Encontrando (e parando!) Rogue Devices from HP Procurve

7

Parece que temos um problema com dispositivos não autorizados na nossa rede. Do DHCP (no Win2003), posso ver nomes de dispositivos que claramente não são nossos. A partir do nome, eu suspeito que é um AP sem fio (WGR614 parece um Netgear para mim). Não consigo fazer o ping agora, mas quero A.) ter certeza de que ele desapareceu e B.) impedir que ele volte.

Minha teoria inicial é bloquear o endereço MAC no switch. Eu também gostaria de encontrar qual porta o endereço MAC estava conectado para que eu possa encontrar o local que estava conectado.

Temos diferentes tipos de comutadores HP ProCurve, com o nosso comutador principal um 4200. Como é que eu iria fazer isto como uma tarefa única? Eu não sou um administrador de rede, então por favor seja gentil.

    
por CC. 13.07.2009 / 20:28

2 respostas

5

Não posso dizer nada sobre "bloqueio" ou funcionalidade de lista de controle de acesso nos comutadores HP Procurve. Em geral, "bloquear" dispositivos indesejados não é uma coisa boa. Evitar que os dispositivos procurados entrem na sua rede é uma ideia melhor.

Para localizar o endereço MAC de um dispositivo incorreto, de um computador na mesma sub-rede desse dispositivo, execute o PING no dispositivo e, em seguida, faça um "arp -a" em um prompt de comando. Você deve receber algo assim (no Windows):

Interface: 192.168.28.10 --- 0x6
  Internet Address      Physical Address      Type
  192.168.28.9          00-ff-22-71-a6-a2     dynamic

O endereço MAC está listado na coluna "endereço físico".

Esperamos que os switches ProCurve tenham alguma funcionalidade para permitir que você pesquise o banco de dados de endereços MAC no switch por um determinado endereço. Faça isso e o switch informará a você qual porta está "vendo" esse endereço MAC anexado.

Em um switch Cisco (ou um switch "Cisco-workstike"), você faria:

show mac-address | include xxxx.xxxx.xxxx

Onde x são o endereço MAC (removendo o "-" entre os dígitos que o Windows reporta e colocando "." entre cada grupo de 4 dígitos).

Rastreie o que está conectado nessa porta. Se for outro switch, repita o processo no outro switch. Se você acabar com um ponto de acesso sem fio, pense em usar (melhor) criptografia para impedir que pessoas não autorizadas saiam da sua rede.

    
por 13.07.2009 / 20:37
4

Você sabe como chegar à interface de linha de comando? O comando

show mac-address

mostrará todos os endereços MAC que o switch detectou.

Você pode obter todos os manuais do 4200 aqui:

Manuais para os switches Procurve 6400cl / 5300xl / 4200vl / 3400cl

    
por 13.07.2009 / 20:37