it-swarm-pt.tech

Como detectar roteadores WIFI não autorizados em uma rede?

Meu cliente mudou recentemente sua política de rede, então agora todos os roteadores WIFI não são permitidos na rede. Eles disseram que executariam algumas varreduras e que seriam capazes de encontrar roteadores WIFI "não autorizados" na rede.

Como eles seriam capazes de detectar esses roteadores e pontos de acesso WIFI? Eles estão localizados remotamente em mais de 100 filiais/escritórios corporativos, então é definitivamente uma ferramenta de rede e eles não estão andando por aí com detectores de WIFI ou algo parecido.

Só curiosidade, pois achei interessante.

7
Sam Schutte

Se eles estão agora implementando essa política, meu instinto diz que a ameaça de uma varredura é apenas uma tática de intimidação. Mas sou apenas eu sendo cínico ...

Alguns métodos seriam

  • Se o dispositivo for um roteador e não apenas um ponto de acesso, eles poderão vê-lo nos caminhos de roteamento
  • Os fabricantes de dispositivos de infraestrutura de rede têm blocos em massa de endereços MAC atribuídos a eles para uso em seus produtos, o que torna bastante confiável determinar um fabricante pelo endereço MAC do dispositivo. Se, de repente, alguns LinkSys ou D-Links começarem a aparecer e os administradores souberem que eles não usam esses dispositivos ....
  • Eles podem procurar no DHCP. Isso é especialmente fácil se a rede estiver usando endereços DHCP reservados para clientes. Tudo o que não estiver no pool reservado é suspeito.
5
squillman

Muitos pontos de acesso profissionais como os que a Cisco fornece podem não apenas detectar pontos de acesso invasores por meio dos mecanismos de gerenciamento aos quais estão conectados - eles podem realmente impedir que qualquer um os use, atacando-os com pacotes de desassociação e outros enfeites. E, claro, o relatório encontrou pontos de acesso invasores imediatamente e, dependendo do número de pontos de acesso válidos na área - faça também uma detecção de localização um tanto útil.

Se eles já estiverem usando uma solução sem fio compatível, o que, por você mencionar a quantidade de escritórios, acho que sim - seria apenas uma questão de ativar a opção.


O recurso de monitoramento de rádio usa os recursos de medição de rádio no Cisco IOS APs e Cisco Client Adapters para descobrir quaisquer novos APs 802.11 que estejam transmitindo beacons. Clientes e APs verifique periodicamente por outros quadros de beacon 802.11 em todos os canais. Os relatórios de beacons detectados são retornados ao Gerenciador de Rádio, que valida esses beacons em relação a uma lista de APs sabidamente autorizados a fornecer acesso sem fio. Um AP recém-descoberto que não pode ser identificado como um AP autorizado conhecido gera um alerta de administrador.

fonte

7
Oskar Duveborn

Meu palpite é que eles estão verificando os endereços MAC associados aos pontos de acesso sem fio, conforme descrito na postagem do blog desse cara.

http://barnson.org/node/611

2
Aaron

Eles poderiam verificar as tabelas ARP e consultar os fornecedores ou habilitar 1x em todas as portas de switch.

Não necessariamente impede que o ponto de acesso esteja lá, mas impediria as pessoas de usar o wireless.

A Cisco também possui detecção de ponto de acesso não autorizado em suas soluções sem fio mais recentes. (Eu diria que Aruba também).

2
sclarson

Eu apenas procuraria por qualquer endereço IP interno que tenha mais conexões http que podem ser facilmente explicadas por um único ser humano. O espelhamento automatizado de um site deve ser fácil de filtrar, pois haverá muito tráfego para um único domínio. Isso deve encontrar qualquer acesso externo flagrante à rede da empresa.

1
shapr

Eu usaria NMAP no Modo Intenso, que fará um bom trabalho na identificação de dispositivos conectados à LAN. Na verdade, eu fiz isso recentemente, apenas para descobrir onde nossos APs existentes estão conectados, uma vez que não foi devidamente documentado.

Se eu não estivesse usando NMAP, faria login e verificaria as tabelas de endereços MAC dos switches do Edge para identificar as portas do Edge com mais de 1 endereço MAC e descobrir o que está acontecendo.

0
Mitch Miller