Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Erkennung und -Abwehr

Angriffsmöglichkeit auf 802.1x LAN

Mitglied: icegod

icegod (Level 1) - Jetzt verbinden

07.06.2006, aktualisiert 08.01.2009, 6712 Aufrufe, 4 Kommentare

Hallo Leutz, die Frage wird ein bissl komplex.


Also, ich teste gerade in unserer Firma 802.1x (mit EAP-TLS) als Auth.methode.

Alles funktioniert wunderbar und ich wäre super glücklich aber leider ist auch der neuste Schutz fürs Netzwerk stark verwundbar.

Das Problem ist, dass nach erfolgreicher Authentifizierung einer Maschine keine weiteren Schutzmechanismen fungieren.

Die Schwäche:Schließt man Angriffs- und Opfer PC an einen HUB und schaltet diesen vor den 802.1x Switch, so authentifziert der SW das Opfer und ab dieser Stelle kann auch der Angreifer ohne eigene 802.1x Authentifizierung ins Netz.

Grundlage für den Angriff:Der Angreifer benutzt die gleiche MAC und IP.


GEGENWEHR:Man deaktiviert im Switch das Autonegation und fordert somit immer full duplex an.Somit kann ein Angreifer zumindest kein HUB zum ANgriff benutzen.

Frage:Wie siehts mit Switches aus??????????

1.) die können Fullduplex und können so nicht aufgehalten werden.
2.) sie können port Mirroring und somit sind sie ein "indirektes HUB"

Wie kann man sie als Angriffswerkzeug ausschließen?
Billig Switches können wahrscjeinlich kein PortMirroring oder??????
das wäre gut.
Aber was ist mit den teueren Dingern?

Wenn jemand ein gute Idee hat kann er mir ja bitte was posten.

Cya, der Ice ;)
Mitglied: Daenni
07.06.2006 um 18:52 Uhr
Ich denke, solange es keine Liste gibt, wo alle MACs und IPs der jeweiligen Benutzer drauf stehen (ausser für Admin) dann ist die Wahrscheinlich recht gerig dass jemand die "richtige" Kombination findet.

Andererseits gibt es ja auch noch Richtlinien die man einstellen kann. Somit könnte man den jeweiligen Clients Rechte zuweisen die ein manipulieren des Systems nicht ermöglicht.

Oder sehe ich da gerade etwas falsch?
Bitte warten ..
Mitglied: icegod
08.06.2006 um 09:43 Uhr
Danke für dein Interesse.
Ich werde mich noch konkreter ausdrücken, damit ihr es besser versteht.

das Angriffsszenario:Ein Gast oder ein böswilliger Mitarbeiter kommt in die Firma zum Besuch/Arbeit,egal. Nun könnten sie Notebooks mitbringen, was nicht so großartig auffallen würde bei einer Firma von über 1000 Leuten.
Is klar, dass man auf seinem Notebook Adminrechte hat.Wenn sie dann auch noch einen kleinen Switch dabei haben, steigt das Risiko 802.1x zu knacken enorm.

Weil, vorallem der Mitarbeiter kann ja seine IP und MAC am Arbeitsplatz abfragen und wenn er technisch versiert ist, sein Notebook genauso konfigurieren. Wenn man alles zuhause vorbereitet hat, ist ein Netzzugriff in weniger als 1MINUTE drin.

Der Administrator kann ja nun manuell ausschließen, dass ein potentieller ANgreifer HUBs (nur halb duplex) verwenden kann.
Aber ein Switch,der vollduplex spricht,kann nicht als Angriffsmedium ausgeschlossen werden.
Er würde den Opfer PC sich über 802.1x authentifizieren lassen und danach könnte AngriffsLaptop, weil er identische Netzparameter hat über diesen authentifzierten port auch ins NETZ.

cya,der ice
Bitte warten ..
Mitglied: icegod
08.06.2006 um 15:49 Uhr
OK, jetzt bin ich im A

Hab als Angriffsdevice 2 Switche getestet, einen managed und einen unmanaged Switch.
Und das ist hier wohl das erste Mal in der Geschichte der Technik,wo man behaupten kann:"Weniger ist mehr."
Der managed Switch nimmt den 802.1xRequest des Clients entgegen und leitet ihn nicht zum 802.1x Switch weiter und verwirft den Request. So sollte es auch sein!!!!
Der unmanaged alias "Hausfrauen" Switch besitzt keine Intelligenz und leitet den Request wie ein HUB einfach zum 802.1x Switch weiter.Dieser authentifiziert jetzt dummerweise den
Opfer PC und gibt somit auch dem Angreifer Zugriff aufs Netz.

Wenn mir jetzt einer weiterhelfen kann, um diesen MenInTheMiddleAngriff vielleicht auf irgendeine Weise abzuwehren, dann kann er bitte sein Wissen hier preisgeben;)

cya
Bitte warten ..
Mitglied: chrihech
02.04.2008 um 08:27 Uhr
Hallo!
Naja du hast recht, dass prinzipiell diese Angriffsmöglichkeit für 802.1x besteht, da die Authentifizierung immer pro port geht und es nicht auf eine weitere verteilung mittels hub gedacht ist. Jedoch kann dieses Problem prinzipiell sehr schnell gelöst werden, indem die Anzahl der MAC-Adressen pro Port auf genau eine beschränkt wird. Das ist natürlich nur mit einem managebaren Switch möglich. Jedoch ist es, speziell für Anwendungen wie 802.1x, nie (!!!!) empfehlenswert nichtmanagebare Switches zu verwenden. Die investition muss einem die Sicherheit in diesem Bereich wert sein.

mfg
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Accesspoint mit 802.1X zu Switch mit 802.1X
Frage von maartsLAN, WAN, Wireless12 Kommentare

Hallo, ich möchte folgende Konfiguration abbilden: Ziel: Ein Accesspoint mit WLAN 802.1X soll mit einem Switch über einen802.1X Port ...

LAN, WAN, Wireless
802.1X-Authentifizierung
gelöst Frage von Alex29LAN, WAN, Wireless25 Kommentare

Hallo in die Runde, ich bin Hobby-Admin und würde in meinem Netzwerk gern eine 802.1X-Authentifizierung einrichten. Dazu habe ich ...

Windows Netzwerk
802.1x Konfiguration
gelöst Frage von michaelb123Windows Netzwerk2 Kommentare

Hallo, ich habe auf meinem Rechner (win7) als Authentifizierung 802.1x eingerichtet. Es funktioniert auch gut, solange der Switch dementsprechend ...

LAN, WAN, Wireless
Access Point für 802.1X Authentifizierung
gelöst Frage von technikneulingLAN, WAN, Wireless6 Kommentare

Hallo, ich hoffe mir kann hier jemand helfen. Und zwar studiere ich momentan an einer Universität, und nutze in ...

Neue Wissensbeiträge
Router & Routing

PfSense als Addon auf QNAP

Information von magicteddy vor 10 StundenRouter & Routing2 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 17 StundenDatenschutz

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 21 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 3 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement22 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

Windows Server
Terminal Server 2016 erkennt Berechtigungen nicht
gelöst Frage von Thomas2Windows Server10 Kommentare

Hallo Administratoren, folgendes Problem stellt sich dar: Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt ...

Sonstige Systeme
7-zip: Programm frägt nach Passwort erst bei einzelnen Dateien
Frage von freeskierchrisSonstige Systeme7 Kommentare

Guten Morgen, ich habe ein Problem beim Arbeiten mit 7-zip: Wenn ich die einzelnen Dateien zu einem Archiv verpacke ...