Permitir o denegar el acceso a una red según el hardware del cliente [duplicado]

Navega tus respuestas
1

Tenemos que construir un producto que tendrá una red. Los usuarios podrán conectarse a esta red descargando un cliente. Sin embargo, antes de permitirles acceder a la red, queremos comprobar si su hardware, por ejemplo, admite ciertas características.

Pensé que al enviar a nuestro servidor el resultado de una prueba, que busca estas características de hardware, y su hash, ambos cifrados, podría ser suficiente. Sin embargo, temo que este resultado se pueda "inyectar" y, por lo tanto, nos engañaríamos al pensar que él / ella tiene el hardware correcto.

En la misma longitud de onda, es posible que desee verificar que el cliente no haya sido manipulado, utilizando, por ejemplo, un algoritmo de hash. Creo que nos enfrentamos a un problema similar que en el escenario de comprobación de hardware.

    
pregunta eversor 01.07.2013 - 14:22
fuente

2 respuestas

3

Entonces, en términos de las compañías de juego que bloquean software ilegal, como @lucaskauffman y @terrychia mencionan en los comentarios, esto lo hace normalmente la compañía que emite las claves de licencia para cada usuario y luego realiza una comprobación en línea durante la instalación / operación. Se utiliza en un solo lugar y es una clave válida.

Si está considerando restringir el acceso a un sistema basado en las características del hardware o quizás el software / la configuración instalada, suene más como un trabajo para sistemas de estilo de Control de acceso a la red (NAC).

Por lo general, funcionan mediante la implementación de un agente en cada cliente, que luego ejecuta una serie de comprobaciones que devuelven el resultado al hardware de la red que luego solo permite el acceso a la red si el resultado es el esperado.

Una gran advertencia con este tipo de sistema es que un atacante determinado probablemente podrá evitarlo. El adagio de seguridad es que una vez que el atacante tiene el control del hardware (en este caso, el cliente), por lo general, puede omitir los controles implementados.

No quiere decir que no sea un buen control, sino que solo es efectivo en algunas situaciones y en contra de algunas clases de atacantes.

    
respondido por el Rоry McCune 01.07.2013 - 15:28
fuente
1

Hay una regla bastante buena a tener en cuenta aquí: -

  

El uso exclusivo de la validación del lado del cliente nunca funciona.    enlace

Por lo tanto, si solo solicita un software basado en un cliente para verificar la autenticidad de los hosts, nunca funcionará (con o sin elementos como controles de hash). Podemos discutir eso en comentarios o en la sala de chat. ;)

Por lo tanto, tenemos más información sobre los conceptos en los que la autenticación se maneja en un servidor remoto que se considera seguro contra el atacante.

Lo siguiente son las soluciones relacionadas con el Control de acceso a la red (NAC) que son buenas para la mayoría de las aplicaciones, pero como casi todo es seguridad, no puede darle una solución de un solo paso. Tienen la ventaja de que a menudo no requieren instalaciones de software del lado del cliente. Pruebe PacketFence: enlace

La mayoría de las soluciones en las que el software puede instalarse en la computadora de un cliente implica proporcionar a los usuarios credenciales de acceso únicas que luego se verifican para verificar su integridad en el servidor. El uso simultáneo de un conjunto de credenciales no está permitido y se detecta a través de dos sesiones simultáneas con el mismo ID de usuario en el módulo de administración de la sesión.

Esto funciona bien a menos que desee que las credenciales de acceso de los usuarios estén vinculadas a una PC. En ese caso, no hay una solución definitiva que yo sepa. Los administradores confían en cosas como que el usuario no tiene el know-how para clonar la imagen del sistema operativo o para robar y luego falsificar el MAC.

Mediante la implementación de múltiples controles de este tipo y el mantenimiento de registros junto con eso, los alentadores potencialmente intrépidos pueden ser capturados como la forma de evitar el sistema.

    
respondido por el Rohan Durve 01.07.2013 - 15:48
fuente

Lea otras preguntas en las etiquetas

¿Cómo debo diagnosticar una computadora portátil Macintosh con OS X Lion 10.7.5 que se inicia automáticamente a las 12:00:09 en punto cada noche? ¿Cuáles son los beneficios e inconvenientes de enviar por correo electrónico a un usuario un token / enlace de inicio de sesión?