¿Cómo rastrear una computadora portátil maliciosa conectada a una toma de Ethernet no protegida en una organización grande?

8

Me gustaría conocer formas de detectar computadoras portátiles maliciosas conectadas a tomas Ethernet que no estén bien protegidas en una gran organización que tenga un segmento de red simple. Sé que esto se puede evitar utilizando algunas técnicas como el filtrado de MAC, pero supongamos que en esta empresa no utilizan ninguna de estas medidas de seguridad preventivas.

Una posible solución que se me ocurre es usar traceroute para identificar la ruta e identificar el último salto a la computadora portátil. Esto se puede usar para identificar el último enrutador, pero ...

¿Es posible usar algún protocolo de capa 2 u otras técnicas para identificar dónde está conectada una computadora portátil maliciosa a una toma de Ethernet no protegida en una gran organización?

    
pregunta kinunt 05.03.2013 - 19:44
fuente

2 respuestas

9

Cualquier conmutador administrado debe poder decirle en qué puertos ha visto una dirección MAC determinada. Identifique la IP, ARP en esa red, consulte los conmutadores en ese segmento para la dirección MAC dada.

La prevención supera a todos, sin embargo: ¿Cómo puedo restringir el acceso a los datos de la red a través de una computadora no autorizada que se conecta a través de Ethernet?

    
respondido por el Jeff Ferland 05.03.2013 - 20:01
fuente
1

La respuesta técnica o la solución es lo que usted llama Control de Admisión a la Red. Su policía hace todo el trabajo para usted.

En el interruptor sospechoso puede ejecutar el comando no exacto pero algo similar para mostrar la tabla mac. Básicamente, todo el puerto y el enlace de mac se almacenan en la tabla CAM, también conocido como contenido de memoria direccionable, por ejemplo,

    Cat6K#show mac-address-table int gi 6/11

Si está pensando en bloquear activamente el uso de los conmutadores internos, vaya a la inspección dinámica de arp de DAI, básicamente, es una lista blanca para todas las solicitudes de arp y niega el enlace de mac a ip autorizado.

En cuanto al conocimiento, debe saber que en la capa 3 y en la capa 2 de Osi no hay ningún control inherente para evitar que ocurra la falsificación. Es lo que usted llama arp no solicitado. Por lo tanto, tiene que confiar en la solución puntual para esto.

    
respondido por el Saladin 05.03.2013 - 22:36
fuente

Lea otras preguntas en las etiquetas