¿Cómo puedo estar seguro de que el cable de red es seguro de usar?

6

Hay cables de red Cat 5 en la oficina que van desde algunas habitaciones a otras habitaciones a través de las paredes y el techo.

La oficina pertenecía a otra compañía en el pasado, lo que significa que no hay garantía de que nadie haya instalado un dispositivo de rastreo en las paredes, o que el cable no vaya a otra oficina en el edificio, donde se puede manipulado.

¿Se puede hacer algo usando hardware o software en ambos lados del cable para asegurarse de que no se alteró el cable (en otras palabras, esto es realmente un solo cable y no dos conectados a través de un dispositivo) como un interruptor)? ¿O la inspección física real es la única manera?

Para reducir el alcance de la pregunta, me refiero a la manipulación ordinaria mediante la introducción de un conmutador básico que puede rastrear lo que pasa a través de él (y posiblemente redirigir el tráfico a otro puerto para su inspección, como la mayoría de los conmutadores pueden hacer) . Por supuesto, esto excluye los dispositivos de grado militar que están diseñados específicamente no solo para rastrear la comunicación, sino también para resistir cualquier intento de identificarlos.

    
pregunta Arseni Mourzenko 29.12.2016 - 23:40
fuente

2 respuestas

1

Intentaría usar un analizador de cable, por ejemplo, el DSX-5000 de Fluke . Este analizador debe poder garantizar la continuidad de cada cable y sus características. Eso debería ser suficiente para detectar la presencia de un conmutador no deseado o cualquier dispositivo de duplicación de puertos.

Tal vez un simple comprobador de continuidad podría ser suficiente, pero un analizador de cables más profesional / costoso podría proporcionar la longitud del cable, el retardo de propagación y muchos otros elementos físicos que podrían cambiarse incluso por una derivación en una línea. La parte difícil aún sería interpretar correctamente los resultados, pero cualquier diferencia fuerte con respecto a las medidas estándar sería un indicio de que algo extraño podría estar allí ...

    
respondido por el Serge Ballesta 30.12.2016 - 01:40
fuente
0

El método que se emplearía para resolver esto implicaría comparar las direcciones MAC que los puertos del conmutador de red dicen que están en el otro extremo de cada cable, con una lista de lo que deberían ser esas direcciones MAC. El truco es recopilar la lista de las direcciones MAC, ya que sin realmente hacer un inventario de los clientes y registrar sus direcciones MAC, se requerirían algunas herramientas de automatización de descubrimiento.

Una red protegida adecuadamente no debe permitir que se conecte un dispositivo que no se sepa y esté autorizado para estar en la red. Algunas empresas tienen esta configuración y un dispositivo que se coloca en la red que la red no conoce no obtendrá una dirección IP, etc. Algunas compañías han funcionado de tal manera que dispositivos desconocidos pueden conectarse y conectarse y obtener una Dirección IP, pero se envía una alerta al centro de operaciones de seguridad para investigar. La mayoría de las empresas no tienen nada para prevenir o incluso detectar.

Si sospecha que el cableado existente podría estar comprometido para comenzar, comience con la configuración más estricta para que dhcp niegue a los clientes desconocidos, realice un descubrimiento de los clientes y déjelos conocer en dhcp. Como lo hace específicamente, variaría según lo que use como servidor DHCP.

También sería una buena idea tener un sistema de detección de intrusos (IDS) configurado para detectar y alertar sobre los servicios que se ejecutan en su red que no deberían estarlo. Por ejemplo, un servidor DHCP, un servidor DNS, un punto de acceso, etc. no fiables. El modo específico de hacerlo dependerá de la plataforma IDS que seleccione. Snort es maduro, estable, completo y rentable:

SNORT Intrusion Detection

Sería mejor tener un IDS en su lugar incluso si no sospecha que su red está comprometida, e incluso si tiene un buen inventario de clientes y direcciones MAC, y solo esos están permitidos. La razón es que cualquiera de los clientes podría verse comprometido y los servicios maliciosos instalados. La dirección MAC del cliente comprometido no cambiará, pero ahora ese cliente se ha convertido en un dispositivo deshonesto.

    
respondido por el Thomas Carlisle 30.12.2016 - 00:04
fuente

Lea otras preguntas en las etiquetas