802.1X 绕过/MAC 欺骗预防

802.1X 绕过/MAC 欺骗预防

我想知道是否可以防止 MAC 欺骗/ 802.1X 绕过技术,如下所述:https://www.defcon.org/images/defcon-19/dc-19-presentations/Duckwall/DEFCON-19-Duckwall-Bridge-Too-Far.pdf

我搜索了一段时间,唯一能找到的就是 MACSec。其他预防方法的问题在于,它们通常依赖于将用户的 MAC 地址与 IP 地址关联起来。这无法实现,因为本文描述的攻击会同时伪造 IP 和 MAC 地址。MACSec 是一种较新的技术,许多供应商都不支持。

其他想法:

  • IPSec 或 VPN 能解决这个问题吗?
  • 用户需要物理访问网络才能发起攻击
  • 也许某些设备指纹识别可以防止这种情况发生

欢迎任何建议,谢谢!

答案1

经过几天的额外研究,我得出了一个结论。

802.1X 绕过/MAC 欺骗无法直接预防,但其风险可以减轻。

被动指纹识别技术可用于确定主机的操作系统是否已更改。如果已更改,则可以将主机排除在网络之外。可能有 NAC 供应商实施了此操作(未经验证或研究)。

MACSec 可用于降低所有风险。攻击者可以捕获 MAC 地址并进行欺骗,但由于攻击者不知道加密密钥,因此无法向机器发送任何数据包(好吧,我们假设不知道,否则您将面临更大的问题)。

IPSec 也是如此。只要加密密钥没有被泄露,它就可以用来减轻大部分风险。与 MACSec 相比,IPSec 的缺点是 IPSec 不能防御第二层攻击(例如 ARP 中毒)。

这些陈述基于我在使用两台计算机和一个交换机的测试设置上尝试这些内容。

相关内容