我想知道是否有一种方法,每当出现敌对设备(未知设备,例如员工带到办公室的无线路由器)时,都会通过发生这种情况的交换机和端口将此事通知给中央系统。
我知道您可以使用端口安全关闭端口,但是有没有办法立即发出通知?
答案1
网络入侵检测设备应该能够为您做到这一点。
一个简单的一次性实用程序是阿普观察,它会提醒您 MAC 到 IP 地址映射的任何更改(包括添加)。
答案2
802.1x 既可以提供端口安全(仅允许授权的计算机),也可以报告未经授权的连接。您应该能够将其置于“测试”模式(大多数实现都称之为测试模式,即无论身份验证成功与否都允许流量),并简单地监视日志/报告。
答案3
我可能想得太多了,但您可以编写一个脚本,使用该nmap
工具扫描整个网络、记录新条目并阻止它们。
答案4
最大的问题是:什么是“敌对”设备?有很多不同的策略可以实现这一点:
- 您可以配置某些交换机在连接未知 MAC 地址时发送 SNMP 陷阱。
- 您可以将交换机配置为只对 DHCP 开放,直到 DHCP 服务器给出 DHCPACK(我记不清这项技术的确切术语了)。然后,您可以在 DHCP 服务器级别控制访问(即链接到资产管理系统以查看公司是否知道 MAC 地址)。