Angriffsmöglichkeit auf 802.1x LAN
Hallo Leutz, die Frage wird ein bissl komplex.
Also, ich teste gerade in unserer Firma 802.1x (mit EAP-TLS) als Auth.methode.
Alles funktioniert wunderbar und ich wäre super glücklich aber leider ist auch der neuste Schutz fürs Netzwerk stark verwundbar.
Das Problem ist, dass nach erfolgreicher Authentifizierung einer Maschine keine weiteren Schutzmechanismen fungieren.
Die Schwäche:Schließt man Angriffs- und Opfer PC an einen HUB und schaltet diesen vor den 802.1x Switch, so authentifziert der SW das Opfer und ab dieser Stelle kann auch der Angreifer ohne eigene 802.1x Authentifizierung ins Netz.
Grundlage für den Angriff:Der Angreifer benutzt die gleiche MAC und IP.
GEGENWEHR:Man deaktiviert im Switch das Autonegation und fordert somit immer full duplex an.Somit kann ein Angreifer zumindest kein HUB zum ANgriff benutzen.
Frage:Wie siehts mit Switches aus??????????
1.) die können Fullduplex und können so nicht aufgehalten werden.
2.) sie können port Mirroring und somit sind sie ein "indirektes HUB"
Wie kann man sie als Angriffswerkzeug ausschließen?
Billig Switches können wahrscjeinlich kein PortMirroring oder??????
das wäre gut.
Aber was ist mit den teueren Dingern?
Wenn jemand ein gute Idee hat kann er mir ja bitte was posten.
Cya, der Ice ;)
Also, ich teste gerade in unserer Firma 802.1x (mit EAP-TLS) als Auth.methode.
Alles funktioniert wunderbar und ich wäre super glücklich aber leider ist auch der neuste Schutz fürs Netzwerk stark verwundbar.
Das Problem ist, dass nach erfolgreicher Authentifizierung einer Maschine keine weiteren Schutzmechanismen fungieren.
Die Schwäche:Schließt man Angriffs- und Opfer PC an einen HUB und schaltet diesen vor den 802.1x Switch, so authentifziert der SW das Opfer und ab dieser Stelle kann auch der Angreifer ohne eigene 802.1x Authentifizierung ins Netz.
Grundlage für den Angriff:Der Angreifer benutzt die gleiche MAC und IP.
GEGENWEHR:Man deaktiviert im Switch das Autonegation und fordert somit immer full duplex an.Somit kann ein Angreifer zumindest kein HUB zum ANgriff benutzen.
Frage:Wie siehts mit Switches aus??????????
1.) die können Fullduplex und können so nicht aufgehalten werden.
2.) sie können port Mirroring und somit sind sie ein "indirektes HUB"
Wie kann man sie als Angriffswerkzeug ausschließen?
Billig Switches können wahrscjeinlich kein PortMirroring oder??????
das wäre gut.
Aber was ist mit den teueren Dingern?
Wenn jemand ein gute Idee hat kann er mir ja bitte was posten.
Cya, der Ice ;)
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 33795
Url: https://administrator.de/forum/angriffsmoeglichkeit-auf-802-1x-lan-33795.html
Ausgedruckt am: 23.12.2024 um 20:12 Uhr
4 Kommentare
Neuester Kommentar
Ich denke, solange es keine Liste gibt, wo alle MACs und IPs der jeweiligen Benutzer drauf stehen (ausser für Admin) dann ist die Wahrscheinlich recht gerig dass jemand die "richtige" Kombination findet.
Andererseits gibt es ja auch noch Richtlinien die man einstellen kann. Somit könnte man den jeweiligen Clients Rechte zuweisen die ein manipulieren des Systems nicht ermöglicht.
Oder sehe ich da gerade etwas falsch?
Andererseits gibt es ja auch noch Richtlinien die man einstellen kann. Somit könnte man den jeweiligen Clients Rechte zuweisen die ein manipulieren des Systems nicht ermöglicht.
Oder sehe ich da gerade etwas falsch?
Hallo!
Naja du hast recht, dass prinzipiell diese Angriffsmöglichkeit für 802.1x besteht, da die Authentifizierung immer pro port geht und es nicht auf eine weitere verteilung mittels hub gedacht ist. Jedoch kann dieses Problem prinzipiell sehr schnell gelöst werden, indem die Anzahl der MAC-Adressen pro Port auf genau eine beschränkt wird. Das ist natürlich nur mit einem managebaren Switch möglich. Jedoch ist es, speziell für Anwendungen wie 802.1x, nie (!!!!) empfehlenswert nichtmanagebare Switches zu verwenden. Die investition muss einem die Sicherheit in diesem Bereich wert sein.
mfg
Naja du hast recht, dass prinzipiell diese Angriffsmöglichkeit für 802.1x besteht, da die Authentifizierung immer pro port geht und es nicht auf eine weitere verteilung mittels hub gedacht ist. Jedoch kann dieses Problem prinzipiell sehr schnell gelöst werden, indem die Anzahl der MAC-Adressen pro Port auf genau eine beschränkt wird. Das ist natürlich nur mit einem managebaren Switch möglich. Jedoch ist es, speziell für Anwendungen wie 802.1x, nie (!!!!) empfehlenswert nichtmanagebare Switches zu verwenden. Die investition muss einem die Sicherheit in diesem Bereich wert sein.
mfg