Комментарии 8
проникнуть за кем-то через дверь и найти уединенную комнату с IP-телефоном
Наверное администраторам сети не хватило параноидальности в настройках этого:
xgu.ru/wiki/Port_security
Правда в некоторых случаях ограничиваются этим:
ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.
Во-первых, поскольку у нас есть доступ к сети, просто проверьте, в какой подсети мы работаем, через ifconfig или ipconfig.
Ага, во всех организациях используют DHCP? А если каждому лично выдается IP?
Port security в сети, где пользователи часто перемещаются, — кошмар администраторов.
DHCP используют практически везде.
Если статические IP, то можно банально посниффить трафик и посмотреть на прилетающие широковещательные ARP-запросы, по ним можно понять адресацию в сегменте.
А вот внедрение систем контроля доступа к сети по 802.1х (типа ISE) — это хорошо и правильно.
DHCP используют практически везде.
Если статические IP, то можно банально посниффить трафик и посмотреть на прилетающие широковещательные ARP-запросы, по ним можно понять адресацию в сегменте.
А вот внедрение систем контроля доступа к сети по 802.1х (типа ISE) — это хорошо и правильно.
Port security в сети, где пользователи часто перемещаются
Тем не менее, именно такое есть в организации, где я работаю.
Комп №1 (на розетке) меняется с компом №2 (на свиче с 4 и более подключенными устройствами) — у компа №1 нет сети.
Ага, во всех организациях используют DHCP? А если каждому лично выдается IP?
Стесняюсь спросить, а что, если настройки задавать ручками, а не по DHCP, то в ipconfig'e нельзя будет увидеть адрес/маску/шлюз?
Существует еще один метод, который использует IPv6 и DNS для передачи учетных данных целевому объекту.
Теперь я понял, для чего на самом деле запрещаю IPv6 во внутренних сетях. :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Пентест Active Directory. Часть 1