Блокировка или отключение мошеннических маршрутизаторов

1

У нас сеть среднего размера, и время от времени случается что-то плохое. Когда-то это был маршрутизатор, сконфигурированный для назначения IP-адресов через DHCP, который не соответствовал нашей маске сети, что делало всех клиентов неспособными получить доступ к Интернету через наш маршрутизатор, а в другой раз это было какое-то подключенное к сети устройство, которое занимало IP-адрес нашего маршрутизатора (кто-то установил фиксированный IP-адрес, создавая коллизию).

В обоих случаях я мог видеть, какой MAC-адрес вызывал проблему, но затем у меня возникла проблема с попыткой отследить устройство, перейдя к каждому коммутатору и отсоединив одну линию за другой, чтобы выяснить, сохраняется ли проблема.

Есть ли простой способ избежать этих проблем, переопределив назначение DHCP или изолировав мошенническое устройство?

cdecker
источник
Эти маршрутизаторы должны были быть подключены к сети?
music2myear
Эти маршрутизаторы не должны были быть подключены к сети. Они были использованы нашими пользователями для обеспечения беспроводного доступа в своих комнатах. Хотя это разрешено, мы не поощряем это, и, как уже упоминалось, вызывает проблемы для всей сети, если настроен неправильно.
cdecker
Вау, вы позволили им настроить свои собственные беспроводные маршрутизаторы? Это огромная дыра в безопасности вашей сети. Я искренне надеюсь, что ваша компания не занимается чьей-либо личной информацией.
BBlake
Ну, это скорее студенческое общежитие, и студенты находятся в DMZ, отдельно от любой конфиденциальной информации. Проблема в том, что одно неправильно сконфигурированное устройство может разрушить всю студенческую сеть, и мне придется взбираться.
cdecker

Ответы:

1

Если MAC-адреса принадлежат устройствам, которые в любом случае не должны находиться в сети, вы должны иметь возможность полностью блокировать их MAC-адреса в сети. Укажите бренды и модели оборудования для переключения, и мы сможем выяснить, как это будет сделано.

Кроме того, большинство управляемых коммутаторов и маршрутизаторов должны иметь возможность указывать, к какому порту подключен конкретный MAC-адрес.

music2myear
источник
В настоящее время мы не используем управляемые коммутаторы, но после последнего инцидента мы собираемся заменить наши текущие коммутаторы на управляемые. Спасибо за подсказку.
cdecker
0

Что вы используете для переключения? Вы должны видеть, с каким портом связан конкретный MAC-адрес в любом управляемом коммутаторе. Кроме того, чтобы предотвратить подобные вещи, вы можете посмотреть на безопасность порта. Это предоставляемый Cisco набор функций, который позволяет заблокировать порты и вызвать отключение при нарушении.

Аарон Копли
источник