Na verdade, eu serei o defensor dos demônios aqui, porque eu realmente gosto do desafio dessas coisas de ambos os lados, e porque muitos de vocês são apenas preguiçosos .
<Rant>
Eu trabalhei com um cara que uma vez se recusou (categoricamente) a atualizar para qualquer navegador passado IE 6, e ele manteve essa política através do inferno, água alta e lágrimas, até o nosso próprio site não funcionaria mais no navegador instalado em nossos desktops internos. Ele tinha exatamente a mesma visão sobre todo o resto da rede que ele mesmo não colocou lá, e era apenas uma miséria completa para se trabalhar.
Como administrador, seu trabalho deve ser ajudar os usuários a fazer seu trabalho e tentar ajudar os poucos que têm alguma competência técnica quando não for muito trabalhoso. Isso não quer dizer que você deve deixar todos os idiotas entrarem e conectarem o que quiserem, e isso não quer dizer que você deve comprometer sua segurança em nome da conveniência do usuário, mas seu trabalho não é
</Rant>
O problema sempre será o par adicional de endereço IP / endereço Mac. É isso que eles vão procurar: mesmo que eles não tenham o DHCP completamente bloqueado, eles estarão procurando por "novos" endereços MAC. Você não pode proteger sua rede física se não ficar atento a MACs desconhecidos.
Para contornar isso, você tem que direcionar o tráfego extra através de sua máquina, usando algum tipo de proxy (que só é possível se você pode instalar software), ou você vai ter que deslizar um interruptor entre sua máquina e a rede e, em seguida, NAT todo o tráfego direto para o seu desktop (as chances são que eles têm RPD ou configuração semelhante para que eles possam administrar sua máquina remotamente), e você terá que configurar o switch para ter suas máquinas Endereço IP, e seu endereço MAC, e você pode não ser capaz de determiná-los, dependendo de como o seu computador está bloqueado.
Agora, ambas as soluções serão completamente óbvias para quem se incomoda em deixar o pote de café e andar por aí. Se você tiver sorte, o cara vai pensar que a regra que proíbe você de conectar seu tablet PC com vírus à rede da empresa está desatualizada e faz vista grossa. Se você tiver azar, eles o desconectarão com um martelo (na verdade, fiz isso em um WAP aberto que alguém conectou à minha rede ... Assisti-los tentando reclamar que estava delicioso).
Sua melhor política é ir ao seu chefe e vendê-los no seu periférico. Em seguida, faça-os ir ao cara que está em cima de seu departamento e TI, e venda-os, e depois peça-lhes o estilo da Ira de Deus sobre o pessoal de TI, que citará o capítulo e versículo sobre o motivo de permitir que seu dispositivo a rede acabará com a civilização como a conhecemos. Dependendo de qual chefe o vende melhor, ele será / não será feito e, de qualquer forma, eventualmente, os administradores podem tirar você da lista de merda deles.
O que eu faria, por mais sábio que eu esteja nas formas de redes, é pedir um WAP externo. Se você vender um que esteja fora da rede interna e protegida, provavelmente poderá vendê-lo por causa de todos os executivos que possuem Crackberries e iPhones, que apreciarão o wifi. E é o tipo de coisa que não custa muito, e acalma muitos funcionários, que os chefes de TI gostam de fazer.