Suppongo di poter configurare la maggior parte dei router per assegnare solo indirizzi IP a specifici indirizzi MAC, come è possibile con i router wireless.
E se un computer fosse connesso via Ethernet e non chiedesse un indirizzo IP? Cosa possono eliminare dalla rete con una scheda di rete standard?
Come posso impedire a qualcuno di sfogliare dati da una linea Ethernet? per esempio. dovrei usare IPSec per questo?
802.1x-2010 fornirà l'autenticazione allo switch di rete e crittograferà il traffico scambiato. Le specifiche 802.1x meno recenti non crittografano il traffico.
IPsec può essere una soluzione o un livello utile sopra 802.1x più vecchi, ma l'aumento del lavoro di configurazione per consentire solo ai client desiderati potrebbe essere notevole.
However what if a computer is connected via Ethernet and does not ask for an IP address? What can they skim off the network with a standard network card?
Penso che tu stia chiedendo se è possibile, come su una rete wireless, connettersi a una rete cablata e sniffare pacchetti come quelli di aircrack che consentono il traffico wireless in modalità promiscua.
La risposta è - non nella stessa misura se la rete ethernet è commutata. Nello specifico, al fine di garantire che ogni client ottenga i propri pacchetti wireless, i router wireless per natura devono utilizzare antenne omnidirezionali (beh, in realtà, è possibile ottenere antenne direzionali per "bridge wireless" tra le reti) e broadcasting. In effetti, l'hardware wireless ignora i pacchetti non indirizzati ad esso; tuttavia, le impostazioni della modalità promiscua disponibili su alcune schede wireless consentono di sopprimere questa funzionalità. In tal caso è possibile visualizzare tutte le connessioni di rete, anche supposte trasmissioni unicast.
Lo stesso non si applica a Ethernet. I router / switch non hanno bisogno di trasmettere le informazioni allo stesso modo, poiché dovrebbero essere in grado di indirizzare il traffico lungo il cavo appropriato. L'equivalente wireless sarebbe se inviavano il pacchetto giù ogni cavo collegato e lascia che gli adattatori ethernet filtrino i pacchetti ridondanti (cosa che può anche accadere, ma non dovrebbe).
La grande eccezione a questa regola è la progettazione di applicazioni e servizi in esecuzione su Ethernet. Molti richiedono l'uso di funzionalità multicast o broadcast e pertanto richiederanno l'invio di pacchetti a tutti i client nel gruppo rilevante (sia il gruppo mcast che l'intera sottorete). Chiunque si collega a una rete cablata riceverà tutti i pacchetti di trasmissione in base alla progettazione.
Questo accade molto più di quanto tu pensi - qualsiasi servizio che coinvolge la condivisione delle scoperte tende a farlo. Lo fa anche il protocollo ARP: esempi comuni che ho visto includono Windows Media Player / iTunes che lanciano messaggi broadcast alla ricerca di dispositivi con cui parlare. Condivisione file di Windows rende anche annunci di disponibilità workstation. In questo modo vengono fornite informazioni sulla configurazione e sulla posizione degli host sulla rete, il che può essere un problema.
Riepilogo: su una rete commutata, dovrebbero essere in grado di eliminare il traffico broadcast e qualsiasi traffico multicast indirizzato all'host su cui si trovano.
La pagina wireshark per ethernet parla di questo in una quantità fantastica di dettagli, con dei buoni diagrammi.
Per quanto riguarda le soluzioni - IPSec ti aiuterà enormemente. Anche subnetting e routing ti aiuteranno e puoi farlo su sottoreti di gamme IP private quanto vuoi. In sostanza, ogni sottorete ha il proprio indirizzo di trasmissione, quindi se si utilizza il routing anziché il bridging Ethernet, non si riceveranno messaggi broadcast tranne la subnet.
Un utente malintenzionato può intercettare i dati Ethernet se possono connettersi ad esso? Sì. Un utente malintenzionato collegato fisicamente alla rete Ethernet può probabilmente intercettare tutti i pacchetti inviati su tale rete locale .
Si potrebbe pensare che l'Ethernet commutato lo impedisca, ma in realtà su molti / molti switch Ethernet non lo fa. Un utente malintenzionato può utilizzare flooding MAC a forzare lo switch in una modalità degradata in cui invia una copia di tutti i pacchetti all'attaccante , consentendo così all'utente malintenzionato di intercettare tutto il traffico inviato su tale rete Ethernet dell'area locale. Allo stesso modo, lo ARP spoofing può consentire a un utente malintenzionato di instradare alcuni pacchetti verso di lui. Non tutti i router sono noti per essere vulnerabili, ma questi attacchi possono essere piuttosto sottili, e non sono certo che la comunità abbia esplorato a fondo lo spazio di possibili attacchi in questo senso. Pertanto, ti consiglio di assumere prudenzialmente che questo attacco sia possibile.
In altre parole, ti consiglio di pensare che chiunque possa collegarsi alla tua rete Ethernet possa probabilmente intercettare tutti i pacchetti inviati su quella rete locale.
Questi attacchi non richiedono una speciale scheda di interfaccia di rete. È sufficiente qualsiasi scheda Ethernet. L'hacker deve solo eseguire un programma sniffer di pacchetti, che imposta la scheda Ethernet in modalità promiscua e chiede di mostrare tutti i pacchetti Ethernet visibili a quella scheda Ethernet.
Come difendersi da questo? La difesa più strong è usare la crittografia avanzata per crittografare tutte le comunicazioni, e assicurarsi che solo le persone fidate / autorizzate ricevano le chiavi crittografiche. L'utilizzo di IPSec per crittografare tutto il traffico sarebbe sufficiente. Così qualsiasi altro VPN o software di crittografia a livello di collegamento. Lo svantaggio principale è che queste soluzioni possono richiedere una configurazione considerevole e quindi essere goffo da usare.
Un'altra difesa è fare il più maleducato per assicurarsi che le persone non fidate non possano collegarsi alla rete Ethernet. Ad esempio, se si desidera esporre porte Ethernet in spazi pubblici, è possibile creare una rete ospite separata, protetta dalla rete aziendale interna, e assicurarsi che tutte le prese Ethernet in spazi pubblici siano connesse alla rete ospite. Dovresti completare questo con sicurezza fisica, per garantire che le persone non autorizzate non abbiano accesso al tuo spazio di lavoro, agli armadi di rete, alle stanze dei server, ecc.
È anche possibile il firewall delle reti interne l'una dall'altra, seguendo il principio del "minimo privilegio". Ad esempio, se la busta paga dispone di informazioni particolarmente sensibili sui propri sistemi e reti Ethernet locali, è possibile organizzare che la propria rete Ethernet dell'area locale sia limitata al proprio edificio o ai propri uffici, in modo che altri dipendenti che non fanno parte del libro paga il dipartimento non ha una connessione a tale rete Ethernet locale.
Una terza difesa è quella di incoraggiare gli utenti a utilizzare la crittografia per tutte le comunicazioni sensibili. Ciò fornisce un ripiego nel caso in cui un utente malintenzionato acceda alla rete Ethernet interna. Ad esempio, è possibile garantire che i servizi Web interni sensibili siano impostati per utilizzare SSL in tutto il sito e che altri servizi interni sensibili siano configurati per l'utilizzo della crittografia. È possibile proibire le password non crittografate sulla rete interna (ad es. Richiedere SSH e SFTP invece di telnet e FTP). Puoi incoraggiare gli utenti a utilizzare HTTPS ovunque per proteggere il loro traffico web, laddove supportato dai server Web.
Una quarta difesa è quella di abilitare le funzionalità sugli switch Ethernet per difendersi da tali attacchi. È possibile utilizzare l'autenticazione client (ad es. 802.1X) per garantire che solo i client autorizzati possano connettersi alla rete Ethernet. (Il filtraggio degli indirizzi MAC è una versione povera di questo, che fornisce solo un basso livello di sicurezza.) È anche possibile abilitare la "sicurezza della porta" e funzionalità di sicurezza simili progettate specificamente per prevenire attacchi di MAC flooding e ARP spoofing.
Stavo per scrivere una lunga risposta quando mi sono ricordato di avere un lungo articolo che spiegava di sniffare in profondità anche quando collegato direttamente al cablaggio Ethernet. Tutto sommato, un ottimo articolo per principianti con un sacco di cose buone. Se hai altre domande, spara in questo modo.
Benvenuto in sicurezza stackexchange.
Un altro approccio possibile è l'isolamento dei segmenti (switch LAN) vulnerabili agli accessi non autorizzati con il bridge Ethernet di filtro. Nel caso più semplice si dispone di un segmento Ethernet attendibile isolato da quello non attendibile utilizzando il bridge Ethernet di filtraggio. Le regole di filtro esatte possono essere specifiche per il tuo ambiente e requisiti. Non sono a conoscenza dell'esistenza di soluzioni pronte per l'uso sul mercato, ma crei il tuo bridge Ethernet di filtraggio utilizzando un computer con due adattatori Ethernet e un software. Per il bridging di Windows puoi controllare qui: link
Abbiamo risolto questo problema con un'appliance: NetClarity .
Utilizza VLANS assegnato dinamicamente e riconfigura le nostre porte switch quando viene rilevato un nuovo dispositivo. Puoi impostarlo per reindirizzare il traffico ovunque, ma poiché abbiamo utenti esterni che necessitano di accesso a Internet, li colleghiamo semplicemente a una connessione esterna.
Scopre nuovi dispositivi in meno di un secondo e funziona molto bene per noi. Ha anche altre cose a valore aggiunto come un motore Snort spoglio, ma la cosa più importante per noi è stata la riconfigurazione dell'interruttore automatico.
Chiediti cosa stai cercando di proteggere?
Quale hardware è nella tua rete ora per farlo?
Che tipo di accesso sei disposto a consentire?
Quanto si può realisticamente spendere (tempo e denaro) per
raggiungere il livello desiderato di controllo dell'accesso a
le risorse critiche.
Gli articoli sopra sono un solido punto di partenza ma non lo fanno
dimentica i whitepaper su cisco, microsoft, ecc. sito web.
Spero che sia d'aiuto,
iceberg
Leggi altre domande sui tag network ipsec dhcp mac-spoofing