В моей локальной сети есть несколько пользователей Mac, которые совместно используют свое подключение к локальной сети, создав точку доступа через свой аэропорт. Я вижу недавно созданные сети Wi-Fi на любом устройстве с поддержкой Wi-Fi. Как я могу узнать, кто создает точку доступа и предоставляет доступ к Интернету внешнему миру?
Если у вас есть какие-то данные потока, зарегистрированные в вашей сети (например, netflow или sflow), вы легко сможете обнаружить подозрительное количество подключений, исходящих от определенных IP-адресов, подключенных к сети за ним. Также, методы обнаружения использования NAT на основе декрементов IP TTL существует. Однако сопоставление этого IP-адреса с устройством или пользователем должно быть возможным.
Помимо этого, ваша существующая инфраструктура точки доступа может помочь вам в обнаружении окружающих WLAN и предупреждать вас о появлении новых точек доступа («обнаружение несанкционированных точек доступа»). Если у вас есть AP, работающие с центральным контроллером WLAN, у вас, скорее всего, будет эта функция. Автономные точки доступа уровня предприятия также смогут предоставлять такую же информацию по протоколу SNMP. Простая идентификация WLAN, конечно, не идентифицирует ее владельца, но, по крайней мере, вы будете уведомлены о том, что вам следует внимательно посмотреть, что происходит.
Мобильный телефон с одним из этих приложений-сканеров Wi-Fi делает свое дело.
Некоторое время назад у меня было заражение этим, включая [красочное описание интеллекта человека отредактировано], который подключил домашний маршрутизатор с функцией dhcp, так что у нас был мошеннический сервер dhcp. После входа на устройство (ура пароли по умолчанию), отключения DHCP-сервера и изменения пароля я просто взял телефон с приложением для сканирования Wi-Fi, которое сообщает о мощности канала. Это можно использовать для удобного подключения передатчика. Теперь устройство находится на дне запертого картотечного шкафа в заброшенном туалете с табличкой на двери «Остерегайтесь леопарда».