Come potrei essere sicuro che il cavo di rete sia sicuro da usare?

6

Nell'ufficio ci sono cavi di rete Cat 5 che vanno da alcune stanze ad altre stanze attraverso le pareti e il soffitto.

L'ufficio apparteneva a un'altra società in passato, il che significa che non vi è alcuna garanzia che nessuno abbia installato un dispositivo di localizzazione nei muri o che il cavo non vada in un altro ufficio nell'edificio, dove può essere manomesso.

C'è qualcosa che può essere fatto usando l'hardware o il software su entrambi i lati del cavo per garantire che il cavo non sia stato manomesso (in altre parole, questo è davvero un singolo cavo, e non due collegati tramite un dispositivo come un interruttore)? O l'effettiva ispezione fisica è l'unico modo?

Per ridurre lo scopo della domanda, sto parlando di una manomissione ordinaria introducendo un interruttore di base che può tenere traccia di ciò che lo attraversa (e magari reindirizzare il traffico verso un'altra porta per l'ispezione, come la maggior parte degli switch è in grado di fare) . Ovviamente, questo esclude dispositivi di livello militare che sono specificatamente progettati per non solo tracciare la comunicazione, ma anche resistere a qualsiasi tentativo di identificarli.

    
posta Arseni Mourzenko 29.12.2016 - 23:40
fonte

2 risposte

1

Vorrei provare ad utilizzare un analizzatore di cavi, ad esempio il DSX-5000 di Fluke . Questo analizzatore dovrebbe essere in grado di garantire la continuità di ciascun cavo e le sue caratteristiche. Questo dovrebbe essere sufficiente per rilevare la presenza di uno switch indesiderato o qualsiasi dispositivo di mirroring delle porte.

Forse un semplice tester di continuità potrebbe essere sufficiente, ma un analizzatore di cavi più professionale / costoso potrebbe fornire la lunghezza del cavo, il ritardo di propagazione e molti altri elementi fisici che potrebbero essere modificati anche da una derivazione su una linea. La parte difficile sarebbe comunque interpretare correttamente i risultati, ma qualsiasi strong differenza dalle misure standard sarebbe un suggerimento che qualcosa di strano potrebbe essere lì ...

    
risposta data 30.12.2016 - 01:40
fonte
0

Il metodo che verrebbe impiegato per risolvere questo implicherebbe il confronto degli indirizzi MAC che le porte dello switch di rete dicono sull'altra estremità di ciascun filo, contro un elenco di quali dovrebbero essere gli indirizzi MAC. Il trucco sta raccogliendo l'elenco degli indirizzi MAC, perché senza in realtà l'inventario dei client e la registrazione dei loro indirizzi MAC, richiederebbe alcuni strumenti di automazione di scoperta.

Una rete correttamente protetta non dovrebbe consentire il collegamento di un dispositivo che non è noto e autorizzato a essere sulla rete. Alcune aziende hanno questa configurazione e un dispositivo che viene collocato sulla rete che non è noto alla rete non otterrà un indirizzo IP, ecc. Alcune aziende hanno in qualche modo elaborato in modo tale che dispositivi sconosciuti possano collegarsi e connettersi e ottenere un Indirizzo IP, ma un avviso viene inviato al centro operativo di sicurezza per indagare. La maggior parte delle aziende non ha nulla a disposizione per prevenire o persino rilevare.

Se si sospetta che il cablaggio esistente possa essere compromesso, iniziare con la configurazione più rigorosa per consentire a dhcp di negare i client sconosciuti ed eseguire una scoperta dei client e renderli noti in dhcp. Ciò che fai in modo specifico potrebbe variare in base a ciò che utilizzi come server DHCP.

Sarebbe anche una buona idea avere un sistema di rilevamento delle intrusioni (IDS) configurato per rilevare e avvisare sui servizi in esecuzione sulla rete che non dovrebbe essere. Ad esempio, un server DHCP canaglia, un server DNS, un punto di accesso, ecc. Il modo in cui lo fai in particolare dipende dalla piattaforma IDS selezionata. Snort è maturo e stabile, completo e conveniente:

Rilevamento delle intrusioni SNORT

Sarebbe meglio disporre di un IDS anche se non si sospetta che la rete sia compromessa e anche se si dispone di un buon inventario di client e indirizzi MAC e solo quelli sono consentiti. Il motivo è che uno qualsiasi dei client potrebbe diventare compromesso e installare servizi malevoli. L'indirizzo MAC del client compromesso non cambierà, ma ora il client è diventato un dispositivo non autorizzato.

    
risposta data 30.12.2016 - 00:04
fonte

Leggi altre domande sui tag