Мой клиент недавно изменил свою сетевую политику, поэтому теперь все WIFI-маршрутизаторы отключены от сети. Они сказали, что проведут сканирование и смогут найти в сети «мошеннические» маршрутизаторы WIFI.
Как они смогут обнаружить эти маршрутизаторы и точки доступа WIFI? Они расположены удаленно к более чем 100 филиалам / корпоративным офисам, так что это определенно сетевой инструмент, и они не ходят с детекторами Wi-Fi или чем-то в этом роде.
Просто любопытно, как мне показалось, это интересно.
Многие профессиональные точки доступа, такие как Cisco, могут не только обнаруживать мошеннические точки доступа через механизмы управления, к которым они подключены - они действительно могут предотвратить их использование кем-либо, атакуя их пакетами диссоциации и т. д. И, конечно же, немедленно сообщать об обнаруженных мошеннических точках доступа и, в зависимости от количества допустимых точек доступа в области, также выполнять несколько полезное определение местоположения.
Если они уже используют поддерживаемое беспроводное решение, которое, судя по вашему упоминанию количества офисов, я предполагаю, что они это делают - просто нужно включить эту опцию.
Функция радиомониторинга использует возможности радиоизмерения на точках доступа Cisco IOS и клиентских адаптерах Cisco для обнаружения любых новых точек доступа 802.11, передающих маяки. И клиенты, и точки доступа периодически сканируют другие кадры маяка 802.11 на всех каналах. Отчеты об обнаруженных радиомаяках возвращаются в Radio Manager, который проверяет эти радиомаяки на соответствие списку AP, о которых известно, что они авторизованы для предоставления беспроводного доступа. Вновь обнаруженная точка доступа, которая не может быть идентифицирована как известная авторизованная точка доступа, генерирует предупреждение администратора.
Если они прямо сейчас Реализуя эту политику, мое чутье говорит, что их угроза сканирования - это просто тактика запугивания. Но это я циничный ...
Несколько методов были бы
Я предполагаю, что они проверяют MAC-адреса, связанные с точками беспроводного доступа, как описано в блоге этого парня.
Они могли проверить таблицы ARP и посмотреть на поставщиков или включить 1x на всех своих портах коммутатора.
Не обязательно останавливать точку доступа, но это не позволит людям пользоваться беспроводной связью.
Cisco также имеет встроенное обнаружение несанкционированных точек доступа в свои последние беспроводные решения. (Я предполагаю, что Аруба тоже).
На вашем маршрутизаторе / брандмауэре ищите исходящие пакеты с более низким TTL, чем обычно. Маршрутизатор WiFi-маршрутизатора снижает значение TTL пакета при прохождении через него.
Я бы просто поискал любой внутренний IP-адрес, который имеет больше HTTP-соединений, которые можно легко объяснить одним человеком. Автоматическое зеркальное отображение веб-сайта должно быть легко отфильтровано, так как это приведет к большому потоку трафика на один домен. Это должно найти любой вопиющий внешний доступ к сети компании.
Я бы использовал протокол NMAP в интенсивном режиме, который хорошо помогает определять устройства, подключенные к локальной сети. Фактически, я недавно сделал это, просто чтобы выяснить, где подключены наши существующие AP, поскольку это не было должным образом задокументировано.
Если бы я не использовал NMAP, я бы вошел в систему и проверил таблицы MAC-адресов граничных коммутаторов, чтобы определить граничные порты с более чем 1 MAC-адресом, а затем выяснить, что происходит.