Identifique hosts maliciosos en nuestra red enviando credenciales de dominio válidas

5

Actualmente estamos en la lista blanca de los hosts que son propiedad de nuestra empresa en nuestros conmutadores Cisco para evitar los hosts privados en nuestra red. Esto funciona bastante bien, pero alguien todavía puede falsificar la dirección MAC de su host.

Ahora tuvimos la idea de crear un usuario de dominio sin derechos, pero para iniciar sesión en un host a través de la red. La idea detrás de esto es identificar los hosts que no pueden verificar estas credenciales porque no son parte del dominio.

Cada host que no puede verificar las credenciales o no está ejecutando los servicios necesarios es definitivamente un dispositivo no deseado. Esto se debe a que solo se refiere a la red de la estación de trabajo que está fuertemente regulada mediante el uso de políticas de grupo.

¿Es una buena idea o me estoy perdiendo algo?

// No estoy buscando una manera de prevenir un tipo específico de ataque, mi principal intención es la identificación de dispositivos maliciosos.

    
pregunta davidb 25.06.2016 - 12:25
fuente

2 respuestas

1

AFAIK Los switches Cisco basan sus decisiones de reenvío basadas en MAC; independientemente de qué autenticación ocurrió primero.

Puede usar la seguridad del puerto para imponer la autenticación MAC, pero como se comentó, es fácil de falsificar.

Una mejor opción es 802.1X (Cisco se refiere a él como dot1x); por lo que, a medida que aparece un puerto, solicita al cliente que se autentique, realiza una vuelta atrás que se autentica a un servidor de radio / TACACS y, según la respuesta, permite el reenvío de tráfico en ese puerto (en la VLAN definida por el servidor)

Esto también se puede usar para NAC: si un host legítimo no pasa las comprobaciones de estado (actualizaciones de AV / Windows actualizadas) se puede poner en cuarentena en una VLAN de remediación para actualizarse antes de poder unirse a la red principal.

Sin embargo, en última instancia, si un host ha pasado la autenticación dot1X, todas las tramas obtenidas en ese puerto, con la dirección MAC esperada se reenviarán sin más autenticación.

Una opción mucho más resistente (que también cubre el tráfico remoto de Layer3) es IPSEC; Mi experiencia principal con esto es Windows, aunque Linux es capaz (¿Racoon? - aunque más complejo de administrar) puede aplicar políticas de tráfico IPSEC, por lo que los paquetes IP individuales tienen un encabezado de autenticación para probar la identidad del remitente (computadora, usuario o ambos); y si el receptor no puede validar esa información, el paquete se descarta incluso antes de pasar la pila a la aplicación (posiblemente vulnerable). Por definición, causa problemas de interoperabilidad con dispositivos externos o no de dominio (por ejemplo, impresoras), que pueden resolverse con confianzas de dominio (dada una política IPSEC similar) o certificados de dispositivo (de cadena confiable)

Puede configurar la política IPSEC no solo para autenticar conexiones, sino también para cifrar los datos; lo que hace que la mayoría de los ataques MitM sean inútiles.

Puede identificar intentos de conexiones no seguras IPSEC (o aquellas que fallan en la autenticación) en los registros de eventos.

    
respondido por el CGretski 25.11.2017 - 00:24
fuente
-2

Si define MAC pegajoso en sus switches y / o enrutadores Layer3, junto con la desactivación de la duplicación de puertos / SPAN, está listo para comenzar.

Capa 2 del Modelo OSI : los dispositivos como los interruptores funcionan en los relés de marco. Los interruptores envían los marcos a un dispositivo en particular (a través de la dirección MAC), siempre que port mirroring / SPAN está deshabilitado. Los concentradores mudos envían todos los marcos a cada dispositivo conectado.

Sticky MAC evita los ataques de suplantación de mac (a la ettercap).

Imagina uno de los dos escenarios:

  1. Evil hax0r que quiere interceptar sus correos electrónicos en la LAN. Conecta subrepticiamente un cat5 a su conmutador mientras usa ettercap o alguna otra herramienta para hacerse pasar por su dirección MAC y cumplir con los objetivos malvados
  2. Administrador de red / servidor / sys que desconecta un dispositivo y luego lo vuelve a conectar.

En ambos escenarios, el conmutador ya ve los MAC que aceptará en su tabla ARP. Se niega a enviar tráfico al nuevo dispositivo y registra el evento.

Para rastrear la ofensa: Si alguien suplantó la Mac de un dispositivo en su LAN, se activará la Mac pegajosa y se creará una entrada de registro. La entrada del registro debe contener el datetime, el mac y el switchport involucrados. Depende de usted hacer una referencia cruzada al switchport con un diagrama de red. Por lo tanto, si sucedió en el puerto 47 del switch2, debe consultar el diagrama para averiguar si la Sala de conferencias A es la única sala con acceso a ese puerto de conmutación. A partir de ahí, una investigación regular (por ejemplo, testimonio de testigos oculares, circuito cerrado de televisión, etc.) para averiguar quién estaba en la sala de conferencias A en ese momento es una necesidad.

    
respondido por el grepNstepN 27.08.2016 - 00:23
fuente

Lea otras preguntas en las etiquetas