iT邦幫忙

0

如何禁止個人私接IP分享器??

目前有員工私接IP分享器及無線基地台,如果反查時常無法查出確實的使用者,如何禁止私接私人的設備呢??
我們目前沒有辦法MAC/port綁定!! 因為大部分人都會在不用的地方使用筆電!!哭

看更多先前的討論...收起先前的討論...
祭出公司法規 @@
vino1 iT邦大師 1 級 ‧ 2012-03-01 23:31:55 檢舉
貴司有AD環境嗎?! DHCP server 是什麼系統?!
最近看到的
某公司吃飯要刷卡
抓到吃飯沒刷卡的兩次就革職
因為無誠信
怎麼抓的?有攝影機?
或是乾脆派人站衛兵?
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
4
dillence
iT邦新手 5 級 ‧ 2012-03-02 14:24:41
最佳解答

RADIUS 應該可以解決這個頭痛的問題

16
yyliu
iT邦研究生 2 級 ‧ 2012-03-01 21:44:16

以前公司的 AD IP 為192.168.1.1,有員工需要 PC 與 NB 各一條網路線,就自作聰明的自己去買一個 IP 分享器,就把 IP 分享器當 HUB 用,偏偏那台 IP 分享器的 IP 就是 192
.168.1.1,而且有 DHCP 服務,結果 AD 就一直出現 IP 衝突,導致服務異常,為了儘快的查出問題,開始拔 HUB(SWITCH)的網路線,查了許久隔開衝突後才抓到兇手解決問題.
後來怕事的主管是要求修改全公司的 IP 網段,去防止事件再發生,好在當初就是使用 DHCP,不然百餘台的用戶端 IP 修改就會做到昏倒.

私架無線網路好解決,用一台 NB 去掃瞄基地台,觀察訊號強度,將鄰居與自己的訊號排除,很容易抓到吧!

如果不想得罪人,請多利用管理部或老闆去做壞人去發佈禁令,IT 不好做,兩面不是人.

12
jay214
iT邦研究生 3 級 ‧ 2012-03-02 00:43:09

方法一:
請買網管的交換器,可以透過查詢每個Port上的Mac位置,若一個Port上有一個以上的Mac就代表有分接IP分享緝或Hub,同時也可以查詢Mac位置對應的廠牌,這方法必須知道每個Port所對應的位置
方法二:
透過IPSCAN工具去掃描每個IP位址並查出對應的Mac位址,透過OUI查詢出廠牌,即可查詢出哪個IP有分接分享器,這方法沒法知道位置,但可知道是那個IP被分接,可以將之設定阻擋.
IPSCAN http://www.angryip.org/w/Home
OUI http://standards.ieee.org/develop/regauth/oui/public.html

12
zyman2008
iT邦大師 6 級 ‧ 2012-03-02 06:07:55

現在 IP 分享器都有 clone MAC address 功能了, 靠 MAC address 是鎖不住的.
要管 switch 下不要被亂接設備, 還是把所有 edge switch 都換成網管 switch, 把 802.1X 開起來吧.

不過往往花了大把鈔票, 達成的效果都還不如一紙政令有效.

4
yu506yu
iT邦新手 2 級 ‧ 2012-03-02 09:11:38

三不五時就拿著nb去掃一掃看看有沒有其他的無線訊號囉!!!!
其實除了用軟硬體來防護,還要搭配行政命令比較有效,抓到就大過什麼的,我想大家就不太會去冒這個險了。

6
davidliu9116
iT邦研究生 2 級 ‧ 2012-03-02 09:24:22

1.請管理部發布行政禁令
2.抓一個依工作規則記過處份
相信沒人想對著幹

新二君 iT邦新手 2 級 ‧ 2017-11-04 10:53:29 檢舉

我們這邊抓到都打死說不是他裝的,是你們裝的我不知道,開始亂扯一通。不然就說你有證據錄影是他裝的嗎?

14
伊哇
iT邦研究生 2 級 ‧ 2012-03-02 10:13:09

有時訂策政很麻煩時, 個人會先這麼做:
1.先以技術鎖定犯案目標
2.在上網高峰期且不影響業務運作時, 故意中斷網路, 讓多數user直接體會網路不穩
3.到犯案目標單位與週邊單位, 與同事閒聊(多找幾位), 因有人亂架設備導致網路不穩, 一直收到大家對網路不穩的抱怨, 增加工作負擔.
4.若連這樣做犯案者都沒自覺, 那就只好找向上層反應, 因沒有明確的政策所以有人亂來, 所以只好訂政策強制規範.
供參考~ 偷笑

CalvinKuo iT邦大師 7 級 ‧ 2012-03-02 13:44:52 檢舉

高招,挖坑給犯罪者他們跳...
專業阿簽名

第三招好狠呀 借刀殺人耶筆記

4
cmmaster
iT邦研究生 5 級 ‧ 2012-03-04 10:12:36

我用過 DrayTek 2110
用 mac 鎖定ip的方式來設定 client 端的電腦 ip
未經許可的設備就連不上

也許稍微麻煩一點
但是應該可以擋掉私接設備的問題

0
tsongyao
iT邦新手 3 級 ‧ 2012-03-05 13:40:06

如果是因為同仁私接IP分享器造成DHCP發放IP問題,為何不開啟DHCP SNOOPING?
是我沒看清楚樓主的意思嗎?
DHCP SNOOPING 可參考以下網址
http://chaomengyang.wordpress.com/2010/06/03/dhcp-snooping/

我要發表回答

立即登入回答