如何阻止入侵者插入以太网壁式插座以访问网络？

MAC地址过滤是否是最合适的选项，以防止某人通过插入以太网壁式插座将自己的设备连接到网络？如果他们拔出设备并克隆其MAC怎么办？

MAC地址过滤本身并不能提供太多保护。正如您所指出的，可以克隆MAC地址。这并不意味着它不能成为整体防御策略的一部分，但是它可能需要大量工作，而回报却很小。

您需要一个全面的安全策略，其中应包括以下内容：

• 物理访问限制
• @robut提到的802.1X，虽然这可能很复杂，并且需要支持硬件/软件基础结构，但同时也会使合法用户感到沮丧
• 可以将交换机上的端口安全性设置为在任何给定时间或任何给定时间段内仅允许单个（或数量有限的）MAC地址，以防止集线器，交换机，AP等的连接，包括端口禁用如果检测到违规，则在给定的时间段内（由于电话本身将具有一个或多个MAC地址，因此需要注意VoIP电话之类的事情，其中​​将PC连接到电话上）
• 您还可以实施一项策略，要求禁用当前未使用的任何交换机端口（包括确保未使用的网络电缆不在数据柜中交叉连接）。

正如我的一个锁匠朋友告诉我的那样：“锁只会使诚实的人诚实。” 坏人总会找到办法。您的工作是使其不值得他们付出努力。如果您提供足够的保护，则只有最坚决的坏人才会花费时间和精力。

您必须权衡您愿意用来保护网络的资源的风险（主要是时间和金钱，但同时也会降低生产力）。花数千美元和许多工时来保护您以10美元购买的那辆车库销售自行车可能没有多大意义。您需要制定一个计划，并确定可以承受的风险。

内部使用VPN并以与对待Internet相同的方式对待安全区域之外的网络部分。

您的问题的答案=否。

我不认为有一个完整的答案。最接近的应该是深入防御。

作为Ron Maupin建议限制物理访问开始。然后使用802.1x使用EAP-TLS对端口进行身份验证。

之后，您仍可以在访问/分发层上具有防火墙。如果您在谈论内部Web系统，那么还要确保每个人都通过代理进行了身份验证。

否，因为容易欺骗MAC地址。802.1x是完成这项工作的合适工具。使用802.1x，连接方法之一可能是，当您进行连接（无论是无线还是有线）时，您会通过浏览器被发送到俘虏门户（又名启动页面），您可以在其中接受使用条款，也可以选择输入必填项密码等

如果您仅需要阻止用户（入侵者），则只需编写几行EEM脚本即可。

如果接口的当前状态为打开，则脚本在关闭时将关闭该接口。

如果当前状态为关闭，则脚本将在端口上升时关闭端口。

然后，用户打电话来验证他的身份，并在验证和要求时应用“禁止关闭”。

没有方法可以防止这种情况，但这不是您应该担心的。您需要担心的是那些正在扫描您的网络，耐心地在网络中的裂缝上建立知识的家伙。

您需要做的是防止利用，使用非常严格的访问控制，引入笔测试器，查找配置错误的东西，完全理解您的网络以及培训人员（不要单击精心设计的电子邮件，不要怪异网站，请注意可移动设备等）。

这与OP的意图有些正交，但是我发现对有线端口的限制非常严格，同时创建和打开访客wifi AP可以消除所有偶然事故（例如，访客插入），并且同时使公司环境更加吸引来访者。因此，您可以以一个价格获得两个好处，或者换句话说，您可以为管理带来好处，同时获得安全利益。

我的其他观察结果是，攻击者非常聪明，工作/收益奖励计算倾向于反对通过网络进行的直接入侵，而是赞成将USB随身碟放在桌子上，等待有人找到它并将其插入他们的（合法，在授权的LAN上）。kes。

关闭未使用的端口，并在其他端口上启用端口安全性。无论如何，如果某人能够克隆现有的MAC地址，则无法阻止他。