Como posso impedir que um invasor se conecte a uma tomada Ethernet e obtenha acesso à rede?

A filtragem de endereço MAC é a opção mais adequada para impedir que alguém conecte seu próprio dispositivo à rede conectando-os às tomadas de parede Ethernet? E se eles desconectarem um dispositivo e clonarem seu MAC?

A própria filtragem de endereço MAC não fornece muita proteção. Como você apontou, um endereço MAC pode ser clonado. Isso não significa que não possa fazer parte da estratégia geral de defesa, mas pode dar muito trabalho com muito pouco retorno.

Você precisa de uma política de segurança abrangente que inclua itens como:

• Limitações de acesso físico
• 802.1X como o @robut mencionou, embora isso possa ser complexo e exija suporte à infraestrutura de hardware / software, enquanto frustra usuários legítimos
• A segurança da porta nos comutadores pode ser configurada para permitir apenas um único (ou número limitado de) endereços MAC a qualquer momento ou em um determinado período de tempo, para impedir a conexão de hubs, comutadores, APs, etc., incluindo uma desativação de porta por um determinado período de tempo, se forem detectadas violações (é necessário tomar cuidado com coisas como telefones VoIP em que os PCs estão conectados ao telefone, pois o telefone em si terá um ou mais endereços MAC)
• Você também pode implementar uma política que exija que todas as portas do switch que não estão sendo usadas no momento sejam desabilitadas (incluindo, talvez, garantir que os cabos de rede não utilizados não estejam interconectados no armário de dados)

Como um amigo meu serralheiro me disse uma vez: "Fechaduras apenas mantêm pessoas honestas honestas". Os bandidos sempre encontrarão um caminho; seu trabalho é fazer com que não valha o esforço. Se você fornecer camadas de proteção suficientes, apenas os bandidos mais determinados gastarão tempo e esforço.

Você precisa avaliar os riscos com os recursos (principalmente tempo e dinheiro, mas também perda de produtividade) que está disposto a colocar na proteção de sua rede. Pode não fazer muito sentido gastar milhares de dólares e muitas horas de trabalho para proteger a bicicleta de venda de garagem que você comprou por US $ 10. Você precisa elaborar um plano e decidir quanto risco pode tolerar.

Use uma VPN internamente e trate a seção da rede fora das áreas seguras da mesma maneira que trataria a Internet.

Resposta à sua pergunta = Não.

Eu não acho que haja uma resposta completa. O mais próximo seria ter uma defesa em profundidade.

Comece como Ron Maupin sugeriu como tendo acesso físico restrito. Em seguida, tenha o 802.1x usando o EAP-TLS para ter autenticação na porta.

Depois disso, você ainda pode ter um firewall na camada de acesso / distribuição. Se você está falando mais sobre sistemas internos da Web, verifique se todos estão autenticados também por meio de um proxy.

Não, porque os endereços MAC são facilmente falsificados. 802.1x é a ferramenta adequada para o trabalho. Com o 802.1x, um dos métodos de conexão poderia ser, quando você se conecta (sem fio ou com fio), é enviado para um portal cativo (também conhecido como página inicial) por meio do navegador, onde aceita os termos de uso, opcionalmente, insira um senha etc.

Se seu único requisito é apenas bloquear usuários (invasores), você pode simplesmente escrever algumas linhas de script EEM.

Se o estado atual da interface estiver ativo, o script encerrará essa interface quando for desativado.

Se o estado atual estiver inativo, o script encerrará a porta quando for ativada.

Em seguida, o usuário chama para verificar sua identidade e o "no shut" é aplicado na verificação e na demanda.

Não há como evitar isso, mas não é com isso que você deve se preocupar. Você precisa se preocupar com os caras que estão escaneando suas redes, construindo pacientemente o conhecimento de rachaduras na sua rede.

O que você precisa fazer é impedir a exploração, usar um controle de acesso muito rigoroso, trazer o testador de caneta, encontrar coisas mal configuradas, entender perfeitamente sua rede e treinar pessoas (para não clicar em e-mails bem elaborados, para não ficar estranho) sites, tenha cuidado com dispositivos removíveis etc.).

Isso é um tanto ortogonal à intenção do OP, mas eu descobri que ser muito restritivo nas portas com fio, ao mesmo tempo em que cria e abre um AP wifi de convidado elimina todos os acidentes casuais (por exemplo, um visitante conectado) e ao mesmo tempo torna o ambiente da empresa mais acolhedor para os visitantes. Portanto, você obtém dois benefícios pelo preço de um ou, em outras palavras, pode oferecer um benefício ao seu gerenciamento e, ao mesmo tempo, obter um benefício de segurança.

Minha outra observação é que os invasores são muito inteligentes, e o cálculo da recompensa de trabalho / recompensa se inclina contra a intrusão direta na rede e favorece apenas deixar um pendrive em uma mesa e esperar que alguém o encontre e conecte-o ao ( legítimo, no LAN autorizado). Caramba.

Desligue as portas não utilizadas e ative a segurança da porta nas outras. De qualquer forma, se alguém é capaz de clonar um endereço MAC existente, não há como pará-lo.