Дело в том, что у меня и моего друга есть кластер серверов для поддержки рендеринга видео и т.д., примерно более 200 серверов и более 100 ПК. Они не подключены к интернету и находятся в полностью изолированной среде. Однако недавно мы обнаружили, что некоторые видео, которые не должны были попасть в интернет, все-таки туда попали. Мы выяснили через мониторинг, что кто-то использовал мобильный хотспот для подключения офисного компьютера к внешней сети. Я хочу знать, есть ли подходящие методы бокового обнаружения, которые позволят выявить устройства во внутренней сети, которые незаконно подключаются к интернету. Я рассматривал решения китайских компаний по обнаружению. Они используют ICMP для обнаружения, подделывая пакеты данных. Я пытался использовать библиотеку scapy для подделки пакетов с исходным адресом сервера в интернете, но отправленные пакеты либо блокируются брандмауэром, либо возвращаются обратно на машину, отправившую пакет, и не удаются дойти до сервера во внешней сети. Я не знаю, где я ошибся. Хотел бы также узнать, есть ли другие стабильные методы обнаружения. Требования к обнаружению довольно строгие: оно должно проводиться на боковом пути и быть насколько возможно долгосрочным и стабильным. Ниже представлен мой неудачный код для обнаружения через ICMP. Извините за проблемы с отступами в коде. Я перезалил код на Pastebin. Адрес: https://pastebin.com/nujjuN46
Обделка! Использовать накопители для передачи данных с особими правами и паролями можно письменными. Заблокировать все usb порты, bloetooth, cd-rom инные на физическом уровне, а еще на программном чтобы сразу сигнализовали. (те приманка!) Кроме того использовать шифровальщики! Поставить больший уровень секретности! Никого не пускать, отключить мониторы и иметь ключи от комнат где находятся ПК и соответсвенно камеры слежения! Можно держать ПК выключеными если надо те без питания! Надо вести бумажный учет!
Если сервера на линукс, то проблема доступа решается легко: можно запретить доступ в сеть через iptables, то есть, заблокировать веб интерфейсы, чтобы подключиться ко всем серверам в локалке можно использовать pssh. С компами сложнее - их можно загнать в один домен AD и из под админа запретить подключение к сети. Проблема отслеживание попыток подключения в сеть решается обычным фаерволом
слишком все не ясно, если сервера изолированы то доступ к ним был получен локально выходит? Это ДЦ? Какие ОС стоят? Есть ли на серверах какие либо интерфейсы типа USB? Что в логах авторизации? Вобщем вопросов пару десятков наберется. Я так догадываюсь что это в облаке сетка, без интерфейсов наружу но с доступом внутрь через vpn или это самоделка в "гараже"?
Большое спасибо всем за предоставленные советы. Сервер работает на операционной системе Ubuntu и имеет USB-порты. Все ПК работают на Windows. Сервер расположен в арендованном мною офисном здании в серверной комнате, оснащенной системой биометрической безопасности на основе отпечатков пальцев. ПК и сервер находятся в одной внутренней сети, но в разных подсетях. Кроме IT-специалистов, имеющих физический доступ к серверной, остальные сотрудники могут подключаться к серверу только через SSH или SMB. Утечка данных произошла с офисных ПК сотрудников, которые переносили данные с сервера на свои личные компьютеры (это неизбежно, так как им нужно просматривать эти материалы). Затем они использовали мобильные точки доступа для подключения к интернету и загрузки данных на внешние диски. Видеоматериалы на сервере — это необработанные интервью, записи движений Vtubers и 3D MMD-анимации, ожидающие рендеринга. Это конфиденциальные данные клиентов, которые не должны распространяться без разрешения, чтобы избежать юридических проблем. В текущей ситуации я могу гарантировать только то, что при отключении сетевого кабеля с офисного ПК будет отправлено уведомление на мой внутренний компьютер. У нас есть система обнаружения USB-устройств, но кто-то обошел эту защиту, изменив реестр и заблокировав загрузку логов. Поэтому у меня возникла идея: можно ли использовать боковое обнаружение для выявления того, использует ли кто-то мобильные точки доступа для подключения офисных ПК к интернету, например, через ICMP-спуфинг? Я предпочитаю сканирование или проникновение, так как открытое препятствование может быть замечено сотрудниками и вызвать контрмеры. Хотя идея проникновения в собственную сеть для защиты своих интересов кажется мне немного абсурдной.
Как и писал выше - настрой Active Directory, тогда без пароля админа мало что будет можно изменить в реестре и прочих конфигах
Ну тут однозначно настраивать Active Directory выдавать как можно меньше прав, запрет на все кроме того что необходимо. Естественно учетные записи без прав администратора и блокирование биоса паролем. Закрыть нафиг USB. запретить USB модемы https://www.prajwaldesai.com/how-to-disable-usb-devices-using-group-policy/
Вот тут как раз надо сделать так как надо флешка с шифровальщиком и паролем. Дальше можно смотреть на любом пк без доступа из вне. Можешь писать в лс подробнее.
