Имеется небольшая сеть, 5 штук 24-ех портовых коммутаторов, один маршрутизатор, он же шлюз выхода в Интернет.Стоит задача, обнаружить несанкционированно подключенные сетевые устроства в сети. То есть не важно, заблокируются они или нет, важно их обнаружить.
Кто что подскажет?
> Кто что подскажет?Для начала надо понять, что такое санкционированные устройства. И чем они отличаются от несанкционированных.
>> Кто что подскажет?
> Для начала надо понять, что такое санкционированные устройства. И чем они
> отличаются от несанкционированных.Не спорю, хороший вопрос!
В компании есть политика, что использовать компьютеры, которые не принадлежат организации (личные) запрещено. Соответственно, все остальные компьютеры (не принадлежащие компании) будут несанкционированными.
>>> Кто что подскажет?
>> Для начала надо понять, что такое санкционированные устройства. И чем они
>> отличаются от несанкционированных.
> Не спорю, хороший вопрос!
> В компании есть политика, что использовать компьютеры, которые не принадлежат организации
> (личные) запрещено. Соответственно, все остальные компьютеры (не принадлежащие компании)
> будут несанкционированными.гоняйте по сети только криптованный трафик, авторизуйте компьютеры сертификатами, пользователи - без админских прав, и т п.
>>>> Кто что подскажет?
>>> Для начала надо понять, что такое санкционированные устройства. И чем они
>>> отличаются от несанкционированных.
>> Не спорю, хороший вопрос!
>> В компании есть политика, что использовать компьютеры, которые не принадлежат организации
>> (личные) запрещено. Соответственно, все остальные компьютеры (не принадлежащие компании)
>> будут несанкционированными.
> гоняйте по сети только криптованный трафик, авторизуйте компьютеры сертификатами, пользователи
> - без админских прав, и т п.Не стоит уходить от темы, инсайдеру ничто не помешает украсть сертификаты, пароли и прочее и авторизоваться с личным компьютером под валидными учетными данными
> Не стоит уходить от темы, инсайдеру ничто не помешает украсть сертификаты, пароли
> и прочее и авторизоваться с личным компьютером под валидными учетными даннымипорты, залитые эпоксидкой, опломбированные и на сигнализации корпуса системных блоков - сильно затруднят задачу. ))
Хотя, это всё стеб, топикстартер таким уровнем "секретности" заморачиваться не будет.
>> Не стоит уходить от темы, инсайдеру ничто не помешает украсть сертификаты, пароли
>> и прочее и авторизоваться с личным компьютером под валидными учетными данными
> порты, залитые эпоксидкой, опломбированные и на сигнализации корпуса системных блоков
> - сильно затруднят задачу. ))
> Хотя, это всё стеб, топикстартер таким уровнем "секретности" заморачиваться не будет.Это идеальное решение! Опять же, режем провод и цепляемся к сети с личным компьютером :)
Самый защищенный сервер - залитый в бетон и выключенный :)
>>> Не стоит уходить от темы, инсайдеру ничто не помешает украсть сертификаты, пароли
>>> и прочее и авторизоваться с личным компьютером под валидными учетными данными
>> порты, залитые эпоксидкой, опломбированные и на сигнализации корпуса системных блоков
>> - сильно затруднят задачу. ))
>> Хотя, это всё стеб, топикстартер таким уровнем "секретности" заморачиваться не будет.
> Это идеальное решение! Опять же, режем провод и цепляемся к сети с
> личным компьютером :)так нет жеж, по задумке - сеть _вся_ криптуется по 802.1х какому-то там
>>>> Не стоит уходить от темы, инсайдеру ничто не помешает украсть сертификаты, пароли
>>>> и прочее и авторизоваться с личным компьютером под валидными учетными данными
>>> порты, залитые эпоксидкой, опломбированные и на сигнализации корпуса системных блоков
>>> - сильно затруднят задачу. ))
>>> Хотя, это всё стеб, топикстартер таким уровнем "секретности" заморачиваться не будет.
>> Это идеальное решение! Опять же, режем провод и цепляемся к сети с
>> личным компьютером :)
> так нет жеж, по задумке - сеть _вся_ криптуется по 802.1х
> какому-то тамЯ - легитимный пользователь, у меня имеются все пароли доступа :)
> Я - легитимный пользователь, у меня имеются все пароли доступа :)ну удачи...
>> Я - легитимный пользователь, у меня имеются все пароли доступа :)
> ну удачи...Если Вам не сложно, поясните пожалуйста
>> Я - легитимный пользователь, у меня имеются все пароли доступа :)легитимному пользователю не нужны _все_ пароли доступа.
У него должен быть доступ только в его рабочую область.
Настройка сети - не его область, доступа туда у него быть не должно.
>>> Я - легитимный пользователь, у меня имеются все пароли доступа :)
> легитимному пользователю не нужны _все_ пароли доступа.
> У него должен быть доступ только в его рабочую область.
> Настройка сети - не его область, доступа туда у него быть не
> должно.Да, вот он с помощью паролей доступа в рабочую область и попадет куда надо.
Есть еще такая вещи как:
- дыры в ПО;
- неверная настройка прав доступа;
- банальная забывчивость что-то выставить в правах
> Да, вот он с помощью паролей доступа в рабочую область и попадет
> куда надо.с чего бы вдруг? Вы неспособны прочитать и понять фразу:
> Настройка сети - не его область, доступа туда у него быть не
> должно.--
> Есть еще такая вещи как:
> - дыры в ПО;
> - неверная настройка прав доступа;
> - банальная забывчивость что-то выставить в правахну тогда - компьютеры вместе с сетью собрать в кучу и залить бетоном.
Проще вам тогда вообще не заморачиваться. Дыры в ПО - вы всё сами не перепишете, права доступа правильно не выставите, всеравно где-нибудь да будет уязвимость - смысл тогда вообще что-то делать?
Задачи надо конкретно формулировать. Конкретно - это значит с деталями рабочего процесса, а не абстрактное - "нельзя подключить личный комп". Конкретно формулировать задачи, и исходя из их постановки - комплексно решать задачу обеспечения безопасности. Комплексно, если вы в приниципе понимаете смысл этого слова.
Всё, завязываю участвовать в топике, в котором люди играют в службу безопасности.
arpwatch
> arpwatchЧто мешает сконфигурировать нужный MAC-IP на личной машине ?
Плюс к этому необходимо, что бы пакеты шли через маршрутизатор (с которого будем глядеть информацию). Если компьютер будет подключен и общаться только со своим сегментом в обход архитектуры "выше"? Зеркалировать все коммутаторы накладно получается :D
> arpwatch
Модели коммутаторов?
по snmp или еще как брать таблицу arp c коммутаторов да и все дела
> Модели коммутаторов?
> по snmp или еще как брать таблицу arp c коммутаторов да и
> все делаЭто дельный совет, думал над этим, но опять же все упирается в MAC адреса, который блин можно легко подправить.
Cisco 3560
А если админ, на легальные машины поставит, типа софт какой (самописный), про который никто кроме него не знает, софт будет отвечать на каком нить порту, ну что то вроде запросчика свой чужой как в авиации ?
только массовые расстрелы спасают.
обнаружили несанкционированное устройство - и в подвал на исполнение.
сразу порядок.
>> Модели коммутаторов?
>> по snmp или еще как брать таблицу arp c коммутаторов да и
>> все дела
> Это дельный совет, думал над этим, но опять же все упирается в
> MAC адреса, который блин можно легко подправить.
> Cisco 35601) пользователи имеют админские права на компьютерах? если да, то это детский сад, а не безопасная сеть.
2) Ставишь софт для мониторинга на клиенты, OCS Inventory NG Agent, еще есть его форк какой-то, или еще какой-нибудь платный.
3) Антивирусная защита есть? на каждом клиентском компе должен стоять антивирус с подключением к серверу уаправления. Если в сети появляется компьютер без антивируса, то сервер об этом узнает и пишет, что есть новый компьютер. У корпоративного касперского так.Безопасность не решается одним способом, а только комплексом
> Стоит задача, обнаружить несанкционированно подключенные сетевые устроства в сети. То
> есть не важно, заблокируются они или нет, важно их обнаружить.Статические arp - таблицы и мониторинг arp - трафика?