Eu queria saber se é possível evitar técnicas de falsificação de MAC / desvio de 802.1X conforme descrito aqui: https://www.defcon.org/images/defcon-19/dc-19-presentations/Duckwall/DEFCON-19-Duckwall-Bridge -Too-Far.pdf
Eu procurei por um tempo agora, e a única coisa que consigo encontrar é o MACSec. O problema com outros métodos de prevenção é que eles geralmente dependem da associação do endereço MAC do usuário ao seu endereço IP. Isso não pode ser feito porque o ataque descrito no artigo falsifica os endereços IP e MAC. MACSec é uma técnica mais recente não suportada por muitos fornecedores.
Outros pensamentos:
- IPSec ou VPN ajudariam contra isso?
- Os usuários precisam de acesso físico à rede para que o ataque funcione
- Talvez alguma impressão digital do dispositivo funcione para evitar isso
Qualquer sugestão é bem vinda, obrigado!
Depois de vários dias de pesquisa adicional, cheguei a uma conclusão.
O desvio de 802.1X/falsificação de MAC não pode ser evitado diretamente, seus riscos, no entanto, podem ser mitigados.
Técnicas passivas de impressão digital podem ser usadas para determinar se o sistema operacional do host mudou. Quando isso acontece, o host pode ser excluído da rede. Provavelmente existem fornecedores NAC que implementam isso (não verificado nem pesquisado).
O MACSec pode ser usado para mitigar todos os riscos. Um invasor seria capaz de capturar endereços MAC e falsificá-los, mas nenhum pacote pode ser enviado às máquinas, pois a chave de criptografia não é conhecida pelo invasor (bem, vamos supor que não, caso contrário, você terá um problema maior).
O mesmo vale para IPSec. Ele pode ser usado para mitigar a maior parte do risco, desde que a chave de criptografia não seja comprometida. A desvantagem do IPSec em comparação com o MACSec é que o IPSec não protege contra ataques de camada dois (por exemplo, envenenamento por ARP).
Declarações baseadas em mim experimentando o material em uma configuração de teste com dois computadores e um switch.