네트워크에 액세스하는 침입자를 이더넷 벽면 소켓에 꽂는 것을 어떻게 막을 수 있습니까?

32

이더넷 벽면 소켓에 연결하여 누군가 자신의 장치를 네트워크에 연결하지 못하도록 MAC 주소 필터링이 가장 적합한 옵션입니까? 장치의 플러그를 뽑고 MAC을 복제하면 어떻게됩니까?

— 큐 제너레이터
소스

5

MAC 필터링은 적합하지 않습니다. 802.1x : en.wikipedia.org/wiki/IEEE_802.1X- "포트 기반 네트워크 액세스 제어를위한 IEEE 표준"을 살펴보십시오 .

— robut

특정 포트의 상태가 변경 될 때 알림을 받도록 SNMP 트랩을 추가 할 수도 있습니다. 이것은 예방이 아니라 탐지 측면에 있습니다.

— tegbains

어떤 대답이 도움이 되었습니까? 그렇다면 질문에 대한 답변이 계속 나오지 않도록 답변을 수락해야합니다. 또는 자신의 답변을 제공하고 수락 할 수 있습니다.

— Ron Maupin

34

MAC 주소 필터링 자체는 많은 보호 기능을 제공하지 않습니다. 지적했듯이 MAC 주소를 복제 할 수 있습니다. 그렇다고 이것이 전체 방어 전략의 일부가 될 수는 없지만 거의 수익을 올리는 데는 많은 일이 될 수 있습니다.

다음과 같은 것을 포함 할 수있는 포괄적 인 보안 정책이 필요합니다.

물리적 접근 제한
@robut가 언급했듯이 802.1X는 복잡하지만 합법적 인 사용자를 실망시키면서 하드웨어 / 소프트웨어 인프라를 지원해야하지만
포트 비활성화 기능을 포함하여 허브, 스위치, AP 등의 연결을 방지하기 위해 특정 시간 또는 특정 시간에 단일 또는 제한된 수의 MAC 주소 만 허용하도록 스위치의 포트 보안을 설정할 수 있습니다. 위반이 감지 된 경우 일정 기간 동안 (전화 자체에 하나 이상의 MAC 주소가 있으므로 PC가 전화에 연결된 VoIP 전화와 같은 항목에주의를 기울여야 함)
현재 비활성화되어 있지 않은 스위치 포트가 필요한 정책을 구현할 수도 있습니다 (사용하지 않는 네트워크 케이블이 데이터 옷장에서 교차 연결되지 않았는지 확인).

제 자물쇠 친구가 한때 "잠금은 정직한 사람들 만 정직하게 유지합니다." 나쁜 사람들은 항상 길을 찾을 것입니다. 당신의 임무는 그들의 노력에 가치가없는 것입니다. 충분한 보호 계층을 제공하면 가장 결정적인 나쁜 사람 만 시간과 노력을들입니다.

네트워크 보안에 기꺼이 투입 할 자원 (주로 시간과 돈은 있지만 생산성도 떨어짐)으로 위험을 평가해야합니다. 10 달러에 구입 한 차고 판매 자전거를 보호하기 위해 수천 달러와 많은 인적 시간을 소비하는 것은 이치에 맞지 않을 수 있습니다. 계획을 세우고 감당할 수있는 위험 정도를 결정해야합니다.

— 론 마우 핀
소스

"정직한 사람들의 정직한"의견에 따르면 802.1x는 올바르게 구성되어 있어도 진정한 공격자가 우회하는 것은 쉽지 않습니다 (주제에 대한 많은 대화와 논문 참조). "사고시"네트워크는 사용하지 않지만 연결된 포트에 대한 공격을 막아 공격자가 더 많은 농구대를 뛰어 넘도록합니다.

— Jeff Meden

@JeffMeden, 나는 그것에 대해 알고 있으며이 답변 에서 다룹니다 .

— Ron Maupin

6

내부적으로 VPN을 사용하고 인터넷을 처리하는 것과 같은 방식으로 보안 영역 외부의 네트워크 섹션을 처리하십시오.

— 토마스 코나드
소스

아니면 PPPoE로 할 수 있지만 그만한 가치가 있습니까?

— sdaffa23fdsf

4

귀하의 질문에 대한 답변 = 아니오.

하나의 완전한 대답이 있다고 생각하지 않습니다. 가장 가까운 것은 심층 방어를하는 것입니다.

Ron Maupin이 물리적 액세스가 제한되어 있다고 제안한대로 시작하십시오. 그런 다음 802.1x가 EAP-TLS를 사용하여 포트에 대한 인증을 갖도록하십시오.

이후에도 액세스 / 분배 계층에 방화벽이있을 수 있습니다. 내부 웹 시스템에 대해 자세히 이야기하는 경우 모든 사람이 프록시를 통해 인증되는지 확인하십시오.

— 포 보즈
소스

3

MAC 주소는 쉽게 스푸핑되기 때문에 아니요. 802.1x는 작업에 적합한 도구입니다. 802.1x를 사용하면 연결 방법 중 하나가 될 수 있습니다 (무선 또는 유선 연결). 사용 약관에 동의 할 수있는 브라우저를 통해 캡 티브 포털 (일명 스플래시 페이지)로 전송되어 선택적으로 필수 입력 비밀번호 등

— 론 로이스 톤
소스

1

사용자 (침입자)를 차단하는 것이 유일한 요구 사항이라면 간단히 두 줄의 EEM 스크립트를 작성할 수 있습니다.

인터페이스의 현재 상태가 작동 중이면 스크립트는 작동 중지시이 인터페이스를 종료합니다.

현재 상태가 작동 중지되면 스크립트는 작동 할 때 포트를 종료합니다.

그런 다음 사용자는 자신의 신원을 확인하기 위해 전화를 걸어 확인 및 요청시 "닫힘 없음"이 적용됩니다.

— 데반 드로이드
소스

1

이것을 막을 방법은 없지만 걱정할 것이 없습니다. 걱정해야 할 것은 네트워크를 스캔하고 네트워크 균열에 대한 지식을 참을성있게 구축하는 사람들입니다.

착취를 방지하고, 엄격한 액세스 제어를 사용하고, 펜 테스터를 가져오고, 잘못 구성된 것을 찾고, 네트워크를 완벽하게 이해하고, 사람들을 훈련 시키십시오 (잘 조작 된 이메일을 클릭하지 말고 이상하게 행동하지 않아야 함) 웹 사이트, 이동식 기기 등에주의하십시오).

— Narb
소스

0

이것은 OP의 의도와 다소 직교하지만 유선 Wi-Fi 포트에 매우 제한적이며 게스트 Wi-Fi AP를 생성 및 여는 동시에 모든 우발적 사고 (예 : 방문자 연결)와 동시에 제거합니다. 방문자에게 회사 환경을보다 환영합니다. 따라서 한 가지 가격으로 두 가지 이점을 얻거나 다른 방법으로 관리하면 부작용으로 보안 이점을 얻는 동시에 경영진에게 이점을 제공 할 수 있습니다.

저의 또 다른 관찰은 공격자가 매우 똑똑하고 작업 / 지불 보상 계산이 네트워크를 통한 직접 침입에 대해 기울어지고 책상에 USB 스틱을 놓고 누군가가 그것을 찾아서 연결하기를 기다리는 것입니다 ( 승인 된 LAN) PC에 합법적입니다. Yikes.

— 항상 배우기
소스

-1

사용하지 않는 포트를 종료하고 다른 포트에서 포트 보안을 활성화하십시오. 어쨌든 누군가 기존의 MAC 주소를 복제 할 수 있다면 그를 막을 방법이 없습니다.

— 로마 야나
소스