Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Angriffsmöglichkeit auf 802.1x LAN

Mitglied: icegod

icegod (Level 1) - Jetzt verbinden

07.06.2006, aktualisiert 08.01.2009, 6848 Aufrufe, 4 Kommentare

Hallo Leutz, die Frage wird ein bissl komplex.


Also, ich teste gerade in unserer Firma 802.1x (mit EAP-TLS) als Auth.methode.

Alles funktioniert wunderbar und ich wäre super glücklich aber leider ist auch der neuste Schutz fürs Netzwerk stark verwundbar.

Das Problem ist, dass nach erfolgreicher Authentifizierung einer Maschine keine weiteren Schutzmechanismen fungieren.

Die Schwäche:Schließt man Angriffs- und Opfer PC an einen HUB und schaltet diesen vor den 802.1x Switch, so authentifziert der SW das Opfer und ab dieser Stelle kann auch der Angreifer ohne eigene 802.1x Authentifizierung ins Netz.

Grundlage für den Angriff:Der Angreifer benutzt die gleiche MAC und IP.


GEGENWEHR:Man deaktiviert im Switch das Autonegation und fordert somit immer full duplex an.Somit kann ein Angreifer zumindest kein HUB zum ANgriff benutzen.

Frage:Wie siehts mit Switches aus??????????

1.) die können Fullduplex und können so nicht aufgehalten werden.
2.) sie können port Mirroring und somit sind sie ein "indirektes HUB"

Wie kann man sie als Angriffswerkzeug ausschließen?
Billig Switches können wahrscjeinlich kein PortMirroring oder??????
das wäre gut.
Aber was ist mit den teueren Dingern?

Wenn jemand ein gute Idee hat kann er mir ja bitte was posten.

Cya, der Ice ;)
Mitglied: Daenni
07.06.2006 um 18:52 Uhr
Ich denke, solange es keine Liste gibt, wo alle MACs und IPs der jeweiligen Benutzer drauf stehen (ausser für Admin) dann ist die Wahrscheinlich recht gerig dass jemand die "richtige" Kombination findet.

Andererseits gibt es ja auch noch Richtlinien die man einstellen kann. Somit könnte man den jeweiligen Clients Rechte zuweisen die ein manipulieren des Systems nicht ermöglicht.

Oder sehe ich da gerade etwas falsch?
Bitte warten ..
Mitglied: icegod
08.06.2006 um 09:43 Uhr
Danke für dein Interesse.
Ich werde mich noch konkreter ausdrücken, damit ihr es besser versteht.

das Angriffsszenario:Ein Gast oder ein böswilliger Mitarbeiter kommt in die Firma zum Besuch/Arbeit,egal. Nun könnten sie Notebooks mitbringen, was nicht so großartig auffallen würde bei einer Firma von über 1000 Leuten.
Is klar, dass man auf seinem Notebook Adminrechte hat.Wenn sie dann auch noch einen kleinen Switch dabei haben, steigt das Risiko 802.1x zu knacken enorm.

Weil, vorallem der Mitarbeiter kann ja seine IP und MAC am Arbeitsplatz abfragen und wenn er technisch versiert ist, sein Notebook genauso konfigurieren. Wenn man alles zuhause vorbereitet hat, ist ein Netzzugriff in weniger als 1MINUTE drin.

Der Administrator kann ja nun manuell ausschließen, dass ein potentieller ANgreifer HUBs (nur halb duplex) verwenden kann.
Aber ein Switch,der vollduplex spricht,kann nicht als Angriffsmedium ausgeschlossen werden.
Er würde den Opfer PC sich über 802.1x authentifizieren lassen und danach könnte AngriffsLaptop, weil er identische Netzparameter hat über diesen authentifzierten port auch ins NETZ.

cya,der ice
Bitte warten ..
Mitglied: icegod
08.06.2006 um 15:49 Uhr
OK, jetzt bin ich im A

Hab als Angriffsdevice 2 Switche getestet, einen managed und einen unmanaged Switch.
Und das ist hier wohl das erste Mal in der Geschichte der Technik,wo man behaupten kann:"Weniger ist mehr."
Der managed Switch nimmt den 802.1xRequest des Clients entgegen und leitet ihn nicht zum 802.1x Switch weiter und verwirft den Request. So sollte es auch sein!!!!
Der unmanaged alias "Hausfrauen" Switch besitzt keine Intelligenz und leitet den Request wie ein HUB einfach zum 802.1x Switch weiter.Dieser authentifiziert jetzt dummerweise den
Opfer PC und gibt somit auch dem Angreifer Zugriff aufs Netz.

Wenn mir jetzt einer weiterhelfen kann, um diesen MenInTheMiddleAngriff vielleicht auf irgendeine Weise abzuwehren, dann kann er bitte sein Wissen hier preisgeben;)

cya
Bitte warten ..
Mitglied: chrihech
02.04.2008 um 08:27 Uhr
Hallo!
Naja du hast recht, dass prinzipiell diese Angriffsmöglichkeit für 802.1x besteht, da die Authentifizierung immer pro port geht und es nicht auf eine weitere verteilung mittels hub gedacht ist. Jedoch kann dieses Problem prinzipiell sehr schnell gelöst werden, indem die Anzahl der MAC-Adressen pro Port auf genau eine beschränkt wird. Das ist natürlich nur mit einem managebaren Switch möglich. Jedoch ist es, speziell für Anwendungen wie 802.1x, nie (!!!!) empfehlenswert nichtmanagebare Switches zu verwenden. Die investition muss einem die Sicherheit in diesem Bereich wert sein.

mfg
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
802.1X-Authentifizierung
gelöst Frage von Alex29LAN, WAN, Wireless25 Kommentare

Hallo in die Runde, ich bin Hobby-Admin und würde in meinem Netzwerk gern eine 802.1X-Authentifizierung einrichten. Dazu habe ich ...

Windows Netzwerk
802.1x Konfiguration
gelöst Frage von michaelb123Windows Netzwerk2 Kommentare

Hallo, ich habe auf meinem Rechner (win7) als Authentifizierung 802.1x eingerichtet. Es funktioniert auch gut, solange der Switch dementsprechend ...

Server
EIgenschaften IEEE 802.1X
Frage von 133808Server11 Kommentare

Moinsen, welche Eigenschaften würdet ihr dem IEEE 802.1 X Standard zusprechen? Viele Grüße

Windows Netzwerk
802.1x Standard. Verständnis Frage
Frage von Haraldger123Windows Netzwerk10 Kommentare

Guten Morgen zusammen. :-) Ich habe eine Frage zum grundlegeneden Verständnis. Ich habe z.b einen Freund habe der ein ...

Neue Wissensbeiträge
Windows 7

Windows 7 u. Server 2008 (R2) SHA-2-Update kommt am 12. März 2019

Information von kgborn vor 1 TagWindows 75 Kommentare

Kleine Info für die Admins der oben genannten Maschinen. Ab Juli 2019 werden Updates von Microsoft nur noch mit ...

Firewall
PfSense 2.5.0 benötigt doch kein AES-NI
Information von ChriBo vor 3 TagenFirewall2 Kommentare

Hallo, Wie sich einige hier erinnern werden hat Jim Thompson in diesem Aritkel beschrieben, daß ab Version 2.5.0 ein ...

Internet
Copyright-Reform: Upload-Filter
Information von Frank vor 4 TagenInternet1 Kommentar

Hallo, viele Menschen reden aktuell von Upload-Filtern. Sie reden darüber, als wären es eine Selbstverständlichkeit, das Upload-Filter den Seitenbetreibern ...

Google Android

Blokada: Tracking und Werbung unter Android unterbinden

Information von AnkhMorpork vor 4 TagenGoogle Android1 Kommentar

In Ergänzung zu meinem vorherigen Beitrag: Blokada efficiently blocks ads, tracking and malware. It saves your data plan, makes ...

Heiß diskutierte Inhalte
Hardware
IT-Werkzeugkoffer bis 50,- EUR
gelöst Frage von departure69Hardware44 Kommentare

Hallo. Ich bin als IT-Systembetreuer einer Gemeinde zusätzlich auch der IT-Systembetreuer einer Grund- und Hauptschule. Dort muß ich jedoch ...

Netzwerke
Verteilung von Programmdaten außerhalb des internen Netzwerkes
Frage von mertaufmbergNetzwerke27 Kommentare

Guten Morgen liebe Administratoren, ich versuche zurzeit eine möglichst sichere und einfache Lösung zu suchen, um ein Programmverzeichnis über ...

Netzwerkmanagement
Richtfunknetzwerk mit vielen Hops stabiler gestalten
Frage von turti83Netzwerkmanagement22 Kommentare

Hallo, in meinem Dorf habe ich vor ca. einem Jahr ein Backbone aufgebaut um die Nachbarschaft mit Internet zu ...

Hyper-V
Intel MSC Raid 5 Rebuild
Frage von DannysHyper-V19 Kommentare

Hallo Community, Ich habe einen Modul Server von Intel in Betrieb. Dort ist eine Festplatte aus dem Raid 5 ...