Trabajo como analista de seguridad para una gran empresa. La respuesta debe proporcionar soporte remoto. Actualmente estamos buscando construir una pieza de software (que integre productos existentes con capacidades locales también) que se utiliza para rebotar dispositivos ilegales fuera de la red. Hasta ahora tenemos lo siguiente:
SIEM, capacidades de detección, Metasploit, OpenVAS, Rifleman
Rifleman se vuelve interesante ... esto es esencialmente un secuestrador de sesión, PERO necesita capturar sesiones antes de que se complete el saludo. Lo que significa que si la sesión está en el caché de DNS o si estamos hablando actualmente, no tenemos suerte.
Estoy buscando una manera de "bloquear" una PC sin dominio (pero aún en la red) para que cuando la sesión se restaure en la red podamos secuestrar puertos comunes y enrutarlos a donde queramos. Digo que las opciones de "bloqueo" pero menos violentas serían preferidas ya que algunos de estos dispositivos son simplemente DVR / PC / equipos de proveedores desconocidos que se han deslizado a través de nuestros procesos de inventario. He buscado en LOIC pero no estoy seguro de las capacidades contra un solo objetivo ... y realmente no tengo los recursos para construir una red de bots para apuntar y disparar. También debo mencionar que el simple hecho de cerrar el puerto de la toma de pared no resuelve el problema, ya que pueden optar por enchufarse en otro lugar ... especialmente si no son buenos ... y eso hace que el negocio gaste dinero cada vez para un boleto para abrir y un boleto para cerrar.
Sé que metasploit tiene muchas capacidades, pero hay una curva de aprendizaje masiva para la que no tengo tiempo. Me preguntaba si había alguna otra forma o sugerencia de cosas para mirar. Para no afectar el negocio, esto debe ser muy orientado a una IP / PC. ¿Alguna idea sobre cómo tratar con dispositivos de red no autorizados que no sean el filtrado de MAC y el cierre de puertos de red?
¡Gracias!