他問了老闆這件事,原來是老闆授權給特助監控
只是不知道用什麼方式取得信件內容就是了,
我也不便過問,感謝各位協助~
這裡也上了一課
明月下的清風 wrote:
未加密明碼傳輸的狀況。
真有的話,強烈建議先想辦法把這個洞補起來,不然你們被側錄主管的疑慮是對的。
另外如果可以,也請找資安專家協助您做大陸廠的資安補強工作。
直到側錄東窗事發的前一兩週才應聘到人、到崗
他大多事都不懂、且都會問過我,也問過他這件事,不大可能是他配合施行,
因機房端F/W及Switch我都檢查過無多設備連接、且他也無帳密~更對網路設備、伺服器不熟悉
(他前份工作是在電腦城賣電腦,頂多會修修PC、設定一下無線路由)
所以我才想是上頭私底下找人搞的(不讓MIS知道,大概是想越隱密側錄越好)
但這件事我也不意外,因為台幹內部一些紛紛擾擾…不提也罷…
出事、洩漏了機密的話,搞的人要自己負責了~既然是老闆許諾他不經MIS做了
這樣MIS也少一份風險承擔,他則要擔上更多風險
nwcs wrote:
最好查一下mis部門...(恕刪)
被蟑螂綁架的豬 wrote:
出事、洩漏了機密的話,搞的人要自己負責了~既然是老闆許諾他不經MIS做了
這樣MIS也少一份風險承擔,他則要擔上更多風險
這新到的MIS還真可憐...
Anyway,我個人認為MIS反而風險比較高。萬一出事,第一個被拉出午門砍了的一定是MIS。
上面的跟MIS都有權限亂搞(即使MIS沒有能力),出事的時候你覺得誰會第一個倒楣?
網路這一塊威力很強,實際上誰能掌管,誰就有控制公司資料的能力。
這就相當於雖然有BOSS,但MIS掌管的,是連BOSS都在其下的狀況,但MIS不會說而已。
就您所述的公司狀況,我個人會覺得能不碰MIS這一塊最好不要碰。
上面內鬥白熱化時,誰掌管MIS誰就會跟著倒楣的機會非常大。
如果真的無法推託,請儘量都透明化,並留下足夠的證據
(比如說某處長要你改設定A,就以信件回覆整個過程,並cc給適當的其他長官)
至少在炸掉的時候,還可以直接說這是誰指使的!
MIS可沒有自作主張,只有奉命行事....
側錄的人應該是用了大家說的ARP攻擊方式來得到資料
因為我在裝上Comodo Firewall後,攔截到來自同一IP的不間斷攻擊,約30秒一次
我就鎖他對外連線,相信他會找上我,果然來找我的人就是當初懷疑的那個人
可是之前,我從被側錄人端查看ARP表,指向gateway的MAC並沒有問題
這樣到底是…是偽造成我防火牆的MAC位址嗎
我查該攻擊來源IP MAC Address並不是Firewall的MAC Address
另外要怎麼反制ARP攻擊?
因為老闆已經默許他的行為,我如果又當面要求他禁止側錄,恐怕場面難看
從Firewall鎖他頂多讓他連不了外網吧?無法嚇止他對內網的攻擊
被蟑螂綁架的豬 wrote:
這個月去了大陸一趟順...(恕刪)
http://zh.wikipedia.org/wiki/ARP%E6%AC%BA%E9%A8%99
這是mac欺騙~~換一台好一點的switch,可以自定arp表的~~
arp表很簡單就是那個mac對應到那個IP~~
平常是自動的~~遇到這種狀況就改成手動~綁定mac跟ip~
你一直看不到有問題的arp表,你是在那看的?應該要去每台電腦上看,而且不一定所有電腦都中,他可能只攻擊其中幾台?
另外也要在電腦上實施固定arp,把gateway加進去
應該可以避開mac欺騙~
指令 arp -s 192.168.1.254 50-e5-49-xx-xx-xx
可以做成批次檔開機執行~~前面ip改成gateway的ip,後面改成正確的mac
另外~~走https或ssl加密也是必要的~~如果沒辦法改的話~也可以掛加密vpn出來,比如到台灣~~
在發信~
我還想了另一個方式,如果沒有內部分享問題的話,可以考慮用 netmask把網段切開~~比如你把自已的電腦切成/30, 如此一來整個網段只剩一個電腦跟gateway的ip,他在欺騙的時候,因為他所處網段與你不同,要不就是造成斷線,要不就是沒辦法攔資料~~但這樣你的gateway也要綁很多ip
viccheng1925 wrote:
基本上我認為你想太多...(恕刪)
也許是因為當時沒在監控
因為該發起攻擊者並沒有每天住宿舍或在公司,有時住外面
我是去 出差的某天他在時,刻意用Comodo偵測ARP攻擊
攔截到一堆他發出的ARP攻擊,才確認就是他
不過Comodo有時似乎以會誤判?因我在台灣公司裝Comodo也一直攔截到一個來自不同網段
但MAC Address是Mail Server的網卡
我請Mail Server廠商檢查他的機器說並沒有問題
公司沒好一點的Switch,也有檔案或印表機共享的需求,所以沒法多切幾個不同網段
大概只能從個人用戶用arp指令綁定mac吧
這趟去也幫用戶裝了360 ARP防護不知道有沒效~哈
被蟑螂綁架的豬 wrote:
不過Comodo有時似乎以會誤判?因我在台灣公司裝Comodo也一直攔截到一個來自不同網段
但MAC Address是Mail Server的網卡
我請Mail Server廠商檢查他的機器說並沒有問題
公司沒好一點的Switch,也有檔案或印表機共享的需求,所以沒法多切幾個不同網段
大概只能從個人用戶用arp指令綁定mac吧
這趟去也幫用戶裝了360 ARP防護不知道有沒效~哈
這幾個禮拜都在忙某個專案@@,沒多少時間上來回覆 ><
anyway,mail server部份這應該是正常現象。
只要mail server的網卡上,綁兩個不同網段的IP,還接在同一條線上沒切vlan,就會出現一樣的情況。
(Mac Address可是無法跨網段的喔!你這明顯是在同一L2 broadcast network中,因此這是唯一的可能性)
arp table手動綁定是個方法,不過更好的方式是透過switch(樓上有人提到過)直接管控。
有的比較中高階的switch,可以設定成敢嘗試做arp spoofing,就會直接把來源port給shutdown。
換句話說就是歡迎來打
,斷線請不要呼叫MIS喊救人...
內文搜尋
從 APP 打開
X