我想知道是否有可能阻止此处所述的 MAC 欺骗/802.1X 旁路技术:https ://www.defcon.org/images/defcon-19/dc-19-presentations/Duckwall/DEFCON-19-Duckwall-Bridge -Too-Far.pdf
我已经搜索了一段时间,唯一能找到的是 MACSec。其他预防方法的问题在于它们通常依赖于将用户的 MAC 地址与其 IP 地址相关联。这是不可能做到的,因为文章中描述的攻击同时欺骗了 IP 和 MAC 地址。MACSec 是一种不受许多供应商支持的新技术。
其他想法:
- IPSec 或 VPN 会帮助解决这个问题吗?
- 用户需要物理访问网络才能使攻击生效
- 也许一些设备指纹可以防止这种情况发生
欢迎任何建议,谢谢!
经过几天的额外研究,我得出了一个结论。
无法直接阻止 802.1X 绕过/MAC 欺骗,但是可以降低其风险。
被动指纹技术可用于确定主机的操作系统是否已更改。当它这样做时,主机可以从网络中排除。可能有实现此功能的 NAC 供应商(未经验证或研究)。
MACSec 可用于减轻所有风险。攻击者将能够捕获 MAC 地址并欺骗它们,但是由于攻击者不知道加密密钥,因此无法将数据包发送到机器(好吧,假设不知道,否则你会遇到更大的问题)。
IPSec 也是如此。只要加密密钥未被泄露,它就可用于减轻大部分风险。与 MACSec 相比,IPSec 的缺点是 IPSec 不能防止第二层攻击(例如 ARP 中毒)。
基于我在两台计算机和一个交换机的测试设置上尝试这些东西的陈述。