Come rintracciare un portatile errato collegato a una presa Ethernet non protetta in una grande organizzazione?

8

Mi piacerebbe sapere come individuare i laptop rogue collegati a socket Ethernet non adeguatamente protetti in una grande organizzazione con un segmento di rete semplice. So che questo può essere evitato utilizzando alcune tecniche come il filtro MAC, ma supponiamo che in questa azienda non utilizzino nessuna di queste misure di sicurezza preventive.

Una possibile soluzione che posso pensare è usare traceroute per identificare il percorso e identificare l'ultimo hop per il laptop. Questo può essere usato per identificare l'ultimo router ma ...

È possibile utilizzare un protocollo di livello 2 o altre tecniche per identificare dove si trova un laptop errato collegato a un socket Ethernet non protetto in una grande organizzazione?

    
posta kinunt 05.03.2013 - 19:44
fonte

2 risposte

9

Qualsiasi switch gestito dovrebbe essere in grado di dirti su quali porte ha visto un dato indirizzo MAC. Identifica l'IP, ARP su quella rete, interruttori di query su quel segmento per l'indirizzo MAC specificato.

La prevenzione batte tutto, tuttavia: Come posso limitare l'accesso ai dati di rete da parte di un computer non autorizzato che si connette via Ethernet?

    
risposta data 05.03.2013 - 20:01
fonte
1

La risposta o la soluzione tecnica è ciò che chiami Network Admission Control. Fa tutto il lavoro della polizia per te.

Nell'interruttore sospetto è possibile eseguire comandi non precisi ma qualcosa di simile per mostrare la tabella mac. Fondamentalmente tutto il binding di porta e mac è memorizzato nella tabella CAM, ovvero memoria indirizzabile del contenuto, ad esempio

    Cat6K#show mac-address-table int gi 6/11

Se stai pensando di bloccare attivamente usando gli switch in house, allora vai per DAI, ovvero l'ispezione dinamica dell'arp, in pratica è una lista bianca per tutte le richieste arp e nega il binding autorizzato da mac a ip.

Per quanto riguarda la conoscenza che dovresti sapere a osi layer 3 e layer 2 non c'è alcun controllo intrinseco per fermare lo spoofing. Si tratta di ciò che chiamate arpa non richiesta. Pertanto, per questo motivo è necessario fare affidamento sulla soluzione point.

    
risposta data 05.03.2013 - 22:36
fonte

Leggi altre domande sui tag