Gostaria de saber se é possível detectar se alguém acessou sua conexão de rede (cabo eth).
Se feito corretamente, pode ser indetectável sem ajuda do ISP ou verificação manual do link.
Gostaria de saber se existem maneiras de detectar um toque menos que perfeito:)
If done properly, it may be undetectable without ISP help or manual verification of the link.
Você quer dizer sem inspeção visual. Uma ponte com a eletrônica para apenas mover um pacote para outra porta (basicamente, alternar no modo promíscuo) seria impossível de detectar se instalada profissionalmente.
ETH você PODERIA experimentar um sistema de medição do comprimento do cabo, se você souber o comprimento original.
Acho que seria um pouco difícil, seja menos que perfeito ou não. Existem várias maneiras de monitorar e \ ou interceptar o tráfego de rede.
Por exemplo, eu poderia inserir um hub entre seu roteador e o firewall (se eu tiver acesso físico ao link entre os dois), conectar um laptop ao mesmo hub e monitorar todo o tráfego entre o roteador e o firewall e tenho dificuldade em ver como você poderia descobrir isso sem inspecionar visualmente esse link.
Se alguém acessa sua rede usando um toque passivo, a única maneira de detectá-lo é usar ferramentas bastante sofisticadas que podem medir não apenas a carga no cabo, mas geralmente dizer a que distância do ponto de teste algo está conectado. Claro que muito poucos de nós teriam acesso a essas artes.
Se alguém se conectar usando um ativo (conexão normal), há várias maneiras de detectá-lo, principalmente monitorando o tráfego. Tenha em mente que qualquer dispositivo de rede ativo enviará pacotes de transmissão, para que eles ainda possam ser detectados mesmo quando você não puder ver o tráfego ponto a ponto. Muitas ferramentas de software aproveitam isso (por exemplo, o Fluke Network Inspector - antigo, mas ainda muito útil).
Para detectar um "toque menos que perfeito, calcule seus cabos cat5e" Delay Skew ", você deverá ver um desvio de atraso acima do normal se o seu cabo tiver sido tocado. Ou você pode verificar a diafonia que está sendo gerada pelo toque, no entanto, ambos os métodos exigirão que você compre equipamentos de teste.
Agora, para detectar uma implementação de tap passiva perfeita, ela pode ser localizada usando a análise de TDR (análise de tempo-domínio-refletometria) Near-End / Far-End High-Frequency Cross-Talk. Tais métodos são necessários porque o tap passivo pode ser implantado a uma distância distante para evitar muitos métodos de detecção. No entanto, se for um cabo único e não uma linha de queda ou tronco, calcule a velocidade nominal de propagação dos cabos e compare-a com a especificação NVP do fabricante para esse cabo.
Essa é uma pergunta extremamente aberta. Se você está perguntando se alguém está acessando fisicamente seu cabo, uma verificação física seria a única maneira de ter certeza. Algumas maneiras de se ter uma ideia, no entanto, incluem sniffing de pacotes e varredura de IP. Além disso, você pode monitorar um switch gerenciado acima de ambas as conexões para ver quais endereços MAC estão se conectando e restringir conexões adicionais por endereço MAC (embora possam ser clonados, mas adicionariam um alto nível de dificuldade se não puderem acessar seu hardware primeiro ).
Se você quiser entrar nessa mesma questão do ângulo Wifi, é uma nova lata de worms.
O mais próximo que você chegará em um link típico de ISP doméstico é analisar os endereços MAC de seu tráfego, e se o gateway mudar para outra coisa, é um sinal de que algo mudou na rede. Isso poderia ser um intruso, ou poderia ser uma troca simples de equipamentos.
No entanto, se a espionagem estiver acontecendo além do gateway, até mesmo um espião desleixado permanecerá sem ser detectado. Além disso, se o invasor estiver usando uma ponte simples em vez de um ataque baseado em falsificação de ARP, a única indicação de sua presença será uma latência ligeiramente maior; leve o suficiente para se esconder no ruído estatístico da maioria das conexões de banda larga em casa.
Se a espionagem for realmente um proxy de interceptação de algum tipo (camada 5-7) em vez de um toque de rede (L2), digamos, farejando todo o tráfego HTTP, mas deixando o resto em paz, existe a possibilidade de detectar que, assistindo seus cabeçalhos HTTP. Se suas configurações de DNS são ruins, você pode achar alguns sites indisponíveis que realmente deveriam ser.
E finalmente, os firewalls com estado fazem exatamente esse tipo de coisa pelo design. Descobrir a diferença entre um firewall stateful e um snooper é muito complicado.
Em suma, é muito difícil detectar bisbilhoteiros, mesmo aqueles desleixados.
Tags networking