web-dev-qa-db-ja.com

イーサネット経由で接続する不正なコンピュータによるネットワークデータへのアクセスを制限するにはどうすればよいですか?

ワイヤレスルーターと同様に、ほとんどのルーターは特定のMACアドレスにのみIPアドレスを割り当てるように構成できると思います。

しかし、コンピュータがイーサネット経由で接続されていて、IPアドレスを要求しない場合はどうなりますか?標準のネットワークカードを使用して、ネットワークから何をスキミングできますか?

誰かがイーサネット回線からデータをスキミングできないようにするにはどうすればよいですか?例えばそのためにIPSecを使用しますか?

10
Wholemilk

802.1x-2010は、ネットワークスイッチに認証を提供し、交換されるトラフィックを暗号化します。古い802.1x仕様はトラフィックを暗号化しません。

IPsecは古い802.1xの上にある便利なソリューションまたはレイヤーになる可能性がありますが、必要なクライアントのみを許可するための構成作業の増加は注目に値する場合があります。

6
Jeff Ferland

しかし、コンピュータがイーサネット経由で接続されていて、IPアドレスを要求しない場合はどうなりますか?標準のネットワークカードを使用して、ネットワークから何をスキミングできますか?

ワイヤレスネットワークのように、有線ネットワークに接続して、aircrackのようにパケットを傍受して無差別モードのワイヤレストラフィックを可能にすることが可能かどうかを尋ねていると思います。

答えは、イーサネットネットワークが切り替えられた場合と同じ程度ではありません。具体的には、すべてのクライアントが確実にワイヤレスパケットを取得するために、ワイヤレスルーターは本来、無指向性アンテナ(実際には、ネットワーク間の「ワイヤレスブリッジ」用の指向性アンテナを取得できます)とブロードキャストを使用する必要があります。実質的に、ワイヤレスハードウェアは、アドレス指定されていないパケットを無視します。ただし、一部のワイヤレスカードで使用できるプロミスキャスモード設定では、この機能を抑制することができます。その場合、想定されるユニキャスト送信を含め、すべてのネットワーク接続を表示できます。

同じことはイーサネットには当てはまりません。ルーター/スイッチは、適切なケーブルに沿ってトラフィックをルーティングできる必要があるため、同じ方法で情報をブロードキャストする必要はありません。ワイヤレスの同等機能は、接続されたすべてのワイヤーにパケットを送信し、イーサネットアダプターに冗長パケットをフィルターさせさせることです(これも発生する可能性がありますが、発生しません)。

このルールの大きな例外は、イーサネット上で実行されるアプリケーションとサービスの設計です。多くは、マルチキャストまたはブロードキャスト機能の使用を必要とするため、関連するグループ(mcastグループまたはサブネット全体)のすべてのクライアントにパケットを送信するように要求します。有線ネットワークに接続している人は誰でも、意図的にすべてのブロードキャストパケットを受信します。

これはあなたが思っているよりもずっと多く起こります-発見の共有を含むどんなサービスでもこれをする傾向があります。 ARPプロトコルもこれを行います-私が見た一般的な例には、Windows Mediaプレーヤー/ iTunesが、通信するデバイスを探すブロードキャストメッセージを吹き飛ばすことが含まれます。 Windowsファイル共有は、ワークステーションの可用性も発表します。したがって、これはネットワーク上のホストの構成と場所に関する情報を提供しますが、これは問題になる可能性があります。

要約:スイッチドネットワークでは、ブロードキャストトラフィックと、接続しているホスト宛てのマルチキャストトラフィックのみをスキムオフできる必要があります。

ethernetのWiresharkページ は、ニース図を使用して、これについて非常に詳細に説明しています。

ソリューションについて-IPSecは非常に役立ちます。サブネット化とルーティングも役立ち、プライベートIP範囲のサブネットで好きなだけこれを行うことができます。本質的に、各サブネットワークには独自のブロードキャストアドレスがあるため、イーサネットブリッジングではなくルーティングを使用する場合、サブネットを除いてブロードキャストメッセージを受信しません。

6
user2213

攻撃者がイーサネットデータに接続できる場合、イーサネットデータを盗聴できますか?はい。イーサネットネットワークに物理的に接続している攻撃者は、おそらく そのローカルエリアネットワークに送信されたすべてのパケット を盗聴する可能性があります。

スイッチドイーサネットはそれを妨げると思うかもしれませんが、実際には多くの/ほとんどのイーサネットスイッチでは阻止しません。攻撃者は MACフラッディング を使用して スイッチを低下モードに強制し、すべてのパケットのコピーを攻撃者に送信する を使用して、攻撃者が送信されたすべてのトラフィックを盗聴できるようにします。そのローカルエリアイーサネットネットワーク上で。同様に、 ARPスプーフィング を使用すると、攻撃者は一部のパケットをルーティングすることができます。すべてのルーターが脆弱であることがわかっているわけではありませんが、これらの攻撃はかなり微妙なものである可能性があり、コミュニティがこの攻撃の可能性のある領域を完全に調査したとは確信していません。したがって、この攻撃が可能であると保守的に想定することをお勧めします。

つまり、イーサネットネットワークに接続できる人ならだれでも、そのローカルエリアネットワークで送信されるすべてのパケットを盗聴できると想定することをお勧めします。

これらの攻撃は、特別なネットワークインターフェイスカードを必要としません。イーサネットカードがあれば十分です。攻撃者は、パケットスニファプログラムを実行するだけで、イーサネットカードを無差別モードに設定し、そのイーサネットカードから見えるすべてのイーサネットパケットを表示するように要求します。

これからどのように防御できますか?最も強力な防御策は、強力な暗号化を使用してすべての通信を暗号化し、信頼できる/許可された個人のみが暗号を受信するようにすることですキー。 IPSecを使用してすべてのトラフィックを暗号化すれば十分です。他のVPNやリンク層の暗号化ソフトウェアも同様です。主な欠点は、これらのソリューションはかなりの構成を必要とする可能性があり、そのため使用が不格好であるということです。

もう1つの防御策は、信頼できない個人がイーサネットネットワークに接続できないようにするために、非常に慎重に行うことです。たとえば、パブリックスペースでイーサネットポートを公開する場合は、別のゲストネットワークを作成し(内部の企業ネットワークからファイアウォールで保護)、パブリックスペースのすべてのイーサネットジャックがゲストネットワークに接続されていることを確認します。無許可の個人がワークスペース、ネットワーククローゼット、サーバールームなどにアクセスできないようにするには、これを物理的なセキュリティで補完する必要があります。

「最小権限」の原則に従って、内部ネットワークを互いにファイアウォールで保護することもできます。たとえば、給与のシステムとローカルイーサネットネットワークに特に機密情報がある場合は、ローカルエリアイーサネットネットワークを建物またはオフィスに限定して、給与計算に参加していない他の従業員がいるようにすることができます。部署はそのローカルエリアイーサネットネットワークに接続していません。

3番目の防御策は、機密性の高いすべての通信に暗号化を使用することをユーザーに奨励することです。これにより、攻撃者が内部イーサネットネットワークにアクセスした場合のフォールバックが提供されます。たとえば、機密性の高い内部Webサービスがサイト全体でSSLを使用するように設定され、他の機密性の高い内部サービスが暗号化を使用するように構成されていることを確認できます。内部ネットワークでクリアテキストのパスワードを禁止している可能性があります(たとえば、TelnetおよびFTPではなくSSHおよびSFTPが必要です)。 Webサーバーでサポートされている場合は、HTTPS Everywhereを使用してWebトラフィックを保護することをユーザーに奨励できます。

4番目の防御策は、イーサネットスイッチの機能を有効にして、このような攻撃から防御することです。クライアント認証(802.1Xなど)を使用して、許可されたクライアントのみがイーサネットネットワークに接続できるようにすることができます。 (MACアドレスフィルタリングは、低レベルのセキュリティしか提供しない貧弱な人のバージョンです。)また、「ポートセキュリティ」や、MACフラッディングやARPスプーフィング攻撃を防ぐために特別に設計された同様のセキュリティ機能を有効にすることもできます。

3
D.W.

別の可能なアプローチは、フィルタリングイーサネットブリッジを使用して、不正アクセスに対して脆弱なセグメント(LANスイッチ)を分離することです。最も単純なケースでは、フィルタリングイーサネットブリッジを使用して、信頼されていないイーサネットセグメントを信頼されていないセグメントから分離します。正確なフィルタリングルールは、環境と要件に固有のものにすることができます。市場ですぐに使えるソリューションがあるかどうかはわかりませんが、2つのイーサネットアダプターと1つのソフトウェアを備えたコンピューターを使用して、独自のフィルタリングイーサネットブリッジを構築します。 Windowsブリッジについては、ここで確認できます: https://www.ntkernel.com/bridging-networks-with-windows-packet-filter/

1
vadim

イーサネットケーブルに直接接続されている場合でも、スニッフィングの詳細を説明する長い記事があることを思い出したとき、私はちょうど長い回答を書こうとしていました。全体として、いくつかの良いものを含む素晴らしい初心者向けの記事です。他に質問がある場合は、この方法で撮影してください。

セキュリティstackexchangeへようこそ。

http://www.windowsecurity.com/whitepapers/Sniffing_network_wiretap_sniffer_FAQ_.html

1
detro

アプライアンスでこの問題を解決しました: NetClarity

動的に割り当てられたVLANを使用し、新しいデバイスが検出されるとスイッチポートを再構成します。トラフィックをどこにでもリダイレクトするように設定できますが、インターネットアクセスを必要とする外部ユーザーがいるため、外部接続に切り替えるだけです。

1秒もかからずに新しいデバイスを検出し、非常にうまく機能します。また、Snortエンジンを取り除いたような付加価値のあるものもありますが、私たちにとって大きなことは、自動スイッチの再構成でした。

0
schroeder

何を保護しようとしているのか自問してみてください。
これを実行するために、ネットワークにはどのようなハードウェアがありますか?どのようなアクセスを許可しますか?
重要なリソースへのアクセス制御の望ましいレベルを達成するために、現実的にどれだけ(時間とお金)を費やすことができますか。上記の記事は確かな出発点ですが、Cisco、MicrosoftなどのWebサイトのホワイトペーパーを忘れないでください。それが役に立てば幸い、氷山

0
Iceberg Hotspot