Mitigación de bypass 802.1x mediante puente transparente

7

La charla DEFCON talk " A Bridge Too Far " detalla un medio para evitar los controles de acceso a la red cableada 802.1x mediante la creación de un puente transparente entre una máquina genuina y la red. Una vez que se realiza la autenticación, el puente transparente es libre de manipular e inyectar tráfico.

¿Existen controles que puedan implementarse para mitigar este riesgo?

security ieee-802.1x Cybergibbons
fuente
1
Además de las respuestas a continuación, vea esta pregunta y sus respuestas.
Ron Maupin
Tenga en cuenta que esto es exactamente lo que hacen los usuarios de Uverse (fibra) para evitar el enrutador requerido de AT&T: clonar el MAC y proxy todas las cosas de eap.
Ricky Beam
¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar y aceptar su propia respuesta.
Ron Maupin

Respuestas:

9

Francamente, no.

802.1X autentica el puerto y, siempre que esté autenticado, participa en la red. No se pueden detectar tramas insertadas o incluso modificadas por un dispositivo de red transparente.

802.1X ha tenido algunos vectores de ataque serios desde el principio y solo puede considerarse como un enfoque de "mejor que nada". Si desea una seguridad portuaria seria, necesitará 802.1AE, también conocido como MACsec.

Otro enfoque (gracias a Ricky) es renunciar completamente a la seguridad a nivel de puerto y en su lugar confiar en las conexiones VPN que construye en la parte superior de su red física, básicamente moviendo la seguridad en la pila. Si bien esto puede hacerse muy seguro y retrocompatible con casi cualquier infraestructura, puede introducir cuellos de botella en los enrutadores VPN y sus enlaces.

Zac67
fuente
3
Exactamente por qué se creó MACSec. Si no puede hacer macsec, use su propia VPN por host y ACL para evitar comunicaciones con cualquier otra cosa.
Ricky Beam
5

¡Bienvenido a Network Engineering! Es posible que desee preguntar esto en Information Security SE, pero aquí hay algunas ideas:

  1. Si uno tiene acceso físico a la red, un atacante puede hacer muchas cosas. Atacar 802.1x es solo uno.
  2. La presentación enumera algunas técnicas de mitigación, pero todas se basan en un monitoreo cuidadoso del tráfico de la red, algo que rara vez se hace, excepto en las redes más seguras.
  3. Como es realmente un ataque físico, la mejor defensa es la seguridad física.
  4. Si 802.1x se usa correctamente, este ataque tiene un efecto mínimo. Sí, puede ocultar su cuadro de ataque detrás de la impresora y obtener acceso, pero la VLAN de la impresora debería tener acceso limitado de todos modos (sin iniciar conexiones). Cualquier intento de comenzar a sondear debería generar alertas.
  5. 802.1ae podría ser otra forma de detenerlo, pero no es común.
  6. Finalmente, creo que el riesgo está exagerado. Los ataques físicos son difíciles, caros y muy riesgosos. Por eso son muy raros.
Ron Trunk
fuente
3
Para el número 6, en realidad vi un kit hace un par de años con un Raspberry PI, o similar, que ya tenía el código cargado para realizar el ataque exacto detallado en el artículo, permitiendo que alguien lo instale en línea detrás de un host, y permitiría que alguien use Wi-Fi para conectarse a la red. Les señalé esto a nuestros amigos de Seguridad, y se asustaron un poco, pero decidieron que era demasiado difícil para un hacker casual, a pesar de que simplemente estaba conectando un dispositivo en línea.
Ron Maupin
Vemos ataques físicos contra redes llevados a cabo con suficiente frecuencia como para preocuparse por ellos (bajo condiciones específicas) arstechnica.com/tech-policy/2014/04/…
Cybergibbons
2
Sí, también he visto dispositivos como rPI u otros. Los ataques suceden, pero creo que son raros en comparación con los ataques remotos. Y como muestra el artículo vinculado por @Cybergibbons, es más probable que los atacantes sean atrapados.
Ron Trunk
1
802.1X tenía la intención de atacar contra ataques físicos; no lo hace a un nivel bastante bajo.
Zac67
En alguna conferencia, vi una charla sobre un dispositivo que lleva esto un paso más allá: corta sin problemas un cable de Ethernet existente. Agregue a eso la falta de cuidado de enrutar los cables Ethernet a través de los baños públicos en algunas agencias gubernamentales y tendrá un verdadero problema de seguridad para aquellos que están decididos a atraparlo.
PlasmaHH