我想知道是否可以防止MAC欺骗/802.1X绕过技术,如下所述:https : //www.defcon.org/images/defcon-19/dc-19-presentations/Duckwall/DEFCON-19-Duckwall-Bridge -太远了.pdf
我搜索了一段时间,我唯一能找到的就是MACSec。其他预防方法的问题在于,它们通常依赖于将用户的MAC地址与其IP地址相关联。之所以无法做到这一点,是因为本文中描述的攻击既欺骗了IP地址又欺骗了MAC地址。MACSec是许多供应商不支持的较新技术。
其他想法:
欢迎任何建议,谢谢!
经过几天的额外研究,我得出了一个结论。
无法直接防止802.1X旁路/ MAC欺骗,但是可以减轻其风险。
被动指纹技术可用于确定主机的操作系统是否已更改。如果这样做,则可以将主机从网络中排除。可能有NAC供应商实现了此功能(未经验证或研究)。
MACSec可用于减轻所有风险。攻击者可以捕获并欺骗MAC地址,但是由于攻击者不知道加密密钥,因此无法将任何数据包发送到计算机(好吧,让我们假设它不是,否则您会有更大的问题)。
IPSec也是如此。只要不破坏加密密钥,就可以使用它来减轻大多数风险。与MACSec相比,IPSec的缺点是IPSec不能抵御第二层攻击(例如ARP中毒)。
根据我的陈述,我在两台计算机和一台交换机的测试装置上尝试了这些东西。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句