Supongo que puedo configurar la mayoría de los enrutadores para que solo asignen direcciones IP a direcciones MAC específicas, como es posible con los enrutadores inalámbricos.
Sin embargo, ¿qué sucede si una computadora está conectada a través de Ethernet y no solicita una dirección IP? ¿Qué pueden sacar de la red con una tarjeta de red estándar?
¿Cómo puedo evitar que alguien elimine los datos de una línea Ethernet? p.ej. ¿usaría IPSec para eso?
802.1x-2010 proporcionará autenticación al conmutador de red y cifrará el tráfico intercambiado. Las especificaciones 802.1x anteriores no cifran el tráfico.
IPsec puede ser una solución o capa útil sobre 802.1x anterior, pero el aumento en el trabajo de configuración para permitir que solo los clientes deseados sea notable.
Sin embargo, ¿qué sucede si una computadora está conectada a través de Ethernet y no solicita una dirección IP? ¿Qué pueden sacar de la red con una tarjeta de red estándar?
Creo que estás preguntando si es posible, como ocurre en una red inalámbrica, conectarse a una red cableada y detectar paquetes al igual que los gustos de aircrack permiten el tráfico inalámbrico en modo promiscuo.
La respuesta es: no en la misma medida si se cambia la red Ethernet. Específicamente, para garantizar que cada cliente reciba sus paquetes inalámbricos, los enrutadores inalámbricos por naturaleza tienen que usar antenas omnidireccionales (bueno, en realidad, puede obtener antenas direccionales para "puentes inalámbricos" entre redes) y transmisión. Efectivamente, su hardware inalámbrico luego ignora los paquetes que no están dirigidos a él; sin embargo, la configuración del modo promiscuo disponible en algunas tarjetas inalámbricas le permite suprimir esta funcionalidad. En cuyo caso puede ver todas las conexiones de red, incluso las transmisiones de unidifusión supuestas.
Lo mismo no se aplica a Ethernet. Los enrutadores / conmutadores no tienen necesidad de transmitir información de la misma manera, ya que deberían ser capaces de enrutar el tráfico a través del cable apropiado. El equivalente inalámbrico sería si enviaran el paquete por cada cable conectado y dejaran que los adaptadores de Ethernet filtraran los paquetes redundantes (lo que también puede suceder, pero no debería).
La gran excepción a esta regla es el diseño de aplicaciones y servicios que se ejecutan sobre Ethernet. Muchos requieren el uso de la funcionalidad de difusión o multidifusión y, por lo tanto, solicitarán que los paquetes se envíen a todos los clientes del grupo relevante (ya sea el grupo mcast o la subred completa). Cualquier persona que se conecte a una red cableada recibirá todos los paquetes de transmisión por diseño.
Esto sucede mucho más de lo que cree: cualquier servicio que implique compartir descubrimiento tiende a hacer esto. El protocolo ARP también hace esto: los ejemplos comunes que he visto incluyen el Reproductor de Windows Media / iTunes enviando mensajes de difusión en busca de dispositivos con los que hablar. Compartir archivos de Windows también hace anuncios de disponibilidad de estaciones de trabajo. Por lo tanto, esto proporciona información sobre la configuración y la ubicación de los hosts en la red, lo que puede ser un problema.
Resumen: en una red conmutada, solo deberían poder evadir el tráfico de difusión y cualquier tráfico de multidifusión dirigido al host en el que se encuentren.
La wireshark page for ethernet analiza esto con fantásticas cantidades de detalles, con bonitos diagramas.
En cuanto a las soluciones, IPSec ayudará enormemente. La división en subredes y el enrutamiento también lo ayudarán y usted puede hacer esto en subredes de rangos de IP privados tanto como lo desee. En esencia, cada subred tiene su propia dirección de transmisión, por lo tanto, si usa el enrutamiento en lugar del puente de Ethernet, no recibirá mensajes de transmisión a excepción de su subred.
¿Puede un atacante espiar los datos de Ethernet, si pueden conectarse a él? Sí. Un atacante que está conectado físicamente a su red Ethernet probablemente pueda escuchar todos los paquetes enviados a esa red de área local .
Podría pensar que Ethernet conmutada podría impedir eso, pero de hecho, en muchos / la mayoría de los conmutadores Ethernet, no lo hace. Un atacante puede usar inundación de MAC para fuerza el cambio a un modo degradado donde envía una copia de todos los paquetes al atacante , lo que permite que el atacante escuche a escondidas todo el tráfico enviado en esa red Ethernet de área local. De manera similar, suplantación ARP puede permitir que un atacante provoque que algunos paquetes se enruten a él. No se sabe que todos los enrutadores sean vulnerables, pero estos ataques pueden ser bastante sutiles, y no estoy seguro de que la comunidad haya explorado completamente el espacio de posibles ataques en este sentido. Por lo tanto, le recomiendo que asuma de manera conservadora que este ataque es posible.
En otras palabras, te recomiendo que asumas que cualquier persona que pueda conectarse a tu red Ethernet probablemente pueda escuchar todos los paquetes enviados en esa red de área local.
Estos ataques no requieren una tarjeta de interfaz de red especial. Cualquier tarjeta Ethernet es suficiente. El atacante solo necesita ejecutar un programa de detección de paquetes, que establece la tarjeta Ethernet en modo promiscuo y le pide que muestre todos los paquetes Ethernet que son visibles para esa tarjeta Ethernet.
¿Cómo puede defenderse de esto? La defensa más sólida es utilizar una criptografía sólida para cifrar todas las comunicaciones y asegurarse de que solo las personas autorizadas y de confianza reciban las claves de cifrado. Usar IPSec para cifrar todo el tráfico sería suficiente. Lo mismo haría cualquier otro VPN o software de cifrado de capa de enlace. El principal inconveniente es que estas soluciones pueden requerir una configuración considerable y, por lo tanto, su uso es torpe.
Otra defensa es hacer todo lo posible para garantizar que las personas que no son de confianza no puedan conectarse a su red Ethernet. Por ejemplo, si desea exponer los puertos Ethernet en espacios públicos, puede crear una red de invitados separada (con cortafuegos desactivada desde su red corporativa interna) y asegurarse de que todas las tomas de Ethernet en espacios públicos estén conectadas a la red de invitados. Debe complementar esto con seguridad física, para asegurarse de que las personas no autorizadas no tengan acceso a su área de trabajo, a los armarios de la red, a las salas de servidores, etc.
También puede desconectar las redes internas de los cortafuegos, siguiendo el principio de "privilegio mínimo". Por ejemplo, si la nómina tiene información particularmente confidencial en sus sistemas y redes locales de Ethernet, entonces puede organizar que su red de área local de Ethernet se limite a su edificio o sus oficinas, de modo que otros empleados que no forman parte de la nómina El departamento no tiene conexión a esa red Ethernet de área local.
Una tercera defensa es alentar a los usuarios a utilizar el cifrado para todas las comunicaciones confidenciales. Esto proporciona un respaldo en caso de que un atacante obtenga acceso a su red Ethernet interna. Por ejemplo, puede asegurarse de que los servicios web internos confidenciales estén configurados para usar SSL en todo el sitio, y que otros servicios internos confidenciales estén configurados para usar cifrado. Puede prohibir las contraseñas de texto simple en su red interna (por ejemplo, requiere SSH y SFTP en lugar de telnet y FTP). Puede alentar a los usuarios a utilizar HTTPS Everywhere para proteger su tráfico web, donde los servidores web lo admitan.
Una cuarta defensa es habilitar las funciones en sus conmutadores Ethernet para defenderse contra tales ataques. Puede usar la autenticación de cliente (por ejemplo, 802.1X) para asegurarse de que solo los clientes autorizados puedan conectarse a la red Ethernet. (El filtrado de direcciones MAC es una versión pobre para este hombre, que proporciona solo un bajo nivel de seguridad). También puede habilitar la "seguridad de puerto" y funciones de seguridad similares que están diseñadas específicamente para evitar la inundación de MAC y los ataques de suplantación ARP.
Estaba a punto de escribir una larga respuesta cuando recordé que tenía un largo artículo que explicaba a fondo la detección, incluso cuando estaba conectado directamente a su cableado Ethernet. En general, un gran artículo para principiantes con algunas cosas buenas. Si tienes alguna otra pregunta, simplemente dispárales de esta manera.
Bienvenido a security stackexchange.
Otro enfoque posible es aislar segmentos (switches LAN) vulnerables a accesos no autorizados con el puente de filtrado de Ethernet. En el caso más simple, tiene un segmento Ethernet de confianza aislado de uno no confiable que utiliza el filtro de puente Ethernet. Las reglas de filtrado exactas pueden ser específicas para su entorno y sus requisitos. No sé si hay soluciones listas para usar en el mercado, pero usted construye su propio puente de filtrado de Ethernet utilizando una computadora con dos adaptadores de Ethernet y una pieza de software. Para los puentes de Windows, puede consultar aquí: enlace
Resolvimos este problema con un dispositivo: NetClarity .
Utiliza VLANS asignados dinámicamente y reconfigura nuestros puertos de switch cuando se descubre un nuevo dispositivo. Puede configurarlo para redirigir el tráfico a cualquier lugar, pero como tenemos usuarios externos que necesitan acceso a Internet, simplemente los derivamos a una conexión externa.
Descubre nuevos dispositivos en menos de un segundo y nos funciona muy bien. También tiene otras cosas de valor agregado como un motor Snort reducido, pero lo importante para nosotros fue la reconfiguración automática del interruptor.
Pregúntate a ti mismo, ¿qué estás tratando de proteger?
¿Qué hardware está en tu red ahora para hacerlo?
¿Qué tipo de acceso estás dispuesto a permitir?
¿Cuánto puede gastar de manera realista (tiempo Y dinero) para
lograr el nivel deseado de control de acceso a
Los recursos críticos.
Los artículos anteriores son un punto de partida sólido pero no
Olvídate de los informes en el sitio web de Cisco, Microsoft, etc.
Espero que ayude,
iceberg
Lea otras preguntas en las etiquetas network ipsec dhcp mac-spoofing