Usiamo Linux per l'installazione di router e firewall e alcuni dipendenti fanno hotspot da OS X. C'è un modo per bloccare questo traffico o controllarlo?
Il problema è che l'indirizzo IP che questo hotspot dà ai suoi clienti è nascosto nella rete, quindi non posso semplicemente bloccare questa sottorete.
Non penso che sia banale usare iptables per questa attività dato che l'indirizzo MAC di origine e l'IP per le connessioni dietro l'hotspot sono l'hotspot stesso. Ma potresti utilizzare tecniche di rilevamento NAT come descritto per sflow . Un modo in cui queste tecniche funzionano è quello di rilevare TTL insoliti e variabili dei pacchetti, ovvero i pacchetti originati dai dispositivi dietro l'hotspot hanno un TTL diverso dai pacchetti originati dall'host stesso degli hotspot.
Tuttavia, poiché questo metodo può avere falsi positivi, raccomanderei semplicemente di osservare il traffico e determinare i potenziali utenti di hotspot e solo se si è sicuri di poter punire questi utenti poiché essi violano ovviamente la propria politica di utilizzo della rete. Se gli utenti notano che è possibile rilevare tale violazione delle norme e che le violazioni saranno punite, si spera che si fermino anche solo per provare a configurare un hotspot.
Penso che stai cadendo nella trappola di cercare una soluzione tecnica per un problema gestionale. Questo è un caso in cui gli utenti aggirano la sicurezza. Prova a parlare con loro; perché dovrebbero volere quell'hotspot? La rete Wi-Fi ufficiale ha delle carenze che stanno cercando di aggirare?
Finché questo non viene risolto, troveranno dei modi per aggirare ciò che stai cercando di risolvere.
Perché? Perché questo non è qualcosa che puoi risolvere con un firewall. Questi solo guardano gli indirizzi fisici e logici, che non sono molto utili qui.
Se non sai chi lo sta facendo, puoi provare a cacciarli con airodump-ng, o vedere se la tua soluzione Wi-Fi supporta il rilevamento di AP non autorizzati.