È possibile rilevare uno switch non autorizzato su una rete?

0

È possibile rilevare un interruttore non autorizzato su una LAN? Il mio dipartimento IT universitario non consente alle persone di collegare i propri switch alla rete. Sono interessato a sapere se è effettivamente possibile rilevarli e aggirare il rilevamento?

Una macchina virtuale con connessioni di rete a ponte rende la macchina host simile a uno switch? Come può una volta analizzare il traffico da una porta per sapere se c'è un interruttore a valle o se sono solo macchine virtuali? Potrei cambiare i MAC della mia macchina fisica (i primi 3 ottati) nella gamma di macchine virtuali, se il MAC è l'unico modo per distinguere gli switch da una VM.

virtual-machine  lan  switch 
Lord Loh.
fonte

Risposte:

1

Utilizzando gli switch gestiti o un sistema come arpwatch, è in grado di monitorare tutto il traffico sulla rete per gli indirizzi MAC. È quindi possibile far rispettare l'instradamento di un solo indirizzo MAC a ciascuna porta sull'apparecchiatura dello switch gestito. Quando un interruttore è stato utilizzato al di fuori della rete, noteresti perché ci sarebbero troppi (& gt; 1) indirizzi MAC indirizzati a una determinata porta.

Un bridge di macchina virtuale sembrerebbe ancora così perché esiste più di un indirizzo su una determinata porta, ma una macchina virtuale configurata in una configurazione NAT non lo farebbe, poiché tutto il traffico passerebbe attraverso la macchina host. Quello che dicono le proprietà degli indirizzi MAC non è in realtà il problema, è il numero di indirizzi nella tabella ARP per un dato luogo.

La tua università usa questo sistema? dipende da molti fattori. Tenderei a indovinare che non lo sono, solo perché questo tipo di configurazione richiede tempo e sforzi per imporsi. Possono, però. Se la tua università utilizza l'autenticazione RADIUS, questo sarebbe sicuramente un blocco stradale, dal momento che il server RADIUS sta monitorando gli oggetti il ​​mio indirizzo MAC e quindi vedrebbe ogni cosa sullo switch come un client diverso, quindi dovrebbero essere tutti autenticati separatamente.

jcrawfordor
fonte
La mia università non usa RADIUS sulla LAN cablata - collega e sei connesso. La rete con bridging su VM funziona perfettamente. Sono propenso a credere che l'unica cosa che hanno in essere sia una "politica operativa" per impedire ai commutatori di connettersi. Se vedono troppi MAC o un AP WiFi non autorizzato, si avvicinano per investigare fisicamente e prendere l'indirizzo MAC per creare uno script.
Lord Loh.
0

se si collegasse un interruttore questo significherebbe che si avrebbe più di un indirizzo mac che comunica con la rete, questo può essere bloccato su switch aziendali come quelli di Cisco

anche se si esegue il bridge di una VM, sarebbe necessario un altro indirizzo MAC e la stessa storia si applicherebbe

tais
fonte
Le reti con ponte non sono mai state un problema per me.
Lord Loh.
0

Credo che nmap possa dire a qualcuno cosa è connesso alla rete e se si tratta di uno switch o di un router o di un PC. È possibile controllare la documentazione per vedere se può essere ingannato dallo spoofing del mac.

Tony Kaz
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.