Identifica gli host malevoli nella nostra rete inviando credenziali di dominio valide

Gli switch Cisco AFAIK basano le loro decisioni di inoltro basate su MAC; indipendentemente da quale autenticazione si è verificata per prima.

È possibile utilizzare la sicurezza della porta per applicare l'autenticazione MAC, ma come discusso è facile da falsificare.

Un'opzione migliore è 802.1X (Cisco si riferisce semplicemente ad esso come dot1x); per cui quando arriva una porta chiede al client di autenticarsi, esegue il back-hailey che autorizza su un raggio / server TACACS, e in base alla risposta abilita l'inoltro del traffico su quella porta (sulla VLAN definita dal server)

Può essere usato anche per NAC - se un host legittimo non supera i controlli di integrità (aggiornamenti AV / Windows up2date) può essere messo in quarantena in una VLAN di riparazione per aggiornarsi prima di poter accedere alla rete principale.

In definitiva, tuttavia, se un host ha passato l'autenticazione dot1X, qualsiasi frame originato su quella porta, con l'indirizzo MAC previsto, verrà inoltrato senza ulteriore autenticazione.

Un'opzione molto più resiliente (che copre anche il traffico Layer3 remoto) è IPSEC; La mia esperienza principale con questo è Windows, anche se Linux è in grado (Racoon? - anche se più complesso da amministrare) è possibile applicare politiche del traffico IPSEC in cui i singoli pacchetti IP hanno un'intestazione di autenticazione per dimostrare l'identità del mittente (computer, utente o tutti e due); e se il ricevitore non è in grado di convalidare tali informazioni, il pacchetto viene eliminato anche prima di passare allo stack (eventualmente vulnerabile) dell'applicazione. Per definizione causa problemi di interoperabilità con dispositivi esterni o non di dominio (ad esempio stampanti), che possono essere indirizzati con trust di dominio (dati criteri IPSEC simili) o certificati di dispositivo (dalla catena di fiducia)

È possibile configurare i criteri IPSEC non solo per autenticare le connessioni, ma per crittografare i dati; che rende inutili la maggior parte degli attacchi MitM.

È possibile identificare i tentativi di connessioni protette non IPSEC (o quelle che falliscono l'autenticazione) nei registri eventi.

Se si imposta MAC appiccicoso sui tuoi switch e / o router Layer3, oltre a disabilitare il mirroring delle porte / SPAN, sei a posto.

Livello 2 del modello OSI : dispositivi come interruttori operano in relè frame. Gli switch in particolare inviano i frame a un particolare dispositivo (tramite indirizzo MAC), purché port mirroring / SPAN è disabilitato. Gli hub stupidi inviano tutti i frame a tutti i dispositivi collegati.

Sticky MAC previene gli attacchi mac spoofing (a la ettercap).

Immagina uno dei due scenari:

1. Evil hax0r che vuole intercettare le tue e-mail sulla LAN. Collega surrettiziamente un cat5 al tuo switch mentre usi ettercap o qualche altro strumento per impersonare il tuo indirizzo MAC e raggiungere obiettivi malvagi
2. amministratore di rete / server / sys che scollega un dispositivo, quindi lo ricollega.

In entrambi gli scenari , lo switch vede già i MAC che accetterà nella sua tabella ARP. Rifiuta di inviare traffico al nuovo dispositivo e registra l'evento.

Per rintracciare il reato: Se qualcuno ha spoofato il Mac di un dispositivo sulla tua LAN, il Mac appiccicoso verrà attivato e verrà creata una voce di registro. La voce di log dovrebbe contenere il datetime, il mac e il porting coinvolti. Sta a te per incrociare il riferimento al centralino con un diagramma di rete. Quindi, se è successo sulla porta switch2 47, dovresti controllare il diagramma per scoprire che Conference Room A è l'unica stanza con accesso a quella casella. Da lì, un'indagine regolare (ad esempio testimonianze di testimoni oculari, CCTV, ecc.) Per scoprire chi era in A Sala Conferenze in quel momento è un must.