Как искать роутеры, которые сотрудники приносят на работу?
Здравствуйте!
Предположим некий сотрудник приносит на работу 5-портовый коммутатор, подключает его в сетевую розетку, затем к нему уже подключает свой рабочий компьютер и свой личный роутер, настроенный в режиме точки доступа (ну или просто отдельную ТД). Затем он настраивает WiFi, раздаёт себе и коллегам по кабинету.
Предположим сотрудник увольняется и оставляет свой WiFi на рабочем месте. Новый сотрудник ни о чём не подозревает, поскольку компьютер работает как надо. Таким образом уволившийся сотрудник может получить доступ в сеть находясь недалеко от здания организации.
Как с таким явлением бороться? Запоминать и отслеживать все маки на портах? Бегать по кабинетам и искать не вариант, поскольку территория очень большая.
Предположим некий сотрудник приносит на работу 5-портовый коммутатор, подключает его в сетевую розетку, затем к нему уже подключает свой рабочий компьютер и свой личный роутер, настроенный в режиме точки доступа (ну или просто отдельную ТД). Затем он настраивает WiFi, раздаёт себе и коллегам по кабинету.
Это не техническая, а организационная проблема.
Хотя я не понимаю зачем работать в конторе, в которую нужно приносить свое сетевое оборудование? Может ещё с собой и мебель нужно принести что бы у вас работать?
Можно сделать реестр оборудования сразу отлавливать все новые маки, которые к сети подключается.
----
Или как ниже написали делать авторизацию если оборудование позволяет.
---
А если увольнять нельзя, и оборудование не позволяет отсекать, я бы отслеживал и тырил эти девайсы по ночам.
Так в одной конторе и делаю периодически, накопил уже десяток свичей и точек доступа халявных 5-8 портовых.
Никто не жалуется, но новые девайсы все появляются время от времени.
Давно бы пресек, но начальство почему-то не хочет конфликтов, с сотрудниками....
к вопросам выше присоединюсь, а по делу замечу - маки на портах сетевого оборудования (либо новые маки в сетевом сегменте) отслеживать надо, особенно если нет возможности настроить port-security на свитче или 802.1x глобально.
в сети можно новые хосты отлавливать с помощью демона arpwatch , оно и в дебиане и в шапке есть.
Ой, вот ведь проблема - поймать момент, когда на одном клиентском порте нарисовалось более одного МАС-адреса... Ещё лучше - перейти на белый список, или вообще на МАС-based VLAN.
Хуже, если к розетке подключится WAN роутера. Тогда МАС на порте будет только один, и тут уже надо анализировать сессии. Впрочем, пограничное оборудование должно ловить такие ненормальности без особых проблем.
Что до WiFi - ну не вижу проблемы тупо пройтись со смартфоном по зданию, мониторя WiFi сети, их имена и расстояние до них.
Да, это будет ПОСТОЯННЫЙ мониторинг. Но ведь так и надо...
для личных нужд, не нужно ничего приносить из дома и подключать - всё требуемое уже есть в любой Win10/11. Эта опция находится в разделе "Сеть и интернет" и называется "Мобильный хот-спот". Чтобы её задействовать, требуется только наличие на компе вайфайного адаптера любого типа, и на любом ноуте это требование удовлетворяется автоматически. Двигаем ползунок включения, даём имя сети и ключ (или используем умолчательные) - и дело сделано!
Средний
