Network Access Control umgehen

Ofir Arkin erläutert in seinem auch auf der Black Hat 2006 präsentiertem Bericht, wie einfach sich die von Cisco und anderen Herstellern erdachte Network Access Control (NAC) von Angreifern aushebeln lässt. Beispielsweise würden einige Lösungen nur dann funktionieren, wenn Clients ihre IP-Adressen per DHCP beziehen würden. Sobald ein Rechner eine statische Adresse habe, könne ihm NAC keine Sicherheitsrichtlinie mehr aufzwingen. Teile des Unternehmensnetzes könnten so für NAC glatt unsichtbar bleiben. Zudem würden die derzeit verfügbaren Produkte zu viele Schwachstellen enthalten, als dass sich ein Hacker davon abhielten ließe, Zugriff auf ein NAC-geschütztes Netzwerk zu erhalten. Dazu würde im Moment schon das Spoofen von MAC- und IP-Adresse genügen.

Bypassing Network Access Control Systems von Ofir Arkin (dab)