Como detectar roteadores WIFI desonestos em uma rede?

Se eles estão apenas agora implementando essa política, então meu instinto diz que a ameaça de uma varredura é apenas uma tática de intimidação. Mas isso é só eu ser cínico ...

Alguns métodos seriam

• Se o dispositivo for um roteador e não apenas um ponto de acesso, eles poderão vê-lo nos caminhos de roteamento
• Os fabricantes de dispositivos de infra-estrutura de rede têm blocos de massa de endereços MAC atribuídos a eles para uso em seus produtos, tornando-os bastante confiáveis para determinar um fabricante pelo endereço MAC do dispositivo. Se, de repente, alguns LinkSys ou D-Links começam a aparecer e os administradores sabem que não usam esses dispositivos ...
• Eles podem procurar no DHCP. Isso é especialmente fácil se a rede estiver usando endereços DHCP reservados para clientes. Qualquer coisa que não esteja na reserva reservada é suspeita.

Muitos pontos de acesso profissionais, como os fornecidos pela Cisco, podem não apenas detectar pontos de acesso não autorizados através dos mecanismos de gerenciamento aos quais estão conectados - eles podem realmente impedir que alguém os use atacando-os com pacotes de desassociação e outros. E, é claro, o relatório encontrou pontos de acesso suspeitos imediatamente e dependendo do número de pontos de acesso válidos na área - faça uma detecção de localização um tanto útil também.

Se eles já estiverem usando uma solução sem fio compatível, o que, ao mencionar a quantidade de escritórios, eu acho que eles fazem isso - seria apenas uma questão de ativar a opção.

O recurso de monitoramento de rádio usa os recursos de medição de rádio nos Cisco IOS APs e nos Cisco Client Adapters para descobrir novos APs 802.11 que estão transmitindo sinalizadores. Os clientes e APs examinam periodicamente outros quadros de sinalização 802.11 em todos os canais. Relatórios de beacons detectados são retornados ao Gerenciador de Rádio, que valida esses beacons contra uma lista de APs conhecidos por serem autorizados a fornecer acesso sem fio. Um AP recém-descoberto que não pode ser identificado como um AP autorizado conhecido gera um alerta de administrador.

source

Meu palpite é que eles estão verificando os endereços MAC associados aos pontos de acesso sem fio, conforme descrito no post do blog desses caras.

link

Eles poderiam verificar as tabelas ARP e examinar os fornecedores ou ativar 1x em todas as suas portas de switch.

Não impede necessariamente que o ponto de acesso esteja presente, mas impede que as pessoas usem o sistema sem fio.

A Cisco também possui detecção de pontos de acesso não autorizados integrada em suas soluções sem fio mais recentes. (Eu diria que Aruba também).

No seu roteador / firewall, procure por pacotes de saída com um TTL mais baixo que o normal. A parte do roteador do roteador WiFi reduzirá o valor TTL de um pacote quando ele fluir através dele.

Eu apenas procuraria por qualquer endereço IP interno que tivesse mais conexões http que pudessem ser facilmente explicadas por um único ser humano. O espelhamento automatizado de um site deve ser fácil de filtrar, pois haverá muito tráfego para um único domínio. Isso deve encontrar qualquer acesso externo flagrante à rede da empresa.

Eu usaria o NMAP no Intense Mode, que fará um bom trabalho na identificação de dispositivos conectados à LAN. Na verdade, eu fiz recentemente isso, apenas para descobrir onde nossos APs existentes se conectaram, já que não foi documentado adequadamente.

Se eu não estivesse usando o NMAP, eu faria login e verificaria as tabelas de endereços MAC dos switches de borda para identificar as portas de borda com mais de 1 endereço MAC e, em seguida, descobrir o que está acontecendo.