Parcival21
Technical User
Hallo,
Ich teste im Moment 802.1x mit Cisco ACS Server, Cisco
Catalyst Switch und Microsoft Authentication Client.
Dabei ist es mir gelungen folgenden Angriff auf mein
System durchzuführen:
System A ist am Netzuwerk mit 802.1x am Port P
authentifiziert.
Angenommen User A verläßt sein Büro für längere Zeit
Angenommen ich bin Angreifer B.
B betritt Büro von A. B entfernt Netzwerkverbindung
zwischen System A und Port P.
Der Port P schließt sich weil der Link-up Status weg ist.
Nun steckt B einen Switch an Port P.
Dann steckt er System A an den Switch.
A authentifiziert sich automatisch wieder (ohne
Userinteraktion, habe keine Möglichkeit gefunden, dies am
Client auszuschalten).
Nun verändert B an seinem System B die MAC Adresse, so
dass System B die selbe MAC Adresse wie System A hat.
Als nächstes nimmt er System A vom Zwischenswitch ab und
steckt System B an den Port.
Dadurch dass der Link-up Status nicht wegfällt, wird der
Port nicht gesperrt und System B ist automatisch
authentifiziert, da Port P die MAC Adresse weiterhin als
authentifiziert ansieht.
Ich wollte einfach mal ne Meinung dazu höre, oder ob es
eine Lösung für dieses Problem gibt...
Mfg,
Tobi
Ich teste im Moment 802.1x mit Cisco ACS Server, Cisco
Catalyst Switch und Microsoft Authentication Client.
Dabei ist es mir gelungen folgenden Angriff auf mein
System durchzuführen:
System A ist am Netzuwerk mit 802.1x am Port P
authentifiziert.
Angenommen User A verläßt sein Büro für längere Zeit
Angenommen ich bin Angreifer B.
B betritt Büro von A. B entfernt Netzwerkverbindung
zwischen System A und Port P.
Der Port P schließt sich weil der Link-up Status weg ist.
Nun steckt B einen Switch an Port P.
Dann steckt er System A an den Switch.
A authentifiziert sich automatisch wieder (ohne
Userinteraktion, habe keine Möglichkeit gefunden, dies am
Client auszuschalten).
Nun verändert B an seinem System B die MAC Adresse, so
dass System B die selbe MAC Adresse wie System A hat.
Als nächstes nimmt er System A vom Zwischenswitch ab und
steckt System B an den Port.
Dadurch dass der Link-up Status nicht wegfällt, wird der
Port nicht gesperrt und System B ist automatisch
authentifiziert, da Port P die MAC Adresse weiterhin als
authentifiziert ansieht.
Ich wollte einfach mal ne Meinung dazu höre, oder ob es
eine Lösung für dieses Problem gibt...
Mfg,
Tobi
