvenida) a través de su navegador donde puede aceptar los términos de uso, opcionalmente ingrese un contraseña, etc.


1

Si su único requisito es simplemente bloquear usuarios (intrusos), simplemente puede escribir un par de líneas de script EEM.

Si el estado actual de la interfaz está activo, el script cerrará esta interfaz cuando se apague.

Si el estado actual es inactivo, el script cerrará el puerto cuando suba.

Luego, el usuario llama para verificar su identidad y se aplica el "no cerrar" en la verificación y la demanda.


1

No hay forma de evitar esto, pero esto no es de lo que debe preocuparse. De lo que debe preocuparse es de los tipos que escanean sus redes, construyendo pacientemente el conocimiento sobre las grietas en su red.

Lo que debe hacer es evitar la explotación, usar un control de acceso muy estricto, traer un comprobador de pen, encontrar cosas que estén mal configuradas, comprender perfectamente su red y capacitar a las personas (no hacer clic en correos electrónicos bien diseñados, no seguir cosas raras sitios web, tenga cuidado con los dispositivos extraíbles, etc.).


0

Esto es algo ortogonal a la intención del OP, pero descubrí que ser muy restrictivo en los puertos cableados al mismo tiempo que crea y abre un AP wifi invitado elimina todos los accidentes casuales (por ejemplo, un visitante que se conecta) y al mismo tiempo hace que el entorno de la empresa sea más acogedor para los visitantes. Por lo tanto, obtiene dos beneficios por el precio de uno o, dicho de otra manera, puede brindar un beneficio a su administración mientras obtiene un beneficio de seguridad como efecto secundario.

Mi otra observación es que los atacantes son muy inteligentes, y el cálculo de la recompensa de trabajo / pago se inclina contra la intrusión directa a través de la red y está a favor de dejar una memoria USB en un escritorio y esperar a que alguien la encuentre y la conecte a su ( legítimo, en la LAN autorizada) PC. Yikes


-1

Cierre los puertos no utilizados y habilite la seguridad del puerto en los demás. De todos modos, si alguien puede clonar una dirección MAC existente, no hay forma de detenerlo.

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.