#1 楼
MAC地址过滤本身并不能提供太多保护。正如您所指出的,可以克隆MAC地址。这并不意味着它不能成为整体防御策略的一部分,但是它却需要大量工作,而回报却很小。 :物理访问限制
如@robut所述的802.1X,尽管这可能很复杂并且需要支持硬件/软件基础结构,同时又使合法用户感到沮丧可以将交换机上的设置为在任何给定时间或在任何给定时间段内仅允许单个(或数量有限的)MAC地址,以防止集线器,交换机,AP等的连接,包括禁用如果检测到违规,则在给定的时间段内(由于电话本身将具有一个或多个MAC地址,因此需要注意将VoIP电话与PC连接到电话之类的事情)
您还可以实施一项要求
当前未禁用的交换机端口(可能包括确保未使用的n etwork电缆没有在数据中交叉连接
壁橱)
正如我的锁匠朋友曾经告诉我的那样,“锁只会使诚实的人诚实。坏家伙总会找到办法。您的工作就是使它不值得他们付出。如果您提供足够的保护,只有最坚决的坏人会花时间和精力。您愿意用来保护网络的安全。花数千美元和许多工时来保护您以10美元购买的那辆车库销售自行车可能没有多大意义。您需要制定一个计划并决定可以承受的风险。
评论
根据您的“诚实的诚实”评论,即使配置正确,802.1x对于真正的攻击者而言也是微不足道的(请参阅有关此主题的许多讨论和论文),但是它确实阻止了大黄蜂插入其家用笔记本电脑或wifi桥,您的网络“意外”,它确实可以阻止对未使用但已连接的端口的攻击,从而迫使攻击者越跳越多。
–杰夫·梅登(Jeff Meden)
16-4-12在19:29
@JeffMeden,我知道这一点,并在此答案中进行了介绍。
–罗恩·莫潘♦
16年4月12日在19:37
#2 楼
在内部使用VPN并以与对待Internet相同的方式对待安全区域之外的网络部分。评论
或者您可以使用PPPoE做到这一点,但是值得吗?
–sdaffa23fdsf
15年11月13日在23:48
#3 楼
您的问题的答案=否。我认为没有一个完整的答案。最接近的应该是纵深防御。
从罗恩·莫平(Ron Maupin)建议限制物理访问开始。然后使用802.1x使用EAP-TLS对端口进行身份验证。
之后,您仍然可以在访问/分发层上具有防火墙。如果您要谈论内部Web系统,那么还要确保每个人也都通过代理进行了身份验证。
#4 楼
否,因为容易欺骗MAC地址。 802.1x是完成这项工作的合适工具。使用802.1x,连接方法之一可能是,当您进行连接(无论是无线还是有线)时,会通过浏览器将您发送到俘虏门户(又名启动页面),您可以在其中接受使用条款,也可以选择输入必填密码等#5 楼
如果仅需要阻止用户(入侵者),则只需编写几行EEM脚本即可。如果接口的当前状态为up,则脚本将在以下情况下关闭该接口:
,如果当前状态为关闭,则脚本将在端口上升时关闭端口。
然后,用户调用以验证其身份,没有关闭”应用于验证和需求。
#6 楼
没有方法可以防止这种情况发生,但这不是您应该担心的。您需要担心的是那些正在扫描您的网络并耐心地在网络中建立裂缝的知识的人。
您需要做的是防止利用,使用非常严格的访问控制,引入笔测试器,查找配置错误的东西,完全了解您的网络以及培训人员(不要单击精心设计的电子邮件,不要继续操作)怪异的网站,请谨慎使用可移动设备等。
#7 楼
这与OP的意图有些正交,但是我发现对有线端口的限制非常严格,同时创建和打开访客wifi AP可以消除所有偶然事故(例如,访客插入),并且同时使公司环境更加吸引来访者。因此,您可以以一个价格获得两个好处,或者换句话说,您可以为管理带来好处,同时获得安全好处。我的另一个观察结果是攻击者非常聪明,工作/收益奖励计算倾向于通过网络进行直接入侵,并且倾向于将USB随身听放在桌子上,等待有人找到它并将其插入(合法的,在授权的LAN上)。 )PC。 Yikes。
评论
MAC过滤不合适,不可以。查看802.1x:en.wikipedia.org/wiki/IEEE_802.1X-“基于端口的网络访问控制的IEEE标准”。您还可以添加SNMP陷阱以在某些端口更改状态时得到通知。这更多是在检测方面,而不是预防。
有什么答案对您有帮助吗?如果是这样,您应该接受答案,这样问题就不会永远弹出来寻找答案。或者,您可以提供并接受自己的答案。