Infrastruktur für sichere Netzwerküberwachung

335
Hölderlin

Angenommen, ich habe einen Standard-DSL-Router und einen PC, der über den Router mit dem Internet verbunden ist. Nehmen Sie außerdem an, beide sind mit Rootkits kompromittiert, die sich im Flash-Speicher dieser Maschinen befinden.

Wie kann ich den Netzwerkverkehr beider Maschinen überwachen (dh ich möchte den Netzwerkverkehr auf dem Hostcomputer nicht selbst überwachen)? Ich brauche eine Lösung / Infrastruktur, bei der ein anderes Gerät nur den Verkehr beobachtet und für die anderen Maschinen nicht sichtbar ist.

0
Dies ist ein tatsächliches Problem, dem Sie tatsächlich gegenüberstehen, oder nur eine wirklich schlechte hypothetische Situation? Ramhound vor 7 Jahren 0
Sie sollten Ihrem ISP-Router sowieso nicht vertrauen. Führen Sie Ihre eigenen dahinter. Neil McGuigan vor 7 Jahren 0

1 Antwort auf die Frage

5
Spiff

Verwaltete Ethernet-Switches enthalten häufig eine Port-Mirroring-Funktion (manchmal auch als Port-Spanning bezeichnet), mit der der gesamte Verkehr zu / von einem bestimmten Port auf einen anderen Port gespiegelt werden kann. So können Sie einen Paket-Sniffer an den zweiten Port anschließen und alles analysieren, was gerade passiert.

Ich habe sogar anständig günstige (<100 $) verwaltete Switches mit fünf und acht Ports mit dieser Funktion gesehen.

Wenn Sie überwachen möchten, was vor dem DSL-Modem abläuft, wird es schwieriger. Ich kann mir vorstellen, dass Sie ein eigenes DSLAM kaufen müssen (das ist die Box am Ende der DSL-Leitung der Telefongesellschaft).

Es sei denn, Sie trennen den "IP-Router" und das "DSL-Modem" in zwei über Ethernet verbundene Geräte. grawity vor 7 Jahren 0
Ich empfehle Ihnen dringend, ntop-ng zu testen, ein auf Linux basierendes Paketerfassungs- / Analysetool mit einer schönen Weboberfläche. Sie müssen immer noch die Port-Spiegelung einrichten (bei Cisco-Switches manchmal SPAN genannt). Ich verwende es bei der Arbeit, um unser LAN zu überwachen, das mehrere Subnetze / VLANs umfasst, und es funktioniert wie ein Zauber Richie086 vor 7 Jahren 0
@Spiff, gibt es EuroDOCSIS 3.0-Kabelmodems, bei denen ich alle beschreibbaren Flash-Speicher sperren kann oder zumindest der Speicher nur über einen bestimmten Hardware-Port beschrieben werden kann. Damit es nicht möglich ist, das Modem zu hacken, da der Schreibschutz aktiviert ist? Und mit Schreibschutz meine ich einen Schutz, der auch per Jumper oder einem speziellen Port hardwaregesteuert ist. Hölderlin vor 7 Jahren 0

Verwandte Probleme