99%的网管都很棘手的问题:如何防止私接路由?

       随着计算机技术的快速进步,网络日益成为人们日常生活的一部分。目前,各种不同品牌的路由器已经成为实现各种骨干网络内部连接、骨干网互联和骨干网与互联网互联互通业务的主力军。特别是智能手机WI-FI上网的大频率使用,无线路由器又成了各个办公室、家庭和休息场所不可缺少的网络设备。

       然而,路由器在带给我们方便的同时,也给网络安全带来了不安全的因素。在网内经常会出现这样一个现象:在实际的带宽接入中存在着大量的非法级联,如一个用户通过路由器级联或建立无线热点使得多个用户可以利用同一帐号上网、办公。不管是企业局域网还是酒店局域网,局域网内人员私接无线路由器都是一个棘手的问题。


私接路由会有哪些危害?

● 如果私接路由下的某台电脑中毒,网管将很难定位病毒源,会造成病毒肆意传播,甚至造成网络瘫痪、资料损坏等。

● 由于很多私接无线路由器的人员为非专业人员,如果私接路由器没有设置正确,直接接到内网,造成企业路由器下电脑和内网电脑抢IP的现象,使部分电脑不能上网。

● 若私接路由的WAN口的IP为内网中允许访问WEB的IP,那么其LAN下主机都能通过这个IP上WEB,那将大大会增加企业资源造泄露的风险。


室内无线网桥3.jpg


哪些现象可能是私接路由?


● 同工作区域内的部分同事反映不能正常连接公司内部网络、或不能正常收发邮件。

● 未授权访问外网WEB的同事在看网页和在线视频。


发现私接路由后,如何查找?


可以通过以下多种方式结合排查:


● 查看故障主机IP、网关等相关设置。

● 区域内IP、MAC扫描,跟内部主机IP表、常用设备型号进行对比。

● PING -a xxx,可以获取电脑的主机名,若不返回,则可疑。

● 在可网管上层交换机上查看状态,防火墙上看Session。

如何禁止私接的路由器?

技术手段

1)IP-MAC绑定,甚至做交换机的端口绑定。

2)在汇聚层将不被允许路由IP/MAC出来的包进行Drop。

3)防火墙或路由器上设置数据包转发次数TTL限制。

4)PPPOE账号认证、802.1X端口认证+RADIUS用户认证服务器。

5)域+ISA防火墙,设置只有域内成员主机才能被允许上网。

6)添加端口静态安全MAC地址,缺省端口最大安全MAC数为1。

7)其它限速方法,使其不能快速上网,以达到放弃私接路由器的目的。

具体可以通过流量控制,以及Session限制/交换机端口连接数限制进行设置。

室内无线网桥1.jpg


       选择一款主流的准入控制系统,可以禁止无线路由器、禁止无线AP上网,当发现有非法路由设备接入网内时可及时进行报警和响应措施,有效防止网内成员随意修改终端IP、MAC或乱接网线问题。同时,准入控制系统还可监控无线路由器下各个电脑的上网行为,保障网络安全。