Observando aplicaciones como WireShark y otros aleros que caen en la red corporativa

5

¿Hay formas de monitorear y verificar el monitoreo de la red como WireShark?

O sería más ideal garantizar que todas las aplicaciones usen SSL para garantizar que ningún empleado o nadie pueda enviar chats / correos electrónicos para obtener información.

    
pregunta Jason 03.04.2014 - 18:39
fuente

3 respuestas

4

No hay forma de hacerlo a menos que pueda monitorear los programas instalados en las PC de sus usuarios con un software como el escáner de software EMCO.

    
respondido por el Kotzu 03.04.2014 - 18:46
fuente
1

Siempre puedes buscar esas tarjetas WiFi y Ethernet que están en modo promiscuo, ya que no deberían ser así. Si implementas un buen AV como sophos, puedes bloquear todos los puertos USB y unidades de CD. Bloquee los privilegios para ciertas cosas como CMD, Ejecutar y tal vez C :. Si implementa un proxy, puede filtrar el sitio web no deseado en una lista negra para que el usuario no pueda acceder a ellos y descargarlos de esa manera. Esa es más una respuesta para prevenir que para descubrir, pero espero que esto ayude.

    
respondido por el Sighbah 03.04.2014 - 21:20
fuente
1

Usando algún tipo de monitor de red, toque de red, barrido de ping u otra herramienta de monitoreo de tráfico ... No, la captura de tráfico es generalmente inestable a menos que el atacante intente hacer ruido y capturar el tráfico.

Existen herramientas de administración de sys que pueden monitorear los programas instalados en máquinas autorizadas, y puede usar control de acceso a la red para limitar Los dispositivos no autorizados acceden a la red. Sin embargo, todavía es posible que un atacante capture el tráfico. El atacante puede estar limitado a su dominio de transmisión / enrutamiento basado en conmutadores, enrutadores, VLANS si está tratando de guardar silencio; sin embargo, es posible obtener acceso para abarcar el puerto o usar algo como a PwnPlug en el punto estratégico de la red. Sin embargo, cuanta más red desee acceder, más difícil será permanecer en silencio.

En general, cuando es posible ejecutar conexiones individuales con cifrado, ya sea TLS / SSL o alguna otra cosa, es una buena manera de limitar las escuchas ilegales, pero todavía hay posibilidades de compromiso.

El mejor plan de acción, es implementar múltiples capas de protección . Esto puede incluir sensores IDS / IPS estratégicamente en la red, herramientas de monitoreo / ejecución de aplicaciones de estaciones de trabajo, control de acceso a la red, revisiones físicas del sitio, deshabilitación de puertos no utilizados, etc.

    
respondido por el Eric G 03.04.2014 - 21:33
fuente

Lea otras preguntas en las etiquetas