我是一名网络安全顾问。在影子 IT 设备搜索中,我们注意到网络上插入了一些不需要的设备。但是,即使使用它的 MAC 地址和 IP,我也无法从物理上识别设备。负责网络管理的公司承认,他们没有为大楼(几栋大楼、几层楼、数千名员工)的电缆/插头进行任何映射。他们所能做的就是识别一个特定的开关,甚至连它上面的插头都没有。
我不习惯操作硬件网络设备,但是你有没有遇到过类似的情况?在这种情况下,您有什么建议来识别恶意设备所在的良好以太网插头?
最终的解决方案是在建筑物中漫游并主动射击每一个可疑设备,但鉴于 COVID 情况,我被困在家里......
以管理方式关闭交换机端口。
如果这是重要的事情,有人(或监控)会抱怨。
同时,派人到机柜中识别交换机端口所连接的补丁,然后追踪到物理位置。
当端口上没有/过时/错误的标签时,我个人使用音调探头来跟踪布线。
你也可以:
作为最佳实践,您应该在某个管理方案(或通常几个)中列出所有设备的清单。即使没有对 MAC 地址进行盘点,从设备列表中获取它们也应该没有什么大问题(查找名称,将 IP 地址解析为 MAC 地址)。
然后,将网络上的 MAC 地址与库存进行交叉比较。可能没有绝对完整的列表,因此请按 OUI/供应商对多余的 MAC 进行分类,并将明显遗漏的设备类别添加到您的清单中。剩下的就是流氓 - 追踪并杀死:检查每个地址的主交换机的 MAC 表,它会显示通向它的端口。如果该端口是另一台交换机,请检查其 MAC 表,依此类推,直到电缆将您引向恶意设备。
正如 JFL 已经指出的,未使用的网络端口应该在管理上停用。此外,需要有一项政策禁止在私人/非公司设备上进行连接。没有它,有人可能会连接一个配置错误的无线接入点,让你所有的邻居都加入你的网络。或者插入他们感染了恶意软件的家用笔记本电脑。或者 ...