Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Angriffsmöglichkeit auf 802.1x LAN

Mitglied: icegod

icegod (Level 1) - Jetzt verbinden

07.06.2006, aktualisiert 08.01.2009, 6772 Aufrufe, 4 Kommentare

Hallo Leutz, die Frage wird ein bissl komplex.


Also, ich teste gerade in unserer Firma 802.1x (mit EAP-TLS) als Auth.methode.

Alles funktioniert wunderbar und ich wäre super glücklich aber leider ist auch der neuste Schutz fürs Netzwerk stark verwundbar.

Das Problem ist, dass nach erfolgreicher Authentifizierung einer Maschine keine weiteren Schutzmechanismen fungieren.

Die Schwäche:Schließt man Angriffs- und Opfer PC an einen HUB und schaltet diesen vor den 802.1x Switch, so authentifziert der SW das Opfer und ab dieser Stelle kann auch der Angreifer ohne eigene 802.1x Authentifizierung ins Netz.

Grundlage für den Angriff:Der Angreifer benutzt die gleiche MAC und IP.


GEGENWEHR:Man deaktiviert im Switch das Autonegation und fordert somit immer full duplex an.Somit kann ein Angreifer zumindest kein HUB zum ANgriff benutzen.

Frage:Wie siehts mit Switches aus??????????

1.) die können Fullduplex und können so nicht aufgehalten werden.
2.) sie können port Mirroring und somit sind sie ein "indirektes HUB"

Wie kann man sie als Angriffswerkzeug ausschließen?
Billig Switches können wahrscjeinlich kein PortMirroring oder??????
das wäre gut.
Aber was ist mit den teueren Dingern?

Wenn jemand ein gute Idee hat kann er mir ja bitte was posten.

Cya, der Ice ;)
Mitglied: Daenni
07.06.2006 um 18:52 Uhr
Ich denke, solange es keine Liste gibt, wo alle MACs und IPs der jeweiligen Benutzer drauf stehen (ausser für Admin) dann ist die Wahrscheinlich recht gerig dass jemand die "richtige" Kombination findet.

Andererseits gibt es ja auch noch Richtlinien die man einstellen kann. Somit könnte man den jeweiligen Clients Rechte zuweisen die ein manipulieren des Systems nicht ermöglicht.

Oder sehe ich da gerade etwas falsch?
Bitte warten ..
Mitglied: icegod
08.06.2006 um 09:43 Uhr
Danke für dein Interesse.
Ich werde mich noch konkreter ausdrücken, damit ihr es besser versteht.

das Angriffsszenario:Ein Gast oder ein böswilliger Mitarbeiter kommt in die Firma zum Besuch/Arbeit,egal. Nun könnten sie Notebooks mitbringen, was nicht so großartig auffallen würde bei einer Firma von über 1000 Leuten.
Is klar, dass man auf seinem Notebook Adminrechte hat.Wenn sie dann auch noch einen kleinen Switch dabei haben, steigt das Risiko 802.1x zu knacken enorm.

Weil, vorallem der Mitarbeiter kann ja seine IP und MAC am Arbeitsplatz abfragen und wenn er technisch versiert ist, sein Notebook genauso konfigurieren. Wenn man alles zuhause vorbereitet hat, ist ein Netzzugriff in weniger als 1MINUTE drin.

Der Administrator kann ja nun manuell ausschließen, dass ein potentieller ANgreifer HUBs (nur halb duplex) verwenden kann.
Aber ein Switch,der vollduplex spricht,kann nicht als Angriffsmedium ausgeschlossen werden.
Er würde den Opfer PC sich über 802.1x authentifizieren lassen und danach könnte AngriffsLaptop, weil er identische Netzparameter hat über diesen authentifzierten port auch ins NETZ.

cya,der ice
Bitte warten ..
Mitglied: icegod
08.06.2006 um 15:49 Uhr
OK, jetzt bin ich im A

Hab als Angriffsdevice 2 Switche getestet, einen managed und einen unmanaged Switch.
Und das ist hier wohl das erste Mal in der Geschichte der Technik,wo man behaupten kann:"Weniger ist mehr."
Der managed Switch nimmt den 802.1xRequest des Clients entgegen und leitet ihn nicht zum 802.1x Switch weiter und verwirft den Request. So sollte es auch sein!!!!
Der unmanaged alias "Hausfrauen" Switch besitzt keine Intelligenz und leitet den Request wie ein HUB einfach zum 802.1x Switch weiter.Dieser authentifiziert jetzt dummerweise den
Opfer PC und gibt somit auch dem Angreifer Zugriff aufs Netz.

Wenn mir jetzt einer weiterhelfen kann, um diesen MenInTheMiddleAngriff vielleicht auf irgendeine Weise abzuwehren, dann kann er bitte sein Wissen hier preisgeben;)

cya
Bitte warten ..
Mitglied: chrihech
02.04.2008 um 08:27 Uhr
Hallo!
Naja du hast recht, dass prinzipiell diese Angriffsmöglichkeit für 802.1x besteht, da die Authentifizierung immer pro port geht und es nicht auf eine weitere verteilung mittels hub gedacht ist. Jedoch kann dieses Problem prinzipiell sehr schnell gelöst werden, indem die Anzahl der MAC-Adressen pro Port auf genau eine beschränkt wird. Das ist natürlich nur mit einem managebaren Switch möglich. Jedoch ist es, speziell für Anwendungen wie 802.1x, nie (!!!!) empfehlenswert nichtmanagebare Switches zu verwenden. Die investition muss einem die Sicherheit in diesem Bereich wert sein.

mfg
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Accesspoint mit 802.1X zu Switch mit 802.1X

Frage von maartsLAN, WAN, Wireless12 Kommentare

Hallo, ich möchte folgende Konfiguration abbilden: Ziel: Ein Accesspoint mit WLAN 802.1X soll mit einem Switch über einen802.1X Port ...

LAN, WAN, Wireless

802.1X-Authentifizierung

gelöst Frage von Alex29LAN, WAN, Wireless25 Kommentare

Hallo in die Runde, ich bin Hobby-Admin und würde in meinem Netzwerk gern eine 802.1X-Authentifizierung einrichten. Dazu habe ich ...

Windows Netzwerk

802.1x Konfiguration

gelöst Frage von michaelb123Windows Netzwerk2 Kommentare

Hallo, ich habe auf meinem Rechner (win7) als Authentifizierung 802.1x eingerichtet. Es funktioniert auch gut, solange der Switch dementsprechend ...

LAN, WAN, Wireless

Access Point für 802.1X Authentifizierung

gelöst Frage von technikneulingLAN, WAN, Wireless6 Kommentare

Hallo, ich hoffe mir kann hier jemand helfen. Und zwar studiere ich momentan an einer Universität, und nutze in ...

Neue Wissensbeiträge
Exchange Server
Exchange - Fehler mit 2018-07 Sicherheitsupdate
Tipp von ArnoNymous vor 9 StundenExchange Server3 Kommentare

Hallo, es gibt mal wieder Freude mit den MS-Updates. KB4338814 führt dazu, dass der Exchange keine Mails mehr zustellt. ...

Suche Projektpartner

PC Recycling Projekte mit Flüchtlingen und Kids suchen Materialspenden und Mitmacher!

Erfahrungsbericht von NettePCyclePiraten vor 1 TagSuche Projektpartner7 Kommentare

Hallöchen liebe Kollegen, ich betreue zwei PC-Gruppen im Raum Dortmund: "Ne#e PCycle Pir@ten" & "PCschr@uber Br@mbauer" Wir sind eine ...

iOS
IOS 12.2 beta und OpenVPN iPad und iPhone
Erfahrungsbericht von magicteddy vor 1 TagiOS

Moin, kleiner Hinweis an die experimentierfreudigen unter Euch: Bei der aktuellen beta gibt es ein Problem im Zusammenspiel zwischen ...

Vmware
VMware Tools 10.3 verfügbar
Information von sabines vor 1 TagVmware

Eine Sicherheitslücke wird mit den Tools der Version 10.3 geschlossen, die Tools müssen auf jeder VM aktualisiert werden. Näheres ...

Heiß diskutierte Inhalte
Windows Netzwerk
Netzwerk einrichten - wie mache ich es richtig?
Frage von gintonikWindows Netzwerk21 Kommentare

Hallo, ich bin neu hier und erhoffe mir hier ein paar Antworten für meine Umsetzung zu erhalten. Kurz zu ...

CPU, RAM, Mainboards
4x 2 GB DDR2 1066 gesucht
gelöst Frage von Windows10GegnerCPU, RAM, Mainboards16 Kommentare

Hallo, ich plane den RAM meines Rechners aufzurüsten. Motherboard: Gigabyte X48 DS5 Der FSB steht bei 259, daher soll ...

Microsoft Office
Druckdatum nur auf ausgedrucktem Dokument anzeigen
gelöst Frage von eichi18Microsoft Office16 Kommentare

Hallo zusammen Ich versuche in einem Word Dokument das Druckdatum nur auf dem eigentlichen Ausdruck auszugeben und am Bildschirm ...

Firewall
Pfsense - Package Manager - Unable to retrieve package information
Frage von nubyFirewall12 Kommentare

Hallo! Ich habe mit verschiedenen Versionen von Pfsense Probleme neue Packages herunterzuladen. Bei Pfsense 2.3.1 oder 2.3.5 heißt es: ...