Come posso impedire a un intruso che si collega a una presa a muro Ethernet di accedere alla rete?

Il filtro dell'indirizzo MAC è l'opzione più adatta per impedire a qualcuno di connettere il proprio dispositivo alla rete collegando le prese a muro Ethernet? Cosa succede se scollegano un dispositivo e clonano il suo MAC?

Il filtro dell'indirizzo MAC stesso non fornisce molta protezione. Come hai sottolineato, un indirizzo MAC può essere clonato. Ciò non significa che non possa far parte della strategia globale di difesa, ma può richiedere molto lavoro per un ritorno molto limitato.

È necessaria una politica di sicurezza completa che può includere elementi quali:

• Limitazioni dell'accesso fisico
• 802.1X come menzionato @robut, sebbene ciò possa essere complesso e richiedere il supporto dell'infrastruttura hardware / software, frustrando al contempo gli utenti legittimi
• La sicurezza delle porte sugli switch può essere impostata in modo da consentire un solo (o numero limitato) di indirizzi MAC in qualsiasi momento, o in un determinato periodo di tempo, per impedire la connessione di hub, switch, AP, ecc., Inclusa una disabilitazione della porta per un determinato periodo di tempo se vengono rilevate violazioni (è necessario prestare attenzione a cose come telefoni VoIP in cui i PC sono collegati al telefono poiché il telefono stesso avrà uno o più indirizzi MAC)
• È inoltre possibile implementare un criterio che richieda la disabilitazione di tutte le porte dello switch attualmente non utilizzate (incluso, ad esempio, assicurarsi che i cavi di rete inutilizzati non siano interconnessi nell'armadio dati)

Come mi disse una volta un amico fabbro, "Le serrature mantengono oneste le persone oneste". I cattivi troveranno sempre un modo; il tuo compito è quello di non valerne la pena. Se fornisci abbastanza livelli di protezione, solo i cattivi più determinati passeranno il tempo e lo sforzo.

Devi soppesare i rischi con le risorse (principalmente tempo e denaro, ma anche perdita di produttività) che sei disposto a mettere per proteggere la tua rete. Potrebbe non avere molto senso spendere migliaia di dollari e molte ore di lavoro per proteggere quella bicicletta da garage che hai acquistato per $ 10. Devi elaborare un piano e decidere quanti rischi puoi tollerare.

Usa una VPN internamente e tratta la sezione della rete al di fuori delle aree sicure allo stesso modo in cui tratteresti Internet.

Risposta alla tua domanda = No.

Non penso che ci sia una risposta completa. Il più vicino sarebbe avere una difesa in profondità.

Inizia come Ron Maupin ha suggerito di avere accesso fisico limitato. Quindi disporre di 802.1x utilizzando EAP-TLS per disporre dell'autenticazione sulla porta.

Dopodiché puoi ancora avere un firewall sul livello di accesso / distribuzione. Se stai parlando di più sui sistemi web interni, assicurati che anche tutti siano autenticati tramite un proxy.

No perché gli indirizzi MAC sono facilmente falsificati. 802.1x è lo strumento adeguato per il lavoro. Con 802.1x, uno dei metodi di connessione potrebbe essere, quando ci si connette (sia wireless che cablato), si viene inviati a un portale captive (aka splash page) tramite il browser in cui è possibile accettare i termini di utilizzo, facoltativamente inserire un richiesto password, ecc.

Se il tuo unico requisito è bloccare solo gli utenti (intrusi), puoi semplicemente scrivere un paio di righe di script EEM.

Se lo stato corrente dell'interfaccia è attivo, lo script arresterebbe questa interfaccia quando si spegne.

Se lo stato corrente è inattivo, lo script arresterebbe la porta quando sale.

Quindi, l'utente chiama per verificare la sua identità e il "no shut" viene applicato su verifica e richiesta.

Non c'è modo di impedirlo, ma questo non è ciò di cui dovresti preoccuparti. Quello di cui devi preoccuparti sono i ragazzi che scansionano le tue reti, acquisendo pazientemente conoscenza sulle crepe nella tua rete.

Quello che devi fare è prevenire lo sfruttamento, utilizzare un controllo di accesso molto rigoroso, inserire tester per penne, trovare cose che sono configurate male, capire perfettamente la tua rete e formare le persone (non fare clic su e-mail ben predisposte, non andare avanti in modo strano siti Web, prestare attenzione ai dispositivi rimovibili, ecc.).

Questo è in qualche modo ortogonale all'intento del PO, ma ho scoperto che essere molto restrittivo sulle porte cablate e allo stesso tempo creare e aprire un AP wifi ospite elimina tutti gli incidenti casuali (ad esempio un visitatore che si collega) e allo stesso tempo rende l'ambiente aziendale più accogliente per i visitatori. In questo modo ottieni due vantaggi al prezzo di uno o, in altre parole, puoi offrire un vantaggio alla tua gestione ottenendo un vantaggio di sicurezza come effetto collaterale.

Un'altra mia osservazione è che gli aggressori sono molto intelligenti e il calcolo della ricompensa di lavoro / payoff si sta inclinando contro l'intrusione diretta sulla rete e a favore di lasciare una chiavetta USB su una scrivania e aspettare che qualcuno la trovi e la inserisca nella loro ( legittimo, sulla LAN autorizzata) PC. Yikes.

Chiudere le porte non utilizzate e abilitare la sicurezza delle porte sugli altri. Comunque, se qualcuno è in grado di clonare un indirizzo MAC esistente, non c'è modo di fermarlo.