¿Cómo restaurar dispositivos como teléfonos IP para un uso productivo después de una actividad inexplicable? [cerrado]

0

Estoy tratando de considerar cómo examinar correctamente los dispositivos que han mostrado una actividad inexplicable para una futura implementación. Consideremos mi escenario actual como ejemplo, pero estoy interesado en esto desde un punto de vista más amplio.

Tenemos dos teléfonos IP que fueron comprados al mismo tiempo que se están comportando de manera extraña y diferente a nuestros otros teléfonos idénticos. No están conectados con nuestra red en absoluto en este momento y toda mi investigación se realizó dentro de un entorno controlado que controla y bloquea toda la actividad de la red. Hacen conexiones inesperadas en el fondo a través de puertos SIP a Corea del Norte, Nigeria y China. El fabricante no ha confirmado que se trata de una actividad esperada, pero el proveedor ha verificado que el dispositivo se adquirió directamente del fabricante.

He perdido la confianza en este hardware. ¿Hay alguna manera de recuperar la confianza en él hasta el punto en que re-implementarlo sea una acción razonable?

Estoy seguro de que la acción más segura es simplemente deshacerse de ellos. Tal vez mi tiempo no valga la pena, pero ignorando el problema del tiempo / dinero, ¿hay alguna manera de estar razonablemente seguro de que los dispositivos no representan una amenaza?

Sé que lo que es razonable es subjetivo, pero ¿qué pasos podrían tomarse en esa dirección? ¿Qué escenarios deben considerarse y cómo se mitigarían?

    
pregunta flickerfly 06.11.2014 - 18:47
fuente

1 respuesta

1

Ya que estos son dispositivos integrados, es difícil decir exactamente en cuanto a los detalles. ¿Quizás pueda hacer que el fabricante le brinde un método para limpiar los teléfonos de manera segura y reemplazar lo que está allí con su último firmware? También podrían proporcionar una forma de verificar la integridad de las imágenes de firmware, BIOS, etc. Después de hacer todo esto, al hacer el mismo monitoreo de tráfico de red que confirmó si todavía están realizando conexiones salientes sospechosas. Si siguió esos pasos y el tráfico de la red pareció limpio durante un período de tiempo razonable, entonces puede sentirse seguro reintroduciéndolos nuevamente en producción.

    
respondido por el theterribletrivium 07.11.2014 - 00:45
fuente

Lea otras preguntas en las etiquetas