Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Angriffsmöglichkeit auf 802.1x LAN

Frage Sicherheit Erkennung und -Abwehr

Mitglied: icegod

icegod (Level 1) - Jetzt verbinden

07.06.2006, aktualisiert 08.01.2009, 6487 Aufrufe, 4 Kommentare

Hallo Leutz, die Frage wird ein bissl komplex.


Also, ich teste gerade in unserer Firma 802.1x (mit EAP-TLS) als Auth.methode.

Alles funktioniert wunderbar und ich wäre super glücklich aber leider ist auch der neuste Schutz fürs Netzwerk stark verwundbar.

Das Problem ist, dass nach erfolgreicher Authentifizierung einer Maschine keine weiteren Schutzmechanismen fungieren.

Die Schwäche:Schließt man Angriffs- und Opfer PC an einen HUB und schaltet diesen vor den 802.1x Switch, so authentifziert der SW das Opfer und ab dieser Stelle kann auch der Angreifer ohne eigene 802.1x Authentifizierung ins Netz.

Grundlage für den Angriff:Der Angreifer benutzt die gleiche MAC und IP.


GEGENWEHR:Man deaktiviert im Switch das Autonegation und fordert somit immer full duplex an.Somit kann ein Angreifer zumindest kein HUB zum ANgriff benutzen.

Frage:Wie siehts mit Switches aus??????????

1.) die können Fullduplex und können so nicht aufgehalten werden.
2.) sie können port Mirroring und somit sind sie ein "indirektes HUB"

Wie kann man sie als Angriffswerkzeug ausschließen?
Billig Switches können wahrscjeinlich kein PortMirroring oder??????
das wäre gut.
Aber was ist mit den teueren Dingern?

Wenn jemand ein gute Idee hat kann er mir ja bitte was posten.

Cya, der Ice ;)
Mitglied: Daenni
07.06.2006 um 18:52 Uhr
Ich denke, solange es keine Liste gibt, wo alle MACs und IPs der jeweiligen Benutzer drauf stehen (ausser für Admin) dann ist die Wahrscheinlich recht gerig dass jemand die "richtige" Kombination findet.

Andererseits gibt es ja auch noch Richtlinien die man einstellen kann. Somit könnte man den jeweiligen Clients Rechte zuweisen die ein manipulieren des Systems nicht ermöglicht.

Oder sehe ich da gerade etwas falsch?
Bitte warten ..
Mitglied: icegod
08.06.2006 um 09:43 Uhr
Danke für dein Interesse.
Ich werde mich noch konkreter ausdrücken, damit ihr es besser versteht.

das Angriffsszenario:Ein Gast oder ein böswilliger Mitarbeiter kommt in die Firma zum Besuch/Arbeit,egal. Nun könnten sie Notebooks mitbringen, was nicht so großartig auffallen würde bei einer Firma von über 1000 Leuten.
Is klar, dass man auf seinem Notebook Adminrechte hat.Wenn sie dann auch noch einen kleinen Switch dabei haben, steigt das Risiko 802.1x zu knacken enorm.

Weil, vorallem der Mitarbeiter kann ja seine IP und MAC am Arbeitsplatz abfragen und wenn er technisch versiert ist, sein Notebook genauso konfigurieren. Wenn man alles zuhause vorbereitet hat, ist ein Netzzugriff in weniger als 1MINUTE drin.

Der Administrator kann ja nun manuell ausschließen, dass ein potentieller ANgreifer HUBs (nur halb duplex) verwenden kann.
Aber ein Switch,der vollduplex spricht,kann nicht als Angriffsmedium ausgeschlossen werden.
Er würde den Opfer PC sich über 802.1x authentifizieren lassen und danach könnte AngriffsLaptop, weil er identische Netzparameter hat über diesen authentifzierten port auch ins NETZ.

cya,der ice
Bitte warten ..
Mitglied: icegod
08.06.2006 um 15:49 Uhr
OK, jetzt bin ich im A

Hab als Angriffsdevice 2 Switche getestet, einen managed und einen unmanaged Switch.
Und das ist hier wohl das erste Mal in der Geschichte der Technik,wo man behaupten kann:"Weniger ist mehr."
Der managed Switch nimmt den 802.1xRequest des Clients entgegen und leitet ihn nicht zum 802.1x Switch weiter und verwirft den Request. So sollte es auch sein!!!!
Der unmanaged alias "Hausfrauen" Switch besitzt keine Intelligenz und leitet den Request wie ein HUB einfach zum 802.1x Switch weiter.Dieser authentifiziert jetzt dummerweise den
Opfer PC und gibt somit auch dem Angreifer Zugriff aufs Netz.

Wenn mir jetzt einer weiterhelfen kann, um diesen MenInTheMiddleAngriff vielleicht auf irgendeine Weise abzuwehren, dann kann er bitte sein Wissen hier preisgeben;)

cya
Bitte warten ..
Mitglied: chrihech
02.04.2008 um 08:27 Uhr
Hallo!
Naja du hast recht, dass prinzipiell diese Angriffsmöglichkeit für 802.1x besteht, da die Authentifizierung immer pro port geht und es nicht auf eine weitere verteilung mittels hub gedacht ist. Jedoch kann dieses Problem prinzipiell sehr schnell gelöst werden, indem die Anzahl der MAC-Adressen pro Port auf genau eine beschränkt wird. Das ist natürlich nur mit einem managebaren Switch möglich. Jedoch ist es, speziell für Anwendungen wie 802.1x, nie (!!!!) empfehlenswert nichtmanagebare Switches zu verwenden. Die investition muss einem die Sicherheit in diesem Bereich wert sein.

Mit freundlichen Grüßen
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
LAN, WAN, Wireless
802.1x funktioniert nur an einem oder zwei Accesspoints (3)

Frage von westberliner zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
gelöst 802.1x Konfiguration (2)

Frage von michaelb123 zum Thema Windows Netzwerk ...

Windows Netzwerk
gelöst RADIUS 802.1x Geräte Authentifizierung (3)

Frage von Cloudy zum Thema Windows Netzwerk ...

LAN, WAN, Wireless
gelöst 802.1x Authentifizierung HP Switch und MS NPS (7)

Frage von NoobOne zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...