企業環境下，如何偵測/防止私有AP與無線通訊

**djhuang** · 2004-10-01, 04:35 PM

大家都在談架設，但是鮮少有人談到防止
昨天因緣際會，跟朋友討論到一個問題：
如何在一個已經架設好無線網路的場所，例如教室，辦公室，
會議室等地方，偵測並且防止其他的人使用自己的AP以及
自己的無線網卡，架設另一個無線通訊環境？

例如公司已經有了一個完整的無線網路使用架構，但是需要
主管的同意以及網域的認證才可以使用。但是有人就是不
願意跟老闆申請或是因為某些原因不想用公司的，就自己帶一個AP
跟網卡來公司架設自己的WLAN.還可以跟同事分享，搏感情的。
（你可能在問：你是在說我嗎？）
但是他的AP是open的，連靜態的WEP都沒有....

不定期的war walking或許可收亡羊補牢之效，但總覺得不夠周延
有什麼方法可以事前防止這些未經許可的AP連接公司的intranet ?
是不是連ethernet也要啟動802.1x認證機制....
想請教一下大家的看法與作法，謝謝！

djhuang

**basuya** · 2004-10-01, 04:45 PM

您可以參考這裡的文章。。。
http://taiwan.cnet.com/services/sear...ion=enterprise

**ellery** · 2004-10-01, 09:57 PM

市面上有廠商推出 AP 掃描系統,
可以掃瞄出未經核准而安裝的 AP
更有干擾系統可阻斷此類 AP 的通訊.

**flair** · 2004-10-01, 10:51 PM

那裡可以找的到這樣的程式呢

**djhuang** · 2004-10-02, 12:21 PM

最初由 ellery 發表
市面上有廠商推出 AP 掃描系統,
可以掃瞄出未經核准而安裝的 AP
更有干擾系統可阻斷此類 AP 的通訊.

以目前找到的資料來看
掃瞄的機制大抵是掃瞄網路上現有的MAC address然後跟已知的
MAC資料庫做比對，找出屬於AP廠商的項目然後剔除經過授權設立
的AP，便得到非經授權設立的AP列表。
但是從IP分享器以至於AP或是兩者合體的box，可以修改MAC address
的產品比比皆是，所以這個作法也是會有盲點在.

:-)
djhuang

**cheerx** · 2004-10-02, 03:50 PM

最好的辦法是MIS有建議公司制定規定的權利,一但抓到就殺無赦,對公司來說是最經濟的辦法.不然員工跟MIS鬥力止是阻礙公司生產而已.

**djhuang** · 2004-10-02, 06:49 PM

最初由 cheerx 發表
最好的辦法是MIS有建議公司制定規定的權利,一但抓到就殺無赦,對公司來說是最經濟的辦法.不然員工跟MIS鬥力止是阻礙公司生產而已.

:-) 這個作法是一個從行政管理面切入的手段.
這麼激烈的作法需要得到中高管理階層充分的支持
不過通常創造利潤與資訊安全如果放在"老闆"的天秤上，我相信
結果可能跟你我想像的相去甚遠... :-)

如果換一個角度來說，有時候在一些場合理面，自備AP的人不見得是
為了自己的方便或是規避一些管制的程序。確實是因為工作需要.
例如該人負責的產品/業務本來就包含802.11的東西，那麼他還真的
需要這種設備. 而且他的持有與使用還會增進公司的生產力咧.
但是站在IT部門的立場，並不希望他介接公司的LAN上造成security breach.
所以兩造雙方並沒有在鬥力，只是在自己的工作範疇內作自己的事情。
所以我也是比較希望在技術層面，找到方法偵測並防止LAN被非授權的AP
給分享出去，造成一個漏洞.
:-)

djhuang

**cheerx** · 2004-10-03, 11:12 PM

不好意思,因為小弟自己是當老闆,所以從老闆的角度上去思考這件事情,很多資安策略都是只要在行政上先訂好規則,資訊人員處理就簡單的多.如果在工作上有需要,那這位同仁的AP應該是可以先透過行政流程申請,而非未經IT部門同意私自架設,如果從技術面解決,最後變成一般人員要想辦法破解IT部門現制,IT部門想辦法防範,我認為這對公司來說只是浪費兩個人的生產力而已.

當然實際執行上,在公司環境比較大的時候,由於部門多,權力結構比較複雜,要實際執行需要主管支持,可使資訊部門先擬定好相關的方式,上呈公司決策單位,這樣發生問題時也比較好釐清責任,至少你建議了.

畢竟目前大多數依賴資安廠商的軟體或是硬體,都會替公司增加成本,而且不一定能有效防範這些問題,如果到時候裝了這些設備又出狀況,公司通常是會叫資訊人員負責而非廠商.