मैं ईथरनेट घुसपैठिये को नेटवर्क तक पहुँचने में घुसपैठ करने वाले को कैसे रोक सकता हूँ?

क्या मैक एड्रेस किसी को अपने ही डिवाइस को नेटवर्क से कनेक्ट करने से रोकने के लिए सबसे उपयुक्त विकल्प है, जो ईथरनेट वॉल सॉकेट में प्लग इन करके नेटवर्क से कनेक्ट होता है? क्या होगा अगर वे एक डिवाइस को अनप्लग करते हैं और इसके मैक को क्लोन करते हैं?

मैक एड्रेस फ़िल्टरिंग स्वयं को अधिक सुरक्षा प्रदान नहीं करता है। जैसा कि आपने बताया, मैक पते को क्लोन किया जा सकता है। इसका मतलब यह नहीं है कि यह समग्र रक्षा रणनीति का हिस्सा नहीं हो सकता है, लेकिन यह बहुत कम रिटर्न के लिए बहुत काम हो सकता है।

आपको एक व्यापक सुरक्षा नीति की आवश्यकता है जिसमें ऐसी चीजें शामिल हो सकती हैं:

• भौतिक पहुँच सीमाएँ
• 802.1X जैसा कि @robut ने उल्लेख किया है, इसके बावजूद यह जटिल हो सकता है और वैध उपयोगकर्ताओं को निराश करते हुए हार्डवेयर / सॉफ्टवेयर अवसंरचना का समर्थन करने की आवश्यकता होती है
• स्विच पर पोर्ट सुरक्षा केवल एक ही समय में किसी भी (या सीमित संख्या में) मैक पते की अनुमति देने के लिए स्थापित की जा सकती है, या किसी भी समय अवधि में, हब अक्षम करने के लिए स्विच, एपी, आदि को रोकने के लिए। एक निश्चित समय अवधि के लिए यदि उल्लंघनों का पता लगाया जाता है (वीओआईपी फोन जैसी चीजों के लिए देखभाल की जरूरत है जहां पीसी फोन से जुड़े हैं क्योंकि फोन में एक या अधिक मैक पते होंगे)
• आप ऐसी नीति भी लागू कर सकते हैं जिसमें किसी भी स्विच पोर्ट की आवश्यकता होती है जो वर्तमान में अक्षम होने के लिए उपयोग नहीं किया जाता है (सहित, शायद, यह सुनिश्चित करते हुए कि अप्रयुक्त नेटवर्क केबल डेटा कोठरी में क्रॉस-कनेक्ट नहीं हैं)

जैसा कि मेरे एक लॉकस्मिथ दोस्त ने एक बार मुझसे कहा था, "ताले केवल ईमानदार लोगों को ईमानदार रखते हैं।" बुरे लोगों को हमेशा एक रास्ता मिल जाएगा; आपका काम है कि इसे उनके प्रयासों के लायक न बनाया जाए। यदि आप सुरक्षा की पर्याप्त परतें प्रदान करते हैं, तो केवल सबसे अधिक निर्धारित बुरे लोग समय और प्रयास खर्च करेंगे।

आपको संसाधनों के साथ जोखिमों को तौलना होगा (मुख्य रूप से समय और धन, लेकिन खोई हुई उत्पादकता, भी) जिसे आप अपने नेटवर्क को सुरक्षित रखने के लिए तैयार हैं। यह $ 10 के लिए खरीदी गई उस गेराज-बिक्री साइकिल की रक्षा के लिए हजारों डॉलर और कई आदमी घंटे खर्च करने के लिए बहुत अधिक समझ में नहीं आ सकता है। आपको एक योजना के साथ आने और यह तय करने की आवश्यकता है कि आप कितना जोखिम सहन कर सकते हैं।

एक वीपीएन का आंतरिक रूप से उपयोग करें और सुरक्षित क्षेत्रों के बाहर नेटवर्क के अनुभाग का उसी तरह से व्यवहार करें जिस तरह से आप इंटरनेट का इलाज करेंगे।

आपके प्रश्न का उत्तर = नहीं।

मुझे नहीं लगता कि एक पूरा जवाब है। सबसे पास गहराई में रक्षा होगी।

रॉन मूपिन ने सुझाव दिया कि फिजिकल एक्सेस प्रतिबंधित होने के रूप में सुझाव दें। फिर बंदरगाह के प्रमाणीकरण के लिए EAP-TLS का उपयोग करके 802.1x है।

उसके बाद भी आप एक्सेस / डिटेंशन लेयर पर फ़ायरवॉल रख सकते हैं। यदि आप आंतरिक वेब सिस्टम के बारे में अधिक बात कर रहे हैं, तो सुनिश्चित करें कि सभी को प्रॉक्सी के माध्यम से भी प्रमाणित किया गया है।

नहीं क्योंकि मैक पते आसानी से खराब हो जाते हैं। 802.1x नौकरी के लिए उचित उपकरण है। 802.1x के साथ, कनेक्शन विधियों में से एक हो सकता है, जब आप कनेक्ट करते हैं (चाहे वायरलेस या वायर्ड), आपको अपने ब्राउज़र के माध्यम से एक कैप्टिव पोर्टल (उर्फ स्प्लैश पेज) पर भेजा जाता है जहां आप उपयोग की शर्तों को स्वीकार कर सकते हैं, वैकल्पिक रूप से एक आवश्यक दर्ज करें पासवर्ड, आदि

यदि आपकी एकमात्र आवश्यकता केवल उपयोगकर्ताओं (घुसपैठियों) को ब्लॉक करना है, तो आप ईईएम स्क्रिप्ट की कुछ पंक्तियाँ लिख सकते हैं।

यदि इंटरफ़ेस की वर्तमान स्थिति है, तो स्क्रिप्ट नीचे जाने पर इस इंटरफ़ेस को बंद कर देगी।

यदि वर्तमान स्थिति नीचे है, तो स्क्रिप्ट पोर्ट को बंद कर देगी जब वह ऊपर जाएगा।

फिर, उपयोगकर्ता अपनी पहचान को सत्यापित करने के लिए कहता है और सत्यापन और मांग पर "कोई बंद" लागू नहीं होता है।

इसे रोकने का कोई तरीका नहीं है, लेकिन यह वह नहीं है जिसके बारे में आपको चिंता करनी चाहिए। क्या आप के बारे में चिंता करने की जरूरत है कि लोग आपके नेटवर्क को स्कैन कर रहे हैं, धैर्यपूर्वक अपने नेटवर्क में दरारें पर ज्ञान का निर्माण कर रहे हैं।

शोषण को रोकने के लिए, आपको बहुत सख्त पहुंच नियंत्रण का उपयोग करना होगा, पेन टेस्टर में लाना होगा, ऐसी चीजें मिलेंगी जो गलत हैं, अपने नेटवर्क को पूरी तरह से समझें और लोगों को प्रशिक्षित करें (अच्छी तरह से तैयार किए गए ईमेल पर क्लिक न करें, अजीब के लिए न जाएं वेब साइट, हटाने योग्य उपकरणों, आदि के बारे में सतर्क रहें)।

यह ओपी के इरादे के लिए कुछ हद तक रूढ़िवादी है, लेकिन मैंने पाया है कि वायर्ड बंदरगाहों पर बहुत प्रतिबंधात्मक होने के साथ-साथ एक अतिथि वाईफाई एपी बनाने और खोलने के दौरान सभी आकस्मिक दुर्घटनाओं (जैसे एक आगंतुक प्लगिंग) को समाप्त कर देता है और एक ही समय में। आगंतुकों के लिए कंपनी के वातावरण का अधिक स्वागत करता है। तो आपको एक की कीमत के लिए दो लाभ मिलते हैं, या, इसे दूसरे तरीके से डालते हुए, आप साइड इफेक्ट के रूप में सुरक्षा लाभ प्राप्त करते हुए अपने प्रबंधन को लाभ पहुंचा सकते हैं।

मेरा अन्य अवलोकन यह है कि हमलावर बहुत स्मार्ट हैं, और काम / अदायगी इनाम की गणना नेटवर्क पर प्रत्यक्ष घुसपैठ के खिलाफ झुक रही है और बस एक यूएसबी स्टिक को डेस्क पर छोड़ने के लिए और किसी को इसे खोजने और अपने में प्लग करने के लिए इंतजार कर रही है ( वैध, अधिकृत लैन पर) पीसी। ओह।

अप्रयुक्त बंदरगाहों को बंद करें और दूसरों पर पोर्ट सुरक्षा को सक्षम करें। वैसे भी अगर कोई मौजूदा मैक पते का क्लोन बनाने में सक्षम है, तो उसे रोकने का कोई तरीका नहीं है।