Impedisce che il dispositivo gateway falso sia collegato alla scheda di rete del PC

Naviga le tue risposte
-1

Ufficio. Diversi PC con Linux. Internet è limitato a livello di gateway, quindi nessuno potrebbe eseguire richieste POST su HTTP.

Abbiamo preparato diverse misure per prevenire la perdita di dati a livello di infrastruttura, ma chiedendo:

È possibile prevenire attacchi come attaccare un dispositivo di rete hardware al PC direttamente via filo per immortalare un gateway falso? In questo modo l'utente può evitare tutte le restrizioni della rete a livello di ufficio e copiare qualcosa direttamente su questo dispositivo.

I dispositivi di archiviazione (USB e simili) sono già disabilitati.

Obiettivo finale: prevenire la perdita di dati da parte di alcuni dei nostri dipendenti.

    
posta Alexander 06.10.2015 - 21:28
fonte

2 risposte

0

Is it possible to prevent attacks like attaching a hardware network device to the PC's straight by wire to immitate a fake gateway? That way user can avoid all office-wide network restrictions and copy something right on this device.

Suppongo nella mia risposta che l'utente non abbia accesso root al sistema, non possa avviare nessun altro sistema o semplicemente rimuovere il disco rigido e accedervi direttamente, perché altrimenti potrebbe semplicemente eludere le protezioni esistenti.

Poiché un utente esperto può simulare un router completo incluso l'indirizzo MAC dei router originali, potrebbe aggiungere un router falso. In questo caso, l'unica opzione sarebbe assicurarsi che il sistema si connetta solo a router correttamente identificati, ovvero utilizzare una VPN per il router o simili. Lo stesso vale per l'utente che allega alcuni archivi di rete, ecc., Ovvero è necessario assicurarsi che il computer possa comunicare solo con un numero limitato di sistemi completamente identificati.

... so nobody could do POST-requests over HTTP. ... End goal: prevent data leak by some of our employees.

È possibile trasferire i dati all'interno dell'URL o all'interno delle intestazioni HTTP di una richiesta GET, quindi limitare il POST non è sufficiente fintanto che l'utente può comunicare con un sito Web sotto il proprio controllo. Oltre a ciò l'utente potrebbe semplicemente scattare foto delle informazioni, scriverle o semplicemente ricordare le informazioni e scriverle a casa. Se non ti fidi degli utenti così tanto probabilmente non dovrebbero avere accesso alle informazioni.

Limitare le richieste POST protegge solo da perdite accidentali di informazioni o da utenti non tecnici. Ma questi utenti probabilmente non tenteranno di aggiungere un router alternativo per perdere dati.

Se ti interessa il trasferimento di enormi quantità di informazioni che non possono essere semplicemente ricordate o fotografate, allora potrebbe essere il migliore che questi dati non siano disponibili dall'ambiente internet avendo sistemi dedicati (hardware o VM) per accedere a Internet e questi sistemi non dovrebbero avere accesso ai dati rilevanti.

    
risposta data 06.10.2015 - 22:41
fonte
0

Sì, spegni il pc o mettilo in stato di ibernazione. Finché non ci sono dati che lasciano il pc attraverso quell'interfaccia, non hai nulla di cui preoccuparti. I linux si può semplicemente usare iptables per bloccare tutto il traffico in uscita dal computer, solo per essere sicuri.

Stai al sicuro;)

    
risposta data 06.10.2015 - 21:48
fonte

Leggi altre domande sui tag

Posso iniziare il seminario sulla sicurezza informatica stupendo il pubblico, come entrare nel Wifi / Bluetooth del loro telefono per accedere a una cartella e mostrarli? [chiuso] Come proteggere la funzionalità SMS nell'applicazione Web? [duplicare]