办公室里有五类网线从一些房间穿过墙壁和天花板连接到其他房间。
该办公室过去属于另一家公司,这意味着无法保证没有人在墙壁上安装跟踪设备,或者电缆不会到达建筑物中的其他办公室,在那里它可以被篡改。
是否可以使用电缆两侧的硬件或软件来确保电缆不被篡改(换句话说,这确实是一根电缆,而不是通过设备连接的两根电缆,例如转变)?还是实际的,物理检查是唯一的方法?
为了缩小问题的范围,我通过引入一个基本交换机来讨论普通篡改,该交换机可以跟踪通过它的内容(并可能将流量重定向到另一个端口进行检查,因为大多数交换机都能够做到)。当然,这不包括军用级设备,这些设备不仅专门设计用于追踪通信,而且还抵制任何试图识别它们的企图。
我会尝试使用电缆分析仪,例如Fluke 的 DSX-5000。该分析仪应能保证每根电缆的连续性及其特性。这应该足以检测到不需要的交换机或任何端口镜像设备的存在。
也许一个简单的连续性测试仪就足够了,但更专业/更昂贵的电缆分析仪可以给出电缆长度、传播延迟和许多其他物理元素,甚至可以通过对线路的推导来改变。困难的部分仍然是正确解释结果,但与标准测量的任何强烈差异都暗示可能存在一些奇怪的东西......
用于解决此问题的方法将涉及将网络交换机端口所说的位于每条线路另一端的 MAC 地址与这些 MAC 地址应该是什么的列表进行比较。诀窍是收集 MAC 地址列表,因为在没有实际清点客户端和记录其 MAC 地址的情况下,它需要一些发现自动化工具。
适当保护的网络不应允许插入未知且未授权在网络上的设备。一些公司有这种设置,并且放置在网络上的设备不知道网络将不会获得 IP 地址等。一些公司已经解决了这个问题,以便未知设备可以插入并连接并获得一个IP 地址,但会向安全操作中心发送警报以进行调查。大多数公司没有任何措施可以预防甚至检测。
如果您怀疑现有的布线可能一开始就受到损害,那么从最严格的设置开始,让 dhcp 拒绝未知客户端,并执行客户端发现并在 dhcp 中使它们为人所知。G您具体如何执行此操作将根据您用作 DHCP 服务器的内容而有所不同。
拥有一个入侵检测系统 (IDS) 也是一个好主意,该系统被配置为检测和警告在您的网络上运行的不应该运行的服务。例如,流氓 DHCP 服务器、DNS 服务器、接入点等。具体如何执行取决于您选择的 IDS 平台。Snort成熟稳定,功能齐全,性价比高:
即使您不怀疑您的网络受到威胁,并且即使您有良好的客户端和 MAC 地址清单并且只允许使用这些地址,也最好有一个 IDS。原因是任何客户端都可能受到威胁并安装了恶意服务。受感染客户端的 MAC 地址不会更改,但现在该客户端已成为流氓设备。