Как искать роутеры, которые сотрудники приносят на работу?

Question

[vitalyrline]

Здравствуйте!
Предположим некий сотрудник приносит на работу 5-портовый коммутатор, подключает его в сетевую розетку, затем к нему уже подключает свой рабочий компьютер и свой личный роутер, настроенный в режиме точки доступа (ну или просто отдельную ТД). Затем он настраивает WiFi, раздаёт себе и коллегам по кабинету.
Предположим сотрудник увольняется и оставляет свой WiFi на рабочем месте. Новый сотрудник ни о чём не подозревает, поскольку компьютер работает как надо. Таким образом уволившийся сотрудник может получить доступ в сеть находясь недалеко от здания организации.
Как с таким явлением бороться? Запоминать и отслеживать все маки на портах? Бегать по кабинетам и искать не вариант, поскольку территория очень большая.

Comments

[Refguser]

Предположим некий сотрудник приносит на работу 5-портовый коммутатор, подключает его в сетевую розетку, затем к нему уже подключает свой рабочий компьютер и свой личный роутер, настроенный в режиме точки доступа (ну или просто отдельную ТД). Затем он настраивает WiFi, раздаёт себе и коллегам по кабинету.

Это не техническая, а организационная проблема.

Хотя я не понимаю зачем работать в конторе, в которую нужно приносить свое сетевое оборудование? Может ещё с собой и мебель нужно принести что бы у вас работать?

[aleks-th]

С громкими скандалами увольнять таких сотрудников сразу.
По другому не получится с этим бороться.

[aleks-th]

Можно сделать реестр оборудования сразу отлавливать все новые маки, которые к сети подключается.
----
Или как ниже написали делать авторизацию если оборудование позволяет.
---
А если увольнять нельзя, и оборудование не позволяет отсекать, я бы отслеживал и тырил эти девайсы по ночам.
Так в одной конторе и делаю периодически, накопил уже десяток свичей и точек доступа халявных 5-8 портовых.
Никто не жалуется, но новые девайсы все появляются время от времени.
Давно бы пресек, но начальство почему-то не хочет конфликтов, с сотрудниками....

[Dmitry]

к вопросам выше присоединюсь, а по делу замечу - маки на портах сетевого оборудования (либо новые маки в сетевом сегменте) отслеживать надо, особенно если нет возможности настроить port-security на свитче или 802.1x глобально.

в сети можно новые хосты отлавливать с помощью демона arpwatch , оно и в дебиане и в шапке есть.

[Akina]

Ой, вот ведь проблема - поймать момент, когда на одном клиентском порте нарисовалось более одного МАС-адреса... Ещё лучше - перейти на белый список, или вообще на МАС-based VLAN.
Хуже, если к розетке подключится WAN роутера. Тогда МАС на порте будет только один, и тут уже надо анализировать сессии. Впрочем, пограничное оборудование должно ловить такие ненормальности без особых проблем.
Что до WiFi - ну не вижу проблемы тупо пройтись со смартфоном по зданию, мониторя WiFi сети, их имена и расстояние до них.

Да, это будет ПОСТОЯННЫЙ мониторинг. Но ведь так и надо...

[Виктор]

Для того, чтобы устроить в служебной сети

просто отдельную ТД

для личных нужд, не нужно ничего приносить из дома и подключать - всё требуемое уже есть в любой Win10/11. Эта опция находится в разделе "Сеть и интернет" и называется "Мобильный хот-спот". Чтобы её задействовать, требуется только наличие на компе вайфайного адаптера любого типа, и на любом ноуте это требование удовлетворяется автоматически. Двигаем ползунок включения, даём имя сети и ключ (или используем умолчательные) - и дело сделано!

[Роман]

Если оборудование позволяет - установите TTL 1 в сторону клиентских устройств.
Тогда такие пакеты будут умирать при прохождении через роутер. Не панацея , поскольку некоторые роутеры позволяют манипуляцию с TTL, но это нужно "уметь"

[vitalyrline]

Дмитрий,

новые хосты отлавливать с помощью демона arpwatch

zabbix это умеет?

[Dmitry]

заббикс умеет снимать данные с сетевого оборудования по snmp, если ваши свитчи могут отдавать состояние мак-адресов на портах - то теоретически можно настроить заббикс реагировать на появление новых, но практически - arpwatch проще.
ну и да, к сожалению это не решит проблему с "умелыми ручками" которые поднимут точку доступа на своем ноуте..
короче проблема тут действительно организационная, кого-то надо поймать и показательно выпороть.

[Psix90]

Akina, а если и с телефоном лень прогуляться по объекту, и wi-fi сеть покрывает каждый его уголок, то можно мониторить точки доступа, снимая прказания напрямую с подконтрольных точек доступа.
Но может случиться и так, что придется реагировать каждый раз, когда некий Вася другому коллеге раздал мобильный интернет. Но таким же образом и триангуляцию можно выполнять для поиска нелегалов

[Akina]

Psix90,

придется реагировать каждый раз, когда некий Вася другому коллеге раздал мобильный интернет

Список этих Вась получается практически за один день. ТД на входе с утра, сверка логов ТД и СКУД. Уже к обеду 90% шареных мобилок в списке. Ну а остальных можно и ножками побегать-поискать.

[emka2k]

Очень смешно.
А вопрос глупый.
Решение / ограничение пакетов на порту ( свитч должен уметь) .

Запретить выдачу IP не зарегистрированным Mac.

Устройств то в сети сколько ? Даже в 500 устройствах , можно увидеть незнакомый роутер.

Что-то у вас не так в ит отделе .

[citizen7]

Если мак клонирован, то как узнать? Просто в WAN воткнут и мак на WAN клонирован устройства, которое должно быть включено в этот порт

[Keffer]

citizen7, делайте MACsec с сертификатами. Никакое клонирование маков не поможет.

[Saturn0749]

aleks-th, да ты мелко-никчемный воришка❕

[LexX80]

vitalyrline, арвпоч сыпет в логи при изменении Арп таблицы, если есть в сети кластер высокой доступности - вынет мозг

[LexX80]

Я решал вопрос весьма просто, ну как просто, до этого нужно было заморочиться.
Dhcp у меня был псевдо-динамический. Т.е. адреса били назначены, чужой воткнет свое и будет думать что не так, далее, коммутаторы способны отдавать свою Арп таблицу, пара скриптов и она человекопонятная. Ещё пара скриптов и немного спринтерского марафона и есть строгое соответствие порта коммутатора и розетки.
Так же нужен сканер wifi хотя бы на 2м уровне. Да с этим сложнее, но только так сможешь поймать занатеный роутер с подменой мака.
Поиск роутера, который поставил спец очень сложный, а лоха и так поймаешь

[s5656]

Че-то не понял зачем вообще нужно приносить свой свитч и роутер, что бы раздавать wifi от рабочей сети... ведь есть же уже рабочий wifi...

Я с 2010 не работал в офисах и не знаю, может изменилось что-то сильно...

Answer 1

[ky0]

Настраивать авторизацию, хоть тот же 802.1X.

Comments

[Valentin Barbolin]

Круто конечно, но если чувак пришел с таким вопросом, то ему реализовать 802.1Х равносильно выстрелу в ногу.

[ky0]

Valentin Barbolin, я отвечаю в астрал, а не конкретному чуваку. Чувак выстрелит себе в ногу, придёт жаловаться - мы над ним поржём. Вин-вин же :)

[sultanenok]

1) раздать всем служебный вайфай. Не можешь побороть возглавь.
2) Можно сделать белый список устройств. Левый роутер просто не получит адрес.
3) можно сделать 2 подсети, и все гостевые устройства получают другую подсеть недоступную к служебной.

Answer 2

[CityCat4]

Вопрос скорее не технический, а организационный. Хотя техническая часть в нем есть.
Технически:
- привязка mac к порту
- укладка провода так, чтобы просто так не добраться (человек ленив, если надо лезть под стол - точно не полезет)
- отобрать админские права на винду у тех, кому они не нужны
- arpwatch всюду

Организационный:
- общий приказ по конторе о запрете домашних устройств, под роспись каждому
- информирование о введении режима привязки маков
- тем, кому админские права нужны для работы - отдельная бумага об ответственности с подписью
- показательная порка первого пойманного - лишение премии, выговор, увольнение в режиме "два часа на сбор личных вещей"

Отдельное замечание про умников с клонированием мака. Здесь, как и везде, роялит намерение. Клонирование мака - это явно деструктивное действие, направленное на обход систем защиты. Значит ты кто - ты нарушитель, и с тобой не админы будут говорить, а безопасники иди руководство.

В 2015-м вроде как один такой чел у нас решил "попробовать" Tor. Ну, директор по безопасности вызвал его и его начальника, поговорил... Челу как бабка отшептала что-то пробовать, до сих пор у нас работает...

Comments

[sten65]

тож чел свой огрызок через вафлю к апсторе подключил в 2015 - по хорошему не понял, пяткой в грудь "эт по работе", а как дело безопасниками запахло - съехал по тихой....

[РОМАН ШТЕФАНОВ]

Ну либо чел с 2015 просто больше не попадался.

[CityCat4]

РОМАН ШТЕФАНОВ, Мониторинг, который работал в 2015-м - работает и до сих пор :) С тех пор мы уже кого только не ловили - и людей, которые в рабочее время работают на сторону, и людей, которые пересылают на личную почту дсп-шные бумаги и лудоманов и банальных бездельников :D

[cyberxx]

sten65, а почему нельзя к аппстору подключаться?

[CityCat4]

cyberxx, Я полагаю проблемы были не в подключении к стору, а в развертывании своей точки :)

[Xius]

И надо давать людям интернет на рабочие компьютеры (хотя бы обрезанный, не быстрый). Это уберёт 99% несанкционированных подключений. А в организациях, где у всех только локалка, а руководство и избранные имеют подключение, как раз и происходят подобные вещи.

[CityCat4]

Xius, Разумеется. Для работы тырнет нужен. И для работы он есть. Обычно такие финты ушами люди проворачивают чтобы попасть в соцсети или еще куда, к работе не относящиеся.

[Putin_Krasav4ik2024]

Xius, ты суицидник? Или почему хочешь такого ГУЛАГа себе в офис? С таким отношением к сотрудникам, они у тебя бегать будут от тебя в случае любой подвернувшейся работы получше.

[CityCat4]

Putin_Krasav4ik2024, Меня тоже это несколько удивило. Сколько ни работал - ни разу не было, чтобы тырнета не было совсем. Сейчас вся работа завязана на тырнет (ну в большей части контор).

[Xius]

CityCat4, есть такие организации. И среди очень крупных. И иронично, но даже среди интернет-провайдеров. Сотрудники там ставят вторые сетевые, прокладывают параллельные сети до общего коммутатора. Выводят компьютеры из домена, чтобы без матов и служебных записок запускать нужные для работы программы (те же скрипты Python, SecureCRT и пр. для управления оборудованием), поднимают DNSCrypt или подобные и им корпоративные запросы направляют на DNSы организации, чтобы работал Лотус и пр. корпоративный софт, остальные запросы через вторую сетевую в интернет.

20-уровневую бюрократию не пробить, проще обойти. Но потом в тех организациях разводят мощную службу информационной безопасности, работа которых как раз такие обходы и выявлять ))

[CityCat4]

Xius, Ну, значит там им и надо :) Если контора допускает такой уровень бардака и пиZдеца - что тут скажешь? Нормальные конторы такого не допускают.

Answer 3

[Dupych]

MAC Security на порт. Не более 1 MAC.

Answer 4

[AAndrewV]

Почитайте про сетевую безопасность L2. Конкретно в данном случае я бы настроил:
bpduguard
и
port-security

Answer 5

[Valentin Barbolin]

Подними прокси, запрети выход в интернет через NAT. Если есть домен, то можно настроить прокси прозрачно, для исключений делаем правила NAT и в таком случае ты уже знаешь кому и зачем ты разрешаешь NAT.

Comments

[lexor64]

Если домашний роутер будет в режиме точки доступа, это не поможет. Тут надо действовать на L2.

Answer 6

[HiroX]

Самое простое - ограничить по TTL как ОПСОСы. Дополнительные роутеры снижают его на 1.
Еще можно мониторить IP адреса на компьютерах, сквозь чужой роутер там будет другая подсеть.

Comments

[dail45]

Будет как с обсосами: anti_mts_1ttl_patch.bat, и всё, короче исправить это на роутере, проще простого.(наверное? Зависит от роутера)

[HiroX]

dail45, сломать можно что угодно, было бы желание. а проще или не проще зависит от компетенций владельца чужого роутера - понадобится диагностировать сначала почему "спалили"/узнали, ведь ограничивать не обязательно, на TTL ты далеко не сразу подумаешь. В результате палева должны приняться административные меры, чтобы было неповадно, тем самым ограничить количество циклов повторений :)
Я только упоминал, что с точки зрения администратора компании это наиболее простой метод

[MikeHail]

HiroX, traceroute сравнят и всё поймут.

Answer 7

[asmelnik]

Если у вас нет штатного сетевика (не "сисадмин на все руки", а именно сетевика) -- никак, ибо это все будут костыли и заплатки, которые будут легко обходиться.

По-нормальному -- авторизация устройств на "проводах" + нормальный WiFi корпоративного уровня с функцией обнаружения, пеленга и подавления "чужих" точек доступа.

Answer 8

[nApoBo3]

Техническое решение, авторизация устройств на портах коммутатора, 802.1x. Но использование такого подхода предъявляет высокие требования к квалификации администратора и зрелости инфраструктуры.
Если нужно на коленке, блокировка по mac на портах, контроль ttl на маршрутизаторае, сканирование сети на предмет "пиратских" точек доступа, ручная проверка портов активных в не рабочее время.
Все это сверху должно быть приправлено документами. Если документы корректно оформлены, что тоже отдельное искуство, то такое поведение может подпадать по ук.

Answer 9

[user0k]

На маршрутизаторе настроить ttl=1. При подключении роутера, ttl уменьшается на 1. Но так как ttl≠0, то роутер работать не будет.
В более дорогих роутерах есть функция don't change ttl. Но я думаю, что работники не такие грамотные.

На одном предприятии была такая авторизация: на порту привязка мак+eap+tls+freeradius. Вайфай тоже раздавался с авторизацией по радиусу. У каждого клиента свой пароль и логин на подключение. Модуль я сам писал. Полное логирование по netflow.
Также политики безопасности касперским на каждом компьютере. Просто так флешку или иное usb устройство не включишь. Мониторинг полный.
Был один раз инцидент, сотрудник принес ноут и пытался проверить сеть на безопасность. Но не получилось. Больше не работает этот сотрудник.

Answer 10

[vasisulay]

Ага, и сделайте гостевой вайфай. С доступом к Апстору. )))

Answer 11

[MikeHail]

А смысл? Берём ноутбук или WiFi свисток или материнскую плату с WiFi и раздаём интернет через него штатными средствами Windows...
Тут active directory, device lock могут помочь.
Пароль пользователя через winPE, BartPE, liveCD сбросить и поставить любую программу какую захочешь и как угодно настроить Windows и потом всё вернуть обратно можно. Пароль на Биос нужен будет, но и это не гарантия - Биос можно перепрошить программатором проделать всё что надо и обратно вернуть тот же Биос с паролем...

Comments

[danya201272]

Ну во первых все компы сейчас опломбированы и проверяются, потом привязка ad к ПК идёт по sid windows и имени пк. И флешки все на уровне машины отключены от загрузки boot manager. И потом сейчас если машина kraftway, в ней есть Касперский в биосе и защита также от таких. И на работе. И в касперском можно вообще вырубить все кроме клавиатуры и мышки и по mac связать.

[MikeHail]

danya201272, сбрасывал пароль с рабочего ноутбука знакомого, там и ad и домен был. Никаких проблем не было. А пароль от Биоса и от включения сбрасывал уже со своим ноутбуком.

[Putin_Krasav4ik2024]

MikeHail, а как ты будешь прошивать в офисе программатором рабочий комп?
Там же надо зажимать определённые контакты, тебе с такими навыками надо грабить банки, а не в галере за 60к сидеть, друг.

[MikeHail]

А кто сказал что я наёмный работник? И вообще что я IT'шник? Это просто хобби.

Answer 12

[Player17]

Самое простое раздать гостевой интернет. Чтобы не приходилось свой роутер приносить. Как и свою туалетную бумагу.

Answer 13

[CyberWarg]

Недавно столкнулся с таким вопросом от заказчика, покумекав, вспомнил про такую вещь как WirelessIPS. Такая фича есть на некоторых моделях Cisco, Arista и даже, прости господи, Eltex). Они ставятся в режим мониторинга радио пространства и глушат все, так называемые, RougeAP. Но это конечно стоит денег и предполагают некие интеграционные мероприятия.
Это кста серьезный ИБ риск, наши пентестеры таким образом частенько ломают заказчиков. Ставят рядом точку с таким же названием как корп вифи, и бестолковые пользаки начинают в нее ломится оставляя свои креды.

Comments

[klenkovk]

Следует выделять типы угроз
1. Чужая точка доступа в локальной сети
2. Чужая точка доступа бродкастит твои SSID
3. Компьютер в локальной сети подключен к чужой точке доступа.

Решения Cisco WLC, Cisco PI позволяют отслеживать и подавлять эти угрозы.
Как я понял, работая с этими системами, принцип основан на сопоставлении MAC адресов в эфире с MAC адресами из CAM таблицы коммутаторов.

Answer 14

[suslikii]

Кто вообще приносит свои роутеры на работу?

Comments

[Aragorn]

Да я хотя бы

[s5656]

Aragorn, зачем?

Answer 15

[ewgenc]

Создать и утвердить политику безопасности, внести изменения в должностные инструкции, ознакомить всех. А дальше кто попался - от увольнения до 274 УК РФ.