Auth LAN-on: 802.1X, MAC, egyéb?

Security-all

Sziasztok,

Irodán belül hogy szokás manapság megoldani, hogy a kábelen illetéktelenül rádugott hálózati eszköz / számítógép ne kapjon hálózati hozzáférést, ezzel együtt ne férjen hozzá a helyi szerverekhez?

Amikkel én találkoztam megoldások:
- MAC alapján szűrés, csak az engedélyezett LAN-os MAC címek működnek. Ennek a hátránya, ha tudod a gép MAC-jét, lehúzod azt a gépet, beállítod például Linux-on és kész
- Azonosítás 802.1X-en.
- Nincs DHCP, így manuálisan kell beállítani az IP címet, GW-t és DNS-eket. Hátránya, hogy erre is rá lehet jönni, meg lehet nézni működő gépeken a paramétereket.
- Switch portonként van engedélyezve egyenként a hozzáférés, néha még külön MAC ellenőrzés is ezen felül.
- Az előző egyszerűsített változata: csak az a fali UTP csatlakozó van bedugva, ahol van gép, és van egyből DHCP: ez is könnyen kijátszható, mást rakok a gép helyére.
- Nincs védelem, viszont van helyi hálózati discovery: jelzés, ha új, ismeretlen gép bukkan fel.
- A leggyakoribb, hogy senki sem foglalkozik a kábeles hálózat védelmével, és maximum a wifin van jelszó... :-)

Egyéb módok, megoldások?
Köszönöm.

  • 1588 megtekintés

( lajbi | 2018. 03. 21., sze – 14:41 )

DHCP snooping-al:
-dhcp szerver csak regisztrált mac-nek ad ip-t
-a switch figyeli a DHCP forgalmat, és
--csak bizonyos lábakon enged DHCP szervert
--a hallott DHCP-ből kiszedi a MAC-ip párost. Ezt követően ha ez nem passzol (más MAC ezzel az ip-vel, vagy ez a MAC más ip-vel kommunikál) akkor beállítástól függően riaszt vagy portot tilt.

Mi úgy csináltuk, hogy eleinte hagytunk 5-10 dinamikus címet, és néztük a logokat.

-=Lajbi=-------

Ezt annyival meg lehet variálni, hogy:
- A DHCP az ismert, regisztrált gépeknek fix címet ad
- Az ismeretleneknek kioszt egy kamu hálózatot, ami nem vezet sehova
- VLAN-okra bontod a hálózatot (minimum szerver(ek), kliens(ek)), a köztük levő router-en szűröd a nem általad kiosztott MAC-IP párosokat (Static ARP). Így ugyan kerülhet idegen eszköz a kliens hálózatba, de a szerverekhez nem fér hozzá.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

( lajbi | 2018. 03. 21., sze – 14:44 )

Ha csak figyelés kell, akkor arpwatch, és-vagy netdisco.

A netdisco jó, mert idő alapon db-be gyűjti a mac és ip cimeket. Le lehet kérdezni pl, hogy egy adott mac merre járt, milyen ip-vel.
A hátránya, hogy a mac-et és főleg ip-t csak időközönként gyűjti, egy-két perces "behatoló" elcsúszik a radar alatt.

-=Lajbi=-------

( vl v | 2018. 03. 23., p – 00:58 )

Nagyjából kettő korrekt megoldás van:

- VPN
- 802.1x user vagy cert auth (EAP-TTLS/EAP-TLS)

Minden MAC alapú dolog igazából hályogkovácsolás.

( Mik v | 2018. 03. 23., p – 07:20 )

Attól függ mennyit szántok rá. Egészen komplex rendszert lehet összerakni. Részben vagy egészben 802.1x-re épülő erre kitalált security megoldások, pl. Cisco ISE, igény szerint posture checking-el. Ez kiegészíthető mondjuk MSE-vel, wifire. Egy AD nem árt mögé... Ez Cisco, de más gyártóknál is található hasonló megoldás.
A már említett DHCP snooping kombinálva dynamic arp inspection-el és/vagy IP source guard-al.

( quash | 2018. 03. 23., p – 11:42 )

NAC - pl.: packetfence

A komlex halozat kezelheto vele wired, wifi, VLAN-ok, akar auth AD-bol ...