以前公司的 AD IP 為192.168.1.1,有員工需要 PC 與 NB 各一條網路線,就自作聰明的自己去買一個 IP 分享器,就把 IP 分享器當 HUB 用,偏偏那台 IP 分享器的 IP 就是 192
.168.1.1,而且有 DHCP 服務,結果 AD 就一直出現 IP 衝突,導致服務異常,為了儘快的查出問題,開始拔 HUB(SWITCH)的網路線,查了許久隔開衝突後才抓到兇手解決問題.
後來怕事的主管是要求修改全公司的 IP 網段,去防止事件再發生,好在當初就是使用 DHCP,不然百餘台的用戶端 IP 修改就會做到昏倒.
私架無線網路好解決,用一台 NB 去掃瞄基地台,觀察訊號強度,將鄰居與自己的訊號排除,很容易抓到吧!
如果不想得罪人,請多利用管理部或老闆去做壞人去發佈禁令,IT 不好做,兩面不是人.
方法一:
請買網管的交換器,可以透過查詢每個Port上的Mac位置,若一個Port上有一個以上的Mac就代表有分接IP分享緝或Hub,同時也可以查詢Mac位置對應的廠牌,這方法必須知道每個Port所對應的位置
方法二:
透過IPSCAN工具去掃描每個IP位址並查出對應的Mac位址,透過OUI查詢出廠牌,即可查詢出哪個IP有分接分享器,這方法沒法知道位置,但可知道是那個IP被分接,可以將之設定阻擋.
IPSCAN http://www.angryip.org/w/Home
OUI http://standards.ieee.org/develop/regauth/oui/public.html
現在 IP 分享器都有 clone MAC address 功能了, 靠 MAC address 是鎖不住的.
要管 switch 下不要被亂接設備, 還是把所有 edge switch 都換成網管 switch, 把 802.1X 開起來吧.
不過往往花了大把鈔票, 達成的效果都還不如一紙政令有效.
三不五時就拿著nb去掃一掃看看有沒有其他的無線訊號囉!!!!
其實除了用軟硬體來防護,還要搭配行政命令比較有效,抓到就大過什麼的,我想大家就不太會去冒這個險了。
1.請管理部發布行政禁令
2.抓一個依工作規則記過處份
相信沒人想對著幹
有時訂策政很麻煩時, 個人會先這麼做:
1.先以技術鎖定犯案目標
2.在上網高峰期且不影響業務運作時, 故意中斷網路, 讓多數user直接體會網路不穩
3.到犯案目標單位與週邊單位, 與同事閒聊(多找幾位), 因有人亂架設備導致網路不穩, 一直收到大家對網路不穩的抱怨, 增加工作負擔.
4.若連這樣做犯案者都沒自覺, 那就只好找向上層反應, 因沒有明確的政策所以有人亂來, 所以只好訂政策強制規範.
供參考~
我用過 DrayTek 2110
用 mac 鎖定ip的方式來設定 client 端的電腦 ip
未經許可的設備就連不上
也許稍微麻煩一點
但是應該可以擋掉私接設備的問題
如果是因為同仁私接IP分享器造成DHCP發放IP問題,為何不開啟DHCP SNOOPING?
是我沒看清楚樓主的意思嗎?
DHCP SNOOPING 可參考以下網址
http://chaomengyang.wordpress.com/2010/06/03/dhcp-snooping/