Estoy buscando hacer un rastreo de paquetes en una computadora que no tengo acceso privilegiado. Estoy considerando pedir a los administradores que permitan a los usuarios en un grupo específico acceder a tcpdump. Específicamente, estoy pensando en pedirles que cambien el propietario del grupo de / usr / sbin / tcpdump al grupo específico. enlace
Si se relajara el acceso a tcpdump, ¿qué tipo de impactos a la seguridad del sistema tendría que considerar?
Gracias.
Principalmente, los datos del tráfico no cifrado pueden ser leídos por ese usuario y ese conocimiento de la configuración de la red (es decir, qué IP del servidor de archivos) y cualquier credencial de inicio de sesión que pueda estar codificada en cualquiera de las aplicaciones y enviado sin cifrar Si puede cambiar de usuario y alguien más debe iniciar sesión, sus datos de red también estarán en riesgo.
En lugar de eso:
Obtenga un concentrador, no un enrutador o un conmutador Enchufe la conexión principal y la computadora de destino, y luego una tercera computadora que sí tenga control. Los concentradores transmiten todo el tráfico en todos los puertos para que la tercera computadora escuche todo.
Obtenga una computadora que pueda controlar y agregue 2 nics. Básicamente, un puerto de entrada y salida. Esta computadora y se configurará para transferir los datos a través. Entonces puede capturar sin necesidad de cambiar la computadora de destino en absoluto.