ネットワーク上の不正なWIFIルーターを検出する方法
クライアントが最近ネットワークポリシーを変更したため、すべてのWIFIルーターがネットワークから許可されなくなりました。彼らはいくつかのスキャンを実行し、ネットワーク上で「不正な」WIFIルーターを見つけることができると述べました。
どのようにしてこれらのWIFIルーターとアクセスポイントを検出できますか?それらは100以上の支店/企業のオフィスから離れた場所に配置されているため、間違いなくネットワークツールであり、WIFI検出器などを持ち歩いているわけではありません。
面白いと思ったので、気になっただけです。
彼らがちょうど今そのポリシーを実装しているなら、スキャンの脅威は恐ろしい戦術に過ぎないと私の直感は言います。しかし、それは私がシニカルであることだけです...
いくつかの方法があります
- デバイスがルーターであり、単なるアクセスポイントではない場合、ルーティングパスでデバイスを確認できます。
- ネットワークインフラストラクチャデバイスの製造元には、製品に使用するMACアドレスの大規模なブロックが割り当てられており、デバイスのMACアドレスから製造元を特定することはかなり信頼できます。突然、いくつかのLinkSysまたはD-Linkがポップアップし始め、管理者がそれらのデバイスを使用していないことを知っている場合...
- DHCPを調べることができます。ネットワークがクライアント用に予約されたDHCPアドレスを使用している場合、これは特に簡単です。予約済みプールにないものはすべて疑わしいものです。
シスコが提供するような多くのプロフェッショナルアクセスポイントは、接続されている管理エンジンを介して 不正アクセスポイントを検出 を実行できるだけではありません-関連付け解除パケットなどで攻撃することにより、誰もがそれらを使用するのを防ぐことができます。そしてもちろん、不正アクセスポイントがすぐに見つかり、エリア内の有効なアクセスポイントの数に応じて、レポートを作成します-多少便利な位置検出も行います。
彼らがすでにサポートされているワイヤレスソリューションを使用している場合は、オフィスの数について言及していると思いますが、そうだと思います。これは、オプションをオンにするだけの問題です。
無線監視機能は、Ciscoの無線測定機能を使用しますIOS APおよびCiscoクライアントアダプタは、ビーコンを送信している新しい802.11 APを検出します。クライアントとAPの両方すべてのチャネルで他の802.11ビーコンフレームを定期的にスキャンします。検出されたビーコンのレポートはRadio Managerに返され、無線アクセスを提供することが承認されていることがわかっているAPのリストに対してこれらのビーコンが検証されます。新しく検出されたAPは、既知の承認済みAPが管理者アラートを生成します。
私の推測では、このブログの投稿で説明されているように、ワイヤレスアクセスポイントに関連付けられているMACアドレスをチェックしています。
ARPテーブルをチェックしてベンダーを確認するか、すべてのスイッチポートで1xを有効にすることができます。
アクセスポイントの存在を必ずしも阻止するわけではありませんが、ワイヤレスの使用を阻止します。
シスコでは、最新のワイヤレスソリューションに不正アクセスポイントの検出機能を組み込んでいます。 (アルバもそうだと思います)。
私は、1人の人間が簡単に説明できるより多くのhttp接続を持つ内部IPアドレスを探します。 1つのドメインへのトラフィックが多いため、Webサイトの自動ミラーリングは簡単に除外できます。これにより、企業ネットワークへの悪質な外部アクセスが検出されます。
NMAPをIntense Modeで使用します。これは、LANに接続されたデバイスを識別するのに役立ちます。実際、私は最近これを行いました。適切に文書化されていなかったため、既存のAPがどこに接続されているかを把握するためです。
NMAPを使用していない場合は、ログインしてエッジスイッチのMACアドレステーブルを確認し、複数のMACアドレスを持つエッジポートを特定して、何が起こっているのかを調べます。