Detekce darebáckých zařízení jako LAN Turtle

M.

Re:Detekce darebáckých zařízení jako LAN Turtle
« Odpověď #15 kdy: 15. 05. 2018, 13:42:20 »
802.1x ověří konkrétní MAC adresu. Když přidám hub a připojím další stroj, tak ten bude blokován, protože port s aktivním 802.1x nadále propouští jen komunikaci s ověřenou MAC. V závislosti na nastavení a schopnisti switche těch MAC může být na jendom portu vícero, ale každá se musí ověřit pomocí 802.1x, také jakékoliv shození/nahození portu vyvolá obvykle celou ověřovací sérii zbovu. A pokud je to kombinováno s dalšíma funkcemi, tak na ten port nepřesměřuje ani cizí provoz. Pokud ta sonda umí převzít i MAC adresu za ním připojeného počítače a IP adresu a vystupovat pod ní, tak pak fungovat bude, pokud to 802.1x bude vhodně propouštět a přenechávat na příslušném počítači, protože 802.1x se obvykle vyvolává i periodicky třeba v hodinových intervalech...


kkt1

  • *****
  • 796
    • Zobrazit profil
Re:Detekce darebáckých zařízení jako LAN Turtle
« Odpověď #16 kdy: 15. 05. 2018, 15:50:01 »
802.1x ověří konkrétní MAC adresu. Když přidám hub a připojím další stroj, tak ten bude blokován, protože port s aktivním 802.1x nadále propouští jen komunikaci s ověřenou MAC. V závislosti na nastavení a schopnisti switche těch MAC může být na jendom portu vícero, ale každá se musí ověřit pomocí 802.1x, také jakékoliv shození/nahození portu vyvolá obvykle celou ověřovací sérii zbovu. A pokud je to kombinováno s dalšíma funkcemi, tak na ten port nepřesměřuje ani cizí provoz. Pokud ta sonda umí převzít i MAC adresu za ním připojeného počítače a IP adresu a vystupovat pod ní, tak pak fungovat bude, pokud to 802.1x bude vhodně propouštět a přenechávat na příslušném počítači, protože 802.1x se obvykle vyvolává i periodicky třeba v hodinových intervalech...
Co vim, tak typicky switch overi zarizeni v siti a povoli dany ethernetovy port. Zadnou inspekci na danem portu to dale nedela. Pokud vim. Jednou za cas muze delat overovani klienta jako kdyby se znovu pripojil, v praxi se to obvykle pouziva.
Vychazel jsem z informaci sice starych ale dle mych znalosti porad aktualnich.
In the summer of 2005, Microsoft's Steve Riley posted an article detailing a serious vulnerability in the 802.1X protocol, involving a man in the middle attack. In summary, the flaw stems from the fact that 802.1X authenticates only at the beginning of the connection, but after that authentication, it's possible for an attacker to use the authenticated port if he has the ability to physically insert himself (perhaps using a workgroup hub) between the authenticated computer and the port. Riley suggests that for wired networks the use of IPsec or a combination of IPsec and 802.1X would be more secure.

The 802.1X-2010 specification, which began as 802.1af, addresses vulnerabilities in previous 802.1X specifications, by using MACSec IEEE 802.1AE to encrypt data between logical ports (running on top of a physical port) and IEEE 802.1AR (Secure Device Identity / DevID) authenticated devices.

Jinak vice info treba https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_8021x/configuration/xe-3se/3850/sec-user-8021x-xe-3se-3850-book/config-ieee-802x-pba.html#GUID-B1C1F75B-45CF-4CA3-A833-43D7C6986249

ZAJDAN

  • *****
  • 2 088
    • Zobrazit profil
    • E-mail
Re:Detekce darebáckých zařízení jako LAN Turtle
« Odpověď #17 kdy: 15. 05. 2018, 16:43:04 »
ono by se to v podstatě dalo řešit, že když mi na lokálním serveru beží oVPN, tak se do VPN připojit a zatunelovat se již na lokální síti
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.