The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обнаружение несанкционированных устройств"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Проблемы с безопасностью / Другая система)
Изначальное сообщение [ Отслеживать ]

"Обнаружение несанкционированных устройств"  +/
Сообщение от abcdeiko email(ok) on 24-Окт-12, 16:06 
Имеется небольшая сеть, 5 штук 24-ех портовых коммутаторов, один маршрутизатор, он же шлюз выхода в Интернет.

Стоит задача, обнаружить несанкционированно подключенные сетевые устроства в сети. То есть не важно, заблокируются они или нет, важно их обнаружить.

Кто что подскажет?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обнаружение несанкционированных устройств"  +/
Сообщение от Дядя_Федор on 24-Окт-12, 17:55 
> Кто что подскажет?

Для начала надо понять, что такое санкционированные устройства. И чем они отличаются от несанкционированных.


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обнаружение несанкционированных устройств"  +/
Сообщение от abcdeiko email(ok) on 24-Окт-12, 17:58 
>> Кто что подскажет?
>  Для начала надо понять, что такое санкционированные устройства. И чем они
> отличаются от несанкционированных.

Не спорю, хороший вопрос!
В компании есть политика, что использовать компьютеры, которые не принадлежат организации (личные) запрещено. Соответственно, все остальные компьютеры (не принадлежащие компании) будут несанкционированными.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Обнаружение несанкционированных устройств"  +/
Сообщение от PavelR (ok) on 24-Окт-12, 18:17 
>>> Кто что подскажет?
>>  Для начала надо понять, что такое санкционированные устройства. И чем они
>> отличаются от несанкционированных.
> Не спорю, хороший вопрос!
> В компании есть политика, что использовать компьютеры, которые не принадлежат организации
> (личные) запрещено. Соответственно, все остальные компьютеры (не принадлежащие компании)
> будут несанкционированными.

гоняйте по сети только криптованный трафик, авторизуйте компьютеры сертификатами, пользователи - без админских прав, и т п.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Обнаружение несанкционированных устройств"  +/
Сообщение от abcdeiko email(ok) on 24-Окт-12, 18:30 
>>>> Кто что подскажет?
>>>  Для начала надо понять, что такое санкционированные устройства. И чем они
>>> отличаются от несанкционированных.
>> Не спорю, хороший вопрос!
>> В компании есть политика, что использовать компьютеры, которые не принадлежат организации
>> (личные) запрещено. Соответственно, все остальные компьютеры (не принадлежащие компании)
>> будут несанкционированными.
> гоняйте по сети только криптованный трафик, авторизуйте компьютеры сертификатами, пользователи
> - без админских прав, и т п.

Не стоит уходить от темы, инсайдеру ничто не помешает украсть сертификаты, пароли и прочее и авторизоваться с личным компьютером под валидными учетными данными


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Обнаружение несанкционированных устройств"  +/
Сообщение от PavelR (ok) on 24-Окт-12, 18:34 

> Не стоит уходить от темы, инсайдеру ничто не помешает украсть сертификаты, пароли
> и прочее и авторизоваться с личным компьютером под валидными учетными данными

порты, залитые эпоксидкой, опломбированные и на сигнализации корпуса системных блоков - сильно затруднят задачу. ))


Хотя, это всё стеб, топикстартер таким уровнем "секретности" заморачиваться не будет.


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Обнаружение несанкционированных устройств"  +/
Сообщение от abcdeiko email(ok) on 24-Окт-12, 18:37 
>> Не стоит уходить от темы, инсайдеру ничто не помешает украсть сертификаты, пароли
>> и прочее и авторизоваться с личным компьютером под валидными учетными данными
> порты, залитые эпоксидкой, опломбированные и на сигнализации корпуса системных блоков
> - сильно затруднят задачу. ))
> Хотя, это всё стеб, топикстартер таким уровнем "секретности" заморачиваться не будет.

Это идеальное решение! Опять же, режем провод и цепляемся к сети с личным компьютером :)

Самый защищенный сервер - залитый в бетон и выключенный :)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Обнаружение несанкционированных устройств"  +/
Сообщение от PavelR (ok) on 24-Окт-12, 18:45 
>>> Не стоит уходить от темы, инсайдеру ничто не помешает украсть сертификаты, пароли
>>> и прочее и авторизоваться с личным компьютером под валидными учетными данными
>> порты, залитые эпоксидкой, опломбированные и на сигнализации корпуса системных блоков
>> - сильно затруднят задачу. ))
>> Хотя, это всё стеб, топикстартер таким уровнем "секретности" заморачиваться не будет.
> Это идеальное решение! Опять же, режем провод и цепляемся к сети с
> личным компьютером :)

так нет жеж, по задумке -  сеть _вся_ криптуется по 802.1х какому-то там


Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Обнаружение несанкционированных устройств"  +/
Сообщение от abcdeiko email(ok) on 24-Окт-12, 19:48 
>>>> Не стоит уходить от темы, инсайдеру ничто не помешает украсть сертификаты, пароли
>>>> и прочее и авторизоваться с личным компьютером под валидными учетными данными
>>> порты, залитые эпоксидкой, опломбированные и на сигнализации корпуса системных блоков
>>> - сильно затруднят задачу. ))
>>> Хотя, это всё стеб, топикстартер таким уровнем "секретности" заморачиваться не будет.
>> Это идеальное решение! Опять же, режем провод и цепляемся к сети с
>> личным компьютером :)
> так нет жеж, по задумке -  сеть _вся_ криптуется по 802.1х
> какому-то там

Я - легитимный пользователь, у меня имеются все пароли доступа :)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Обнаружение несанкционированных устройств"  +/
Сообщение от PavelR (ok) on 24-Окт-12, 19:58 

> Я - легитимный пользователь, у меня имеются все пароли доступа :)

ну удачи...

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Обнаружение несанкционированных устройств"  +/
Сообщение от abcdeiko email(ok) on 24-Окт-12, 20:15 
>> Я - легитимный пользователь, у меня имеются все пароли доступа :)
> ну удачи...

Если Вам не сложно, поясните пожалуйста

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "Обнаружение несанкционированных устройств"  +/
Сообщение от PavelR (ok) on 24-Окт-12, 20:49 
>> Я - легитимный пользователь, у меня имеются все пароли доступа :)

легитимному пользователю не нужны _все_ пароли доступа.
У него должен быть доступ только в его рабочую область.
Настройка сети - не его область, доступа туда у него быть не должно.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "Обнаружение несанкционированных устройств"  +/
Сообщение от abcdeiko (ok) on 25-Окт-12, 06:58 
>>> Я - легитимный пользователь, у меня имеются все пароли доступа :)
> легитимному пользователю не нужны _все_ пароли доступа.
> У него должен быть доступ только в его рабочую область.
> Настройка сети - не его область, доступа туда у него быть не
> должно.

Да, вот он с помощью паролей доступа в рабочую область и попадет куда надо.
Есть еще такая вещи как:
- дыры в ПО;
- неверная настройка прав доступа;
- банальная забывчивость что-то выставить в правах

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Обнаружение несанкционированных устройств"  +/
Сообщение от PavelR (ok) on 25-Окт-12, 09:13 
> Да, вот он с помощью паролей доступа в рабочую область и попадет
> куда надо.

с чего бы вдруг? Вы неспособны прочитать и понять фразу:

> Настройка сети - не его область, доступа туда у него быть не
> должно.

--

> Есть еще такая вещи как:
> - дыры в ПО;
> - неверная настройка прав доступа;
> - банальная забывчивость что-то выставить в правах

ну тогда - компьютеры вместе с сетью собрать в кучу и залить бетоном.

Проще вам тогда вообще не заморачиваться. Дыры в ПО - вы всё сами не перепишете, права доступа правильно не выставите, всеравно где-нибудь да будет уязвимость - смысл тогда вообще что-то делать?

Задачи надо конкретно формулировать. Конкретно - это значит с деталями рабочего процесса, а не абстрактное - "нельзя подключить личный комп". Конкретно формулировать задачи, и исходя из их постановки - комплексно решать задачу обеспечения безопасности. Комплексно, если вы в приниципе понимаете смысл этого слова.

Всё, завязываю участвовать в топике, в котором люди играют в службу безопасности.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

4. "Обнаружение несанкционированных устройств"  +/
Сообщение от belyj on 24-Окт-12, 18:29 
arpwatch
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Обнаружение несанкционированных устройств"  +/
Сообщение от abcdeiko email(ok) on 24-Окт-12, 18:35 
> arpwatch

Что мешает сконфигурировать нужный MAC-IP на личной машине ?
Плюс к этому необходимо, что бы пакеты шли через маршрутизатор (с  которого будем глядеть информацию). Если компьютер будет подключен и общаться только со своим сегментом в обход архитектуры "выше"? Зеркалировать все коммутаторы накладно получается :D

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Обнаружение несанкционированных устройств"  +/
Сообщение от Andrey Mitrofanov on 24-Окт-12, 18:37 
> arpwatch

http://lmgtfy.com/?q=ip+link+set+mac

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

13. "Обнаружение несанкционированных устройств"  +/
Сообщение от name (??) on 24-Окт-12, 20:10 
Модели коммутаторов?
по snmp или еще как брать таблицу arp c коммутаторов да и все дела
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Обнаружение несанкционированных устройств"  +/
Сообщение от abcdeiko email(ok) on 24-Окт-12, 20:17 
> Модели коммутаторов?
> по snmp или еще как брать таблицу arp c коммутаторов да и
> все дела

Это дельный совет, думал над этим, но опять же все упирается в MAC адреса, который блин можно легко подправить.

Cisco 3560

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "Обнаружение несанкционированных устройств"  +/
Сообщение от Андрей (??) on 25-Окт-12, 08:48 
А если админ, на легальные машины поставит, типа софт какой (самописный), про который никто кроме него не знает, софт будет отвечать на каком нить порту, ну что то вроде запросчика свой чужой как в авиации ?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

20. "Обнаружение несанкционированных устройств"  +/
Сообщение от dima email(??) on 25-Окт-12, 23:53 
только массовые расстрелы спасают.
обнаружили несанкционированное устройство  - и в подвал на исполнение.
сразу порядок.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "Обнаружение несанкционированных устройств"  +/
Сообщение от name (??) on 26-Окт-12, 19:05 
>> Модели коммутаторов?
>> по snmp или еще как брать таблицу arp c коммутаторов да и
>> все дела
> Это дельный совет, думал над этим, но опять же все упирается в
> MAC адреса, который блин можно легко подправить.
> Cisco 3560

1) пользователи имеют админские права на компьютерах? если да, то это детский сад, а не безопасная сеть.
2) Ставишь софт для мониторинга на клиенты, OCS Inventory NG Agent, еще есть его форк какой-то, или еще какой-нибудь платный.
3) Антивирусная защита есть? на каждом клиентском компе должен стоять антивирус с подключением к серверу уаправления. Если в сети появляется компьютер без антивируса, то сервер об этом узнает и пишет, что есть новый компьютер. У корпоративного касперского так.

Безопасность не решается одним способом, а только комплексом

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

23. "Обнаружение несанкционированных устройств"  +/
Сообщение от Дум Дум on 31-Окт-12, 10:09 

> Стоит задача, обнаружить несанкционированно подключенные сетевые устроства в сети. То
> есть не важно, заблокируются они или нет, важно их обнаружить.

Статические arp - таблицы и мониторинг arp - трафика?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру