Мне было интересно, есть ли способ, чтобы всякий раз, когда враждебное устройство (неизвестное устройство, например беспроводной маршрутизатор, который сотрудник приносит в офис), это было бы уведомлено в центральной системе с коммутатором, на котором это произошло, и с каким портом.
Я знаю, что вы можете закрыть порты с помощью безопасности порта, но есть ли способ, чтобы также было немедленное уведомление?
Устройство обнаружения сетевых вторжений должно сделать это за вас.
Простая одноразовая утилита arpwatch, который будет предупреждать вас о любых изменениях (включая добавления) в сопоставлении MAC-адресов и IP-адресов.
802.1x может обеспечивать как безопасность порта (разрешая только авторизованные компьютеры), так и сообщать о неавторизованных соединениях. Вы должны иметь возможность оставить его в «тестовом» режиме (в большинстве реализаций это называется, когда они разрешают трафик независимо от успешной / неудачной аутентификации) и просто отслеживать журналы / отчеты.
Наверное, я над этим подумал, но вы могли бы написать скрипт для сканирования сети с nmap инструмент для сканирования всей сети, регистрации новых записей и их блокировки.
Большой вопрос: что такое «враждебное» устройство? Для реализации этого существует множество различных стратегий: