it-swarm-es.com

¿Cómo detectar enrutadores WIFI no autorizados en una red?

Mi cliente cambió recientemente su política de red, así que ahora todos los enrutadores WIFI no están permitidos en la red. Dijeron que realizarían algunos escaneos y que podrían encontrar enrutadores WIFI "deshonestos" en la red.

¿Cómo podrían detectar estos enrutadores y puntos de acceso WIFI? Están ubicados de forma remota a las más de 100 sucursales/oficinas corporativas, por lo que definitivamente es una herramienta de red y no están caminando con detectores WIFI ni nada de eso.

Solo por curiosidad, ya que pensé que era interesante.

7
Sam Schutte

Si están justo ahora implementando esa política, entonces mi instinto dice que su amenaza de un escaneo son solo tácticas de miedo. Pero solo soy yo siendo cínico ...

Algunos métodos serían

  • Si el dispositivo es un enrutador y no solo un punto de acceso, podrán verlo en las rutas de enrutamiento.
  • Los fabricantes de dispositivos de infraestructura de red tienen asignados bloques masivos de direcciones MAC para usar en sus productos, por lo que es bastante confiable determinar un fabricante por la dirección MAC del dispositivo. Si, de repente, algunos LinkSys o D-Links comienzan a aparecer y los administradores saben que no usan esos dispositivos ...
  • Pueden buscar en DHCP. Esto es especialmente fácil si la red utiliza direcciones DHCP reservadas para los clientes. Todo lo que no esté en el grupo reservado es sospechoso.
5
squillman

Muchos puntos de acceso profesionales como los que proporciona Cisco no solo detectar puntos de acceso no autorizados a través de los motores de administración a los que están conectados, sino que también pueden evitar que cualquiera los use atacándolos con paquetes de disociación y otras cosas. Y, por supuesto, el informe encontró puntos de acceso no autorizados de inmediato y, según la cantidad de puntos de acceso válidos en el área, también realice una detección de ubicación algo útil.

Si ya están usando una solución inalámbrica compatible, que por su mención de la cantidad de oficinas, supongo que sí, sería solo una cuestión de activar la opción.


La función de monitoreo de radio utiliza las capacidades de medición de radio en Cisco IOS AP y Cisco Client Adapters para descubrir cualquier AP 802.11 nuevo que esté transmitiendo balizas. Tanto clientes como AP escanee periódicamente en busca de otras tramas de baliza 802.11 en todos los canales. Los informes de balizas detectadas se devuelven al Administrador de radio, que valida estas balizas con una lista de AP que se sabe que están autorizados para proporcionar acceso inalámbrico. Un AP recién descubierto que no se puede identificar como un AP autorizado conocido genera una alerta de administrador.

fuente

7
Oskar Duveborn

Supongo que están verificando las direcciones MAC asociadas con los puntos de acceso inalámbricos como se describe en la publicación del blog de este tipo.

http://barnson.org/node/611

2
Aaron

Podrían verificar las tablas ARP y buscar a los proveedores, o habilitar 1x en todos sus puertos de conmutador.

No necesariamente impide que el punto de acceso esté allí, pero evitaría que las personas usen la conexión inalámbrica.

Cisco también tiene detección de puntos de acceso no autorizados incorporada en sus últimas soluciones inalámbricas. (Supongo que Aruba también lo hace).

2
sclarson

Solo buscaría cualquier dirección IP interna que tenga más conexiones http que puedan ser explicadas fácilmente por un solo humano. La duplicación automática de un sitio web debería ser fácil de filtrar, ya que habrá mucho tráfico en un solo dominio. Eso debería encontrar cualquier acceso externo flagrante a la red de la empresa.

1
shapr

Usaría NMAP en modo intenso, que hará un buen trabajo identificando dispositivos conectados a la LAN. De hecho, he hecho esto recientemente, solo para averiguar dónde se conectaron nuestros AP existentes, ya que no estaba documentado correctamente.

Si no estuviera usando NMAP, iniciaría sesión y verificaría las tablas de direcciones MAC de los conmutadores Edge para identificar los puertos Edge con más de 1 dirección MAC, y luego averiguaría qué está pasando.

0
Mitch Miller