Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Angriffsmöglichkeit auf 802.1x LAN

Mitglied: icegod

icegod (Level 1) - Jetzt verbinden

07.06.2006, aktualisiert 08.01.2009, 6887 Aufrufe, 4 Kommentare

Hallo Leutz, die Frage wird ein bissl komplex.


Also, ich teste gerade in unserer Firma 802.1x (mit EAP-TLS) als Auth.methode.

Alles funktioniert wunderbar und ich wäre super glücklich aber leider ist auch der neuste Schutz fürs Netzwerk stark verwundbar.

Das Problem ist, dass nach erfolgreicher Authentifizierung einer Maschine keine weiteren Schutzmechanismen fungieren.

Die Schwäche:Schließt man Angriffs- und Opfer PC an einen HUB und schaltet diesen vor den 802.1x Switch, so authentifziert der SW das Opfer und ab dieser Stelle kann auch der Angreifer ohne eigene 802.1x Authentifizierung ins Netz.

Grundlage für den Angriff:Der Angreifer benutzt die gleiche MAC und IP.


GEGENWEHR:Man deaktiviert im Switch das Autonegation und fordert somit immer full duplex an.Somit kann ein Angreifer zumindest kein HUB zum ANgriff benutzen.

Frage:Wie siehts mit Switches aus??????????

1.) die können Fullduplex und können so nicht aufgehalten werden.
2.) sie können port Mirroring und somit sind sie ein "indirektes HUB"

Wie kann man sie als Angriffswerkzeug ausschließen?
Billig Switches können wahrscjeinlich kein PortMirroring oder??????
das wäre gut.
Aber was ist mit den teueren Dingern?

Wenn jemand ein gute Idee hat kann er mir ja bitte was posten.

Cya, der Ice ;)
Mitglied: Daenni
07.06.2006 um 18:52 Uhr
Ich denke, solange es keine Liste gibt, wo alle MACs und IPs der jeweiligen Benutzer drauf stehen (ausser für Admin) dann ist die Wahrscheinlich recht gerig dass jemand die "richtige" Kombination findet.

Andererseits gibt es ja auch noch Richtlinien die man einstellen kann. Somit könnte man den jeweiligen Clients Rechte zuweisen die ein manipulieren des Systems nicht ermöglicht.

Oder sehe ich da gerade etwas falsch?
Bitte warten ..
Mitglied: icegod
08.06.2006 um 09:43 Uhr
Danke für dein Interesse.
Ich werde mich noch konkreter ausdrücken, damit ihr es besser versteht.

das Angriffsszenario:Ein Gast oder ein böswilliger Mitarbeiter kommt in die Firma zum Besuch/Arbeit,egal. Nun könnten sie Notebooks mitbringen, was nicht so großartig auffallen würde bei einer Firma von über 1000 Leuten.
Is klar, dass man auf seinem Notebook Adminrechte hat.Wenn sie dann auch noch einen kleinen Switch dabei haben, steigt das Risiko 802.1x zu knacken enorm.

Weil, vorallem der Mitarbeiter kann ja seine IP und MAC am Arbeitsplatz abfragen und wenn er technisch versiert ist, sein Notebook genauso konfigurieren. Wenn man alles zuhause vorbereitet hat, ist ein Netzzugriff in weniger als 1MINUTE drin.

Der Administrator kann ja nun manuell ausschließen, dass ein potentieller ANgreifer HUBs (nur halb duplex) verwenden kann.
Aber ein Switch,der vollduplex spricht,kann nicht als Angriffsmedium ausgeschlossen werden.
Er würde den Opfer PC sich über 802.1x authentifizieren lassen und danach könnte AngriffsLaptop, weil er identische Netzparameter hat über diesen authentifzierten port auch ins NETZ.

cya,der ice
Bitte warten ..
Mitglied: icegod
08.06.2006 um 15:49 Uhr
OK, jetzt bin ich im A

Hab als Angriffsdevice 2 Switche getestet, einen managed und einen unmanaged Switch.
Und das ist hier wohl das erste Mal in der Geschichte der Technik,wo man behaupten kann:"Weniger ist mehr."
Der managed Switch nimmt den 802.1xRequest des Clients entgegen und leitet ihn nicht zum 802.1x Switch weiter und verwirft den Request. So sollte es auch sein!!!!
Der unmanaged alias "Hausfrauen" Switch besitzt keine Intelligenz und leitet den Request wie ein HUB einfach zum 802.1x Switch weiter.Dieser authentifiziert jetzt dummerweise den
Opfer PC und gibt somit auch dem Angreifer Zugriff aufs Netz.

Wenn mir jetzt einer weiterhelfen kann, um diesen MenInTheMiddleAngriff vielleicht auf irgendeine Weise abzuwehren, dann kann er bitte sein Wissen hier preisgeben;)

cya
Bitte warten ..
Mitglied: chrihech
02.04.2008 um 08:27 Uhr
Hallo!
Naja du hast recht, dass prinzipiell diese Angriffsmöglichkeit für 802.1x besteht, da die Authentifizierung immer pro port geht und es nicht auf eine weitere verteilung mittels hub gedacht ist. Jedoch kann dieses Problem prinzipiell sehr schnell gelöst werden, indem die Anzahl der MAC-Adressen pro Port auf genau eine beschränkt wird. Das ist natürlich nur mit einem managebaren Switch möglich. Jedoch ist es, speziell für Anwendungen wie 802.1x, nie (!!!!) empfehlenswert nichtmanagebare Switches zu verwenden. Die investition muss einem die Sicherheit in diesem Bereich wert sein.

mfg
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
802.1X-Authentifizierung
gelöst Frage von Alex29LAN, WAN, Wireless25 Kommentare

Hallo in die Runde, ich bin Hobby-Admin und würde in meinem Netzwerk gern eine 802.1X-Authentifizierung einrichten. Dazu habe ich ...

Windows Netzwerk
802.1x Konfiguration
gelöst Frage von michaelb123Windows Netzwerk2 Kommentare

Hallo, ich habe auf meinem Rechner (win7) als Authentifizierung 802.1x eingerichtet. Es funktioniert auch gut, solange der Switch dementsprechend ...

Server
EIgenschaften IEEE 802.1X
Frage von 133808Server11 Kommentare

Moinsen, welche Eigenschaften würdet ihr dem IEEE 802.1 X Standard zusprechen? Viele Grüße

Windows Netzwerk
802.1x Standard. Verständnis Frage
Frage von Haraldger123Windows Netzwerk10 Kommentare

Guten Morgen zusammen. :-) Ich habe eine Frage zum grundlegeneden Verständnis. Ich habe z.b einen Freund habe der ein ...

Neue Wissensbeiträge
Viren und Trojaner

Gratis-Entschlüsselungstool für STOP-Ransomware verfügbar

Information von AnkhMorpork vor 2 StundenViren und Trojaner

Der Sicherheitsanbieter Emisoft hat ein kostenloses Tool veröffentlicht, mit dem sich Dateien entschlüsseln lassen, die die Ransomware STOP unbrauchbar ...

Off Topic
8 zoll disketten
Information von brammer vor 20 StundenOff Topic3 Kommentare

Hallo, ob das so gut ist brammer

Off Topic
Noch mehr was ich nicht brauche
Information von brammer vor 4 TagenOff Topic6 Kommentare

Hallo, WOFÜR? WARUM? brammer

Windows Server

Windows Server 2016 Suche nicht funktioniert ist ausgegraut Windows Server 2016 Search not work

Erfahrungsbericht von Wano347 vor 5 TagenWindows Server

Hallo Leute, wir haben vor kurzem ein Problem gehabt: Windows Server 2016 frisch installiert. Nach Checkliste konfiguriert (sieht vor ...

Heiß diskutierte Inhalte
Windows 7
Alter PC abgebrannt - Festplatte im neuen PC führt zum Bluescreen
gelöst Frage von CAT404Windows 724 Kommentare

Moin ich habe seit heute mittag einen PC aufm Tisch stehen, total verzweifelter Eigentümer. Der Rechner ist so ein ...

Server-Hardware
Welches Betriebssystem für DL380p Gen8 für den Heimgebrauch
Frage von peter91gServer-Hardware16 Kommentare

Hallo zusammen, betreibe Zuhause einen Dl380p G8 derzeit mit ESXI in der Testversion. Es läuft je nach Bedarf Ubuntu ...

Router & Routing
Zwei Netzwerk miteinander verbinden oder in einem IP Bereich Zugriffsrechte setzen
Frage von spreenautinRouter & Routing14 Kommentare

Hallo, ich würde gerne zwei Netzwerk mit unterschiedlichen IP Bereichen mit einandern verbinden. Dann würde ich gerne definieren wer ...

Windows Server
Probleme mit Windows DNS Server
Frage von florian.rhombergWindows Server12 Kommentare

Hallo liebe Leute, ich habe seit heute Mittag das Problem, dass bei einem unserer Kunden plötzlich die externe DNS ...