Можно ли в локальной сети обнаружить несанкционированное подключение WiFi-роутера?

Question

[Queorm]

Вопрос собственно в том, можно ли как-то обнаружить, что в корпоративной сети к LAN-порту на рабочем месте подключили WiFi-роутер вместо рабочего компьютера?
Если на роутере включён NAT, и MAC-адрес будет изменён на такой же, как у сетевой карты компьютера, то чем трафик от роутера будет отличаться от трафика компьютера?

Comments

[Valentin Barbolin]

Если есть подмена МАК, то сложно обнаружить подмену.
- можно настроить прокси для выхода в интернет и усложнить использование роутера.
- можно настроить 802.1X
- можно настроить мониторинг на ПК и уведомлять когда IP компьютера не соответствует корпоративному пулу
- есть WIFI с поддержкой обнаружения других точек доступа в эфире и можно настроить оповещение

Answer 1

[Василий Банников]

Можно на TTL посмотреть. При подключении роутера ttl будет на 1 меньше.
Дальше уже стоит на уровне регламентов разруливать и вводить дополнительную аутентификацию.

Comments

[Queorm]

Да, я сразу и подумал об этом. Но, например, в тех же Keenetic'ах можно элементарно руками поставить значением TTL для исходящих пакетов.
И по поводу дополнительной аутентификации. Если включена аутентификация в сети, значит данные аутентификации доступны пользователю, и могут быть использованы им и на роутере, или я что-то недопонимаю? О какой именно аутентификации идёт речь?

[Василий Банников]

Queorm, на счёт аутентификации - честно не уверен, какие варианты существуют.
Это хотябы избавит от подключений вообще левых людей.
На счёт увеличения TTL - да, действительно сотрудник может попробовать так обойти.

Тогда остаются только дисциплинарные способы - если сотрудника застукали за подобным в первый раз - выговор + внеочередной инструктаж по ТБ и ИБ.
Если не в первый раз - это уже повод задуматься об увольнении.

А чтобы не было повода подключать свой роутер - пусть в офисе стоит WiFi для сотрудников с доменной аутентификацией.

Answer 2

[Владимир Коротенко]

Донесите до сотрудников что есть УК и ГК и то что пихать куда не попадя опасно для здоровья и жизни.
Что же до измения мака настраивайте IPSEC
чужие точно не пройдут, даже если подделают все

Comments

[Alexey Dmitriev]

Можно уточнить, что обозначает "настраивайте IPSEC" в применении к локальной сети?

[Queorm]

Решение с внедрением IPSEC в локальной сети интересное. Спасибо)

Answer 3

[Gansterito]

Управляемые коммутаторы + DHCP Snooping с Option 82 и лимитирование количества IP и MAC с одного порта.

Answer 4

[ky0]

802.1X

Comments

[Alexey Dmitriev]

Keenetic, и думаю не только он - умеют в 802.1X

[Queorm]

в 802.1X умеют не то что роутеры, но даже сетевые принтеры)

Answer 5

[Griboks]

А что мешает воткнуть роутер в компьютер или поставить прокси? Ничего, и трафик никак не отличается. Возможно, будет увеличенная нагрузка, но в общем случае никак не отличить.

Answer 6

[TheBigBear]

попробуй Advanced Port Scanner
открытые порты компа и роутера немного отличаются
да и NetBIOS (имя хоста) будет разный

Answer 7

[aleks-th]

Вариант 1 - пройтись по розеткам и посмотреть.
И вариант - единственно надежный.
---
А так.
Все зависит от того как управляется сеть.
И насколько человек заморочился чтобы этот роутер скрыть.
Думаю что чаще всего достаточно будет сетевого сканера чтобы посмотреть по именам кто подключен.
---
Можно ли к ней подключить что-то несанкционированое.
Если можно - то никак все равно кто этим вопросом заморочится - подключит.
Ведь можно тупо к компьютеру подключить - wifi карточку и настроить подключение через нее используя вполне легально подключенный комп.
----
Тут вопрос лучше поставить так:
Как сделать сеть чтобы несанкционировано нельзя было подключить Wifi роутер.
И резать трафик у тех что непрошло авторизацию.
---

Answer 8

[CityCat4]

1. Сканирование WiFi - если сеть достаточно компактная, можно тупо телефоном проверять, иначе же автоматизировать.
2. Сканирование типа системы через nmap например. Роутер можно заставить прикинуться виндой, но для этого нужно иметь нехилую такую квалификацию, которая большинству любителей обойти корпоративный прокси и не снилась.
3. СМП на рабочих местах, регламенты с ознакомлением под роспись, и примерное анальное насилие над первым, кто попадется с трансляцией воплей на всю контору чтобы отбить желание дурить у других начисто.

Как всегда - комплекс административно-технических мер