Как в Mikrotik запретить другим роутерам работать?

Question

[mcrack]

Здравствуйте, у нас в организации есть роутер Mikrotik, от него идут коммутаторы и потом у сотрудниках на местах уже идут точки, где они подключают свои компьютеры. Для обеспечения безопасности мне нужно, чтобы если какой то из сотрудников подключит к этим точкам роутер, чтобы эти роутеры не имели доступа к сети и вообще не раздавали интернет.

Подскажите пожалуйста можно ли как то отсечь все роутеры в сети?

Организация большая и по всем кабинетам каждый раз ходить не хочется проверять, поэтому хочется сразу отсечь и не париться

Comments

[Lynn «Кофеман»]

И чем вам роутеры не угодили?

Если настраивает грамотный человек, то фиг вы его отличите от компьютера по формальным признакам.

[Lynn «Кофеман»]

Тривиальные случаи можно отловить по ttl пакетов

[AlexKRD]

На микротеке:
- Открываем IP – DHCP Server, выбираем dhcp и устанавливаем опцию «Add ARP For Leases».
- Переходим в раздел Bridge, выбираем бридж, напротив опции ARP необходимо указать «reply-only».

На коммутаторах! Коммутатор должен быть управляемым (!) и поддерживать опцию DHCP-Snooping. Эту же опцию включить и на микротике.
Так же на коммутаторах включить ограничение по количеству устройств. Например для cisco:

switchport port-security maximum 2
switchport port-security violation restrict
switchport port-security aging time 2
switchport port-security aging type inactivity
switchport port-security

Answer 1

[nApoBo3]

802.1x, остальное обходится без существенных сложностей. Но внедрение 802.1x в сети задача не тривиальная.

Answer 2

[vreitech]

предположим, у вас управляемые коммутаторы.
тогда вам либо 802.1X с радиус-сервером организовывать (что мало кто потянет, потому как хлопотно), либо ограничивать работу портов на коммутаторах по MAC-адресам (что будет работать, пока не появится какой-нибудь ушлый сотрудник, который пропишет на своём роутере MAC своего же компа). это тоже хлопотно, в перспективе даже более чем предыдущий вариант.
если коммутаторы неуправляемые, ограничить по MAC-ам можно и на микротике скорее всего (зависит от модели), но доступ в локальную сеть таким образом не закрыть.
впрочем, если организация большая и нормальная, то она без проблем потянет первый вариант.

Answer 3

[Fenrir89]

Самое тревиальное вам написали в комментариях резать весь трафик по превышении ttl, только в коммутаторе он не повышается
Более сложный ad + прокси + внутренний днс

Answer 4

[AntHTML]

Обеспечение безопасности делается не только программно-аппаратными, но и административными средствами.
Интернет должен ходить через проксю исключающую возможность простого выхода на нее с мобильника, и естественно с логированием кто куда лазит.
В части левых роутеров - достаточно иметь ссылку в должностной/контракте на политику ИБ. В которой прописан запрет на самовольное подключение любых устройств и изменение ключевых настроек.