這個問題是他們的在線NAC設備LANShield控制器不能恰當地檢測登出。這就意味著一個用戶能夠簡單地扮演另一個用戶的身份,因為攻擊者已經在網絡的本地,能夠輕松地從墻里抽出電纜線或者向PC插入設備。ConSentry公司表示它在未來發布的產品中將解決這個問題。但是,你在此期間能做什么呢?
首先,如果你在活動目錄環境中使用Windows,你能夠做的第一件事情就是在活動目錄的組策略對象中管理登錄緩存。在默認狀態下,工作站將緩存最后10個登錄項。這個好處是,如果一臺工作站不能訪問這個目錄,用戶仍然能夠登錄這個工作站并且進行工作。攻擊者也能夠抽出網絡電纜線,使用已經緩存的活動目錄賬戶登錄,重新連接這個電纜,像以前的用戶一樣訪問這個網絡。如果你關閉登錄緩存,把存儲的登錄項設置為零,不允許使用本地賬戶登錄,那么,如果沒有這個活動目錄的話,這個用戶就不能登錄網絡。這樣做的缺點是,如果這個用戶不能登錄,他們就不能工作。因此,你需要有一個容錯的活動目錄,否則只能忍受。在任何情況下,這樣做至少可以堵住一個攻擊通道。
然而,把筆記本電腦上緩存的登錄項目設置為零是不起作用的。Windows根本就不處理多個用戶賬戶。如果你能夠把你的筆記本電腦的緩存登錄數量設置為零,你就不是移動用戶了。此外,繞過ConSentry公司解決方案的另一種方法是拔掉工作站的電纜,用另一臺工作站的MAC和IP地址替代這臺工作站。我們也許能夠從網絡中找到一個潛在的解決方案,使用IP鎖定的功能把IP地址和MAC地址映射到一個交換機端口,擊敗強制移動地址的行為。現在,Fratto還沒有對這種方法進行測試。但是,他計劃找出這個提議的解決方案的功效和缺點。
DHCP(動態主機控制協議)很容易處理。思科、Extreme和惠普等公司生產的交換機都支持強制分配DHCP。這臺交換機嗅探DHCP握手,把提供的IP地址鏡像到一個MAC地址和一個端口。如果這個IP地址在另一臺交換機的端口上顯示出來,這個端口發出的全部通訊都會被拒絕。此外,當主機與交換機斷開,交換機端口關閉時,鏡像的IP地址將被刪除。這兩項功能旨在防止物理假冒身份。在一些初步測試中,Fratto發現,當失去物理連接時,至少Windows主機在重新連接時能夠再一次運行DHCP。
這對于DHCP是很好的。但是,擁有靜態IP地址的主機如何呢?這是IP地址管理方面比較難的問題。你可以靜態地把IP地址鏡像到端口。但是,如果你在一個規模較大的機構中,靜態鏡像將成為一項繁重的工作。Fratto對于這種事情沒有解決方案,只能建議讓你的工作站使用DHCP或者部署802.1X。一般來說,使用DHCP,主機能夠繼續接收同樣的IP地址,你可以靜態地把IP地址鏡像到MAC地址。一旦你完成靜態鏡像,這將減少許多管理開銷。
強制執行NAC和網絡基礎設施最終將合并,這并不是排斥其它的NAC技術,而是在交換機上強制執行網絡是有意義的,無論對于802.1X網絡或者ConSentry或Nevis Networks等公司制造的專用安全交換機都是如此。當這種方法奏效時,也許這些奇怪的做法會半途而廢。同時,你要檢查一下你的交換機能夠做什么。