我的客户最近改变了他们的networking策略,所以现在所有的WIFI路由器都不能使用networking。 他们表示,他们将运行一些扫描,他们将能够findnetworking上的“stream氓”WIFI路由器。
他们将如何检测这些WIFI路由器和接入点? 他们位于100多个分支机构/企业办公室的远程位置,所以它绝对是一个networking工具,他们不会随着WIFI探测器或类似的东西四处走动。
只是好奇,因为我认为这很有趣。
如果他们现在正在实施这个政策,那么我的直觉就是说他们对扫描的威胁只是吓人的手段。 但是这只是我玩世不恭
一些方法将是
思科提供的许多专业接入点不仅可以通过与其连接的pipe理引擎来检测恶意接入点 – 它们实际上可以防止任何人通过以分离数据包攻击它们来使用它们。 当然,报告会立即发现非法接入点,并根据该区域内的有效接入点数量进行检查,并进行一些有用的位置检测。
如果他们已经在使用受支持的无线解决scheme,那么通过提到办公室的数量,我想他们会这么做 – 这只是一个打开选项的问题。
无线电监测function使用Cisco IOS AP和Cisco客户端适配器上的无线电测量function来发现任何正在传输信标的新的802.11 AP。 客户端和AP都会定期扫描所有通道上的其他802.11信标帧。 检测到的信标报告返回给无线电pipe理器,无线电pipe理器根据已知被授权提供无线接入的AP列表来validation这些信标。 新发现的无法识别为已知授权AP的AP将生成pipe理员警报。
资源
我的猜测是,他们正在检查这个人的博客文章中描述的与无线接入点相关的MAC地址。
他们可以检查ARP表并查看供应商,或在其所有交换机端口上启用1x。
不一定阻止接入点在那里,但它会阻止人们使用无线。
思科还在其最新的无线解决scheme中内置了stream氓接入点检测function。 (我会假设阿鲁巴也是这样)。
在您的路由器/防火墙查找TTL低于正常的传出数据包。 WiFi路由器的路由器部分在stream经数据包时会降低数据包的TTL值。
我只是寻找任何内部的IP地址,有更多的http连接,可以很容易地由一个人解释。 网站的自动镜像应该很容易被过滤掉,因为它会有很多stream量到一个域。 这应该find任何公然的外部访问公司networking。
我会在强烈模式下使用NMAP,这将很好地识别连接到局域网的设备。 事实上,我最近做了这个,只是为了找出我们现有的无线接入点在哪里,因为它没有正确logging。
如果我不使用NMAP,我将login并检查边缘交换机MAC地址表,以确定具有多于1个MAC地址的边缘端口,然后查明发生了什么。