Lavoro come analista della sicurezza per una grande azienda. La risposta deve fornire supporto remoto. Al momento stiamo cercando di costruire un software (integrando prodotti esistenti con capacità native) che viene utilizzato per far rimbalzare i dispositivi non autorizzati dalla rete. Finora abbiamo il seguente:
SIEM, Capacità di rilevamento, Metasploit, OpenVAS, Rifleman
Il Rifleman diventa interessante .... essenzialmente questo è un dirottatore di sessione, MA ha bisogno di catturare le sessioni prima che l'handshake sia completato. Significa che se la sessione è nella cache DNS o al momento parlando non siamo fortunati.
Sto cercando un modo per "bloccare" un PC non di dominio (ma ancora sulla rete) in modo che quando la sessione viene ripristinata sulla rete possiamo dirottare le porte comuni e instradarle dove vogliamo. Dico "crash" ma le opzioni meno violente sarebbero preferite perché alcuni di questi dispositivi sono solo DVR / PC / apparecchiature vendor sconosciuti che sono passati attraverso i nostri processi di inventario. Ho esaminato LOIC ma non sono sicuro delle capacità rispetto a un singolo target .... e non ho davvero le risorse per costruire una botnet per puntare e sparare. Devo anche dire che basta chiudere la porta a muro per risolvere il problema, visto che possono semplicemente optare per collegarsi altrove ... soprattutto se non sono all'altezza ... e questo fa sì che l'azienda spenda denaro ogni volta per un biglietto per aprire e un biglietto per chiudere.
So che il metasploit ha vaste capacità, ma c'è un'enorme curva di apprendimento che non ho proprio il tempo di fare. Mi stavo chiedendo se ci fosse qualche altro modo o suggerimento di cose da esaminare. Per non influenzare il business, questo deve essere molto indirizzabile a un IP / PC. Qualche idea su come gestire i dispositivi di rete canaglia diversi dal filtraggio MAC e chiudere le porte di rete?
Grazie!