Bagaimana saya bisa menghentikan penyusup yang menghubungkan ke stopkontak Ethernet untuk mendapatkan akses ke jaringan?

Apakah penyaringan alamat MAC merupakan opsi yang paling cocok untuk mencegah seseorang menghubungkan perangkat mereka sendiri ke jaringan dengan cara menghubungkannya ke soket dinding Ethernet? Bagaimana jika mereka mencabut perangkat dan mengkloning MAC-nya?

Pemfilteran alamat MAC itu sendiri tidak memberikan banyak perlindungan. Seperti yang Anda tunjukkan, alamat MAC dapat dikloning. Itu tidak berarti itu tidak bisa menjadi bagian dari strategi pertahanan keseluruhan, tetapi itu bisa menjadi banyak pekerjaan untuk pengembalian yang sangat sedikit.

Anda memerlukan kebijakan keamanan komprehensif yang dapat mencakup hal-hal seperti:

• Keterbatasan akses fisik
• 802.1X seperti yang disebutkan @robut, meskipun ini bisa rumit dan membutuhkan infrastruktur perangkat keras / perangkat lunak pendukung, sambil membuat frustasi pengguna yang sah
• Keamanan port pada sakelar dapat diatur agar hanya mengizinkan satu (atau jumlah terbatas) alamat MAC pada waktu tertentu, atau dalam periode waktu tertentu, untuk mencegah koneksi hub, sakelar, Titik Akses, dll., Termasuk port dinonaktifkan untuk jangka waktu tertentu jika pelanggaran terdeteksi (perlu diperhatikan untuk hal-hal seperti telepon VoIP di mana PC terhubung ke telepon karena telepon itu sendiri akan memiliki satu atau lebih alamat MAC)
• Anda juga dapat menerapkan kebijakan yang mengharuskan port switch apa pun yang saat ini tidak digunakan untuk dinonaktifkan (termasuk, mungkin, memastikan bahwa kabel jaringan yang tidak digunakan tidak terhubung silang di lemari data)

Seperti yang pernah dikatakan oleh teman tukang kunci saya, "Kunci hanya membuat orang jujur ​​jujur." Orang jahat akan selalu menemukan jalan; tugas Anda adalah membuatnya tidak sepadan dengan usaha mereka. Jika Anda memberikan lapisan perlindungan yang cukup, hanya orang jahat yang paling gigih yang akan menghabiskan waktu dan upaya.

Anda harus mempertimbangkan risiko dengan sumber daya (terutama waktu dan uang, tetapi kehilangan produktivitas juga) yang Anda bersedia untuk mengamankan jaringan Anda. Mungkin tidak masuk akal untuk menghabiskan ribuan dolar dan berjam-jam untuk melindungi sepeda obral yang Anda beli seharga $ 10. Anda perlu membuat rencana dan memutuskan berapa banyak risiko yang bisa Anda toleransi.

Gunakan VPN secara internal dan perlakukan bagian jaringan di luar area aman dengan cara yang sama seperti Anda memperlakukan internet.

Jawab pertanyaan Anda = Tidak.

Saya rasa tidak ada satu jawaban lengkap. Yang paling dekat adalah memiliki pertahanan secara mendalam.

Mulai seperti yang disarankan Ron Maupin karena membatasi akses Fisik. Kemudian minta 802.1x menggunakan EAP-TLS untuk memiliki otentikasi ke port.

Setelah itu Anda masih dapat memiliki firewall pada lapisan akses / ditribusi. Jika Anda berbicara lebih banyak tentang sistem web internal maka pastikan semua orang diotentikasi melalui proxy juga.

Tidak karena alamat MAC mudah dipalsukan. 802.1x adalah alat yang tepat untuk pekerjaan itu. Dengan 802.1x, salah satu metode koneksi bisa, ketika Anda terhubung (baik nirkabel atau kabel), Anda dikirim ke portal captive (alias halaman splash) melalui browser Anda di mana Anda dapat menerima ketentuan penggunaan, secara opsional memasukkan yang diperlukan kata sandi, dll.

Jika satu-satunya persyaratan Anda adalah hanya memblokir pengguna (penyusup), Anda cukup menulis beberapa baris skrip EEM.

Jika keadaan saat ini dari antarmuka naik, skrip akan mematikan antarmuka ini ketika turun.

Jika kondisi saat ini sedang down, skrip akan mematikan port ketika naik.

Kemudian, panggilan pengguna untuk memverifikasi identitasnya dan "tidak ditutup" diterapkan pada verifikasi dan permintaan.

Tidak ada cara untuk mencegah hal ini, tetapi ini bukan yang harus Anda khawatirkan. Yang perlu Anda khawatirkan adalah orang-orang memindai jaringan Anda, dengan sabar membangun pengetahuan tentang retakan di jaringan Anda.

Yang perlu Anda lakukan adalah mencegah eksploitasi, menggunakan kontrol akses yang sangat ketat, membawa pena tester, menemukan hal-hal yang salah konfigurasi, memahami jaringan Anda dengan sempurna, dan melatih orang-orang (tidak mengklik email yang dibuat dengan baik, tidak menjadi aneh situs web, berhati-hatilah dengan perangkat yang dapat dilepas, dll.).

Ini agak ortogonal dengan maksud OP, tetapi saya telah menemukan bahwa menjadi sangat terbatas pada port kabel sementara pada saat yang sama menciptakan dan membuka AP wifi tamu menghilangkan semua kecelakaan biasa (misalnya pengunjung yang masuk) dan pada saat yang sama membuat lingkungan perusahaan lebih ramah kepada pengunjung. Jadi, Anda mendapatkan dua manfaat untuk harga satu, atau, dengan kata lain, Anda dapat memberikan manfaat kepada manajemen Anda sambil mendapatkan manfaat keamanan sebagai efek samping.

Pengamatan saya yang lain adalah bahwa para penyerang sangat cerdas, dan perhitungan imbalan pekerjaan / imbalannya miring terhadap intrusi langsung atas jaringan dan lebih memilih meninggalkan USB stick di atas meja dan menunggu seseorang menemukannya dan memasukkannya ke ( sah, di PC LAN resmi). Astaga.

Matikan port yang tidak digunakan dan aktifkan keamanan port pada port lain. Lagi pula jika seseorang dapat mengkloning alamat MAC yang ada, tidak ada cara untuk menghentikannya.