Bloquear Internet via cabo em endereço MAC

[Gi Bisol]

Bom dia.

Aqui na empresa possuímos um roteador principal (TP LINK TL-WR940N) onde ninguém tem a senha do WiFi, porém um funcionário colocou um roteador no pc dele e eu preciso impedir que esse roteador tenha acesso à internet. Eu já tenho o endereço MAC desse roteador, porém em CONTROLE DE ACESSO estou tendo dificuldades em configurar o bloqueio, talvez não seja lá. Alguma dica de como bloquear o mac desse roteador intruso ?

 

OBS. o cabo está na porta LAN

[M4DAR4VI]

Ola Giovanni, tem como você entrar no site de configuração do roteador ir em Controle de acesso e me mandar o print pelo site ?

[grievous]

Já tentou seguir o procedimento que a TP-Link informa no próprio site?
 

Como configurar o filtro de endereço do MAC?

 

Lembrando que esse tutorial é para bloquear dispositivos WiFi porém não deve ser muito diferente para bloquear quem está conectado pelo cabo de rede.

[Gi Bisol]

57 minutos atrás, M4DAR4VI disse:

Ola Giovanni, tem como você entrar no site de configuração do roteador ir em Controle de acesso e me mandar o print pelo site ?

 

Segue o print

adicionado 0 minutos depois

@grievous infelizmente é diferente. Pois para o wireless tem um menu lateral dedicado à ele

adicionado 41 minutos depois

Vale ressaltar que o roteador intruso está na porta LAN

[ciro-mota]

Pela imagem, tecnicamente a regra está correta. Certificou-se de verificar se o MAC address é o correto?

[Gi Bisol]

4 horas atrás, ciro-mota disse:

Pela imagem, tecnicamente a regra está correta. Certificou-se de verificar se o MAC address é o correto?

 

Sim, o Mac está correto, eu tive acesso físico ao roteador.

 

O roteador quando conectado na porta WAN ele recebe o bloqueio, porém quando conectado na LAN ele roteia a internet sem dificuldades 

[grievous]

@Giovanni Bisol É porque quando você conecta na porta LAN ele passa a funcionar como Switch e não Roteador. Logo não recebe IP ou possui endereço MAC (apenas os switchs gerenciáveis possuem eu acho).

 

O que esse funcionário está fazendo é contra as regras da empresa? Não seria mais fácil impedir o uso de equipamentos alheios dentro da empresa?

[Gi Bisol]

1 hora atrás, grievous disse:

@Giovanni Bisol É porque quando você conecta na porta LAN ele passa a funcionar como Switch e não Roteador. Logo não recebe IP ou possui endereço MAC (apenas os switchs gerenciáveis possuem eu acho).

 

O que esse funcionário está fazendo é contra as regras da empresa? Não seria mais fácil impedir o uso de equipamentos alheios dentro da empresa?

Ele já foi advertido, só q isso abriu uma brecha na rede. Existe uma falha que eu não consigo sanar kk

Eu descobri q ele tinha esse roteador la porque vi no meu celular.

[ciro-mota]

Neste caso não há muito o que fazer, se ao menos o seu roteador fosse compatível com firmware alternativo, ai haveria a possibilidade de um bloqueio geral, liberando apenas alguns hosts permitidos via regra.

[grievous]

Penso que uma alternativa seria bloquear todos os IPs exceto os de uma lista (whitelist) que você adicionar no roteador.

 

Se forem poucas máquinas acredito que seja viável.

[Gi Bisol]

@ciro-mota  @grievous  
São em torno de 90 pcs!

Acredito que a solução aqui seria um roteador empresarial, da Cisco por exemplo

[FFmarini]

@Giovanni Bisol Acredito que mesmo com o melhor roteador, você terá que configurar os IP's Manualmente em todos os dispositivos, assim como o @grievous mencionou acima, aqui na empresa que trabalho funciona assim, temos um firewall junto com um AD, as regras de acesso a internet são configuradas no Firewall, e o AD faz a autenticação.

[Gi Bisol]

@FFmarini vocês tem um ponto wifi para visitantes?
Sem acesso à rede, apenas internet

[FFmarini]

@Giovanni Bisol Sim, temos vários AP's, mas sempre que chega um visitant tenho que configurar o IP (temos uma faixa de Ip para visitantes) no dispositivo do mesmo, dá um trabalhinho, mas é questão de segurança da empresa.

Obs: Aqui se alguém plugar um roteador na rede simplesmente não vai funcionar, pois  Firewall (Sonicwall) não fornece o IP automaticamente. 

[Gi Bisol]

@FFmarini Infelizmente o fluxo de visitantes aqui é grande.

No pior das hipóteses vou ter que fazer isso mesmo ou adquirir um ponto de internet com uma velocidade menor para os visitantes (aqui é primordial um ponto para eles)

[FFmarini]

@Giovanni Bisol Comprei a pouco tem um roteador da TP-link archer c60 AC1350 (para minha casa) ele tem a uma configuração de rede para visitantes, mas eu não cheguei a testar, talvez no seu caso dê certo, outra opção é  de você  adicionar outro roteador na sua rede e como ele permitir o acesso ao visitantes com o DHCP habilitado, e o outro você já tem, coloque as regras como citado acima.

[Gi Bisol]

@FFmarini nosso roteador tem essa opção, porém se eu bloquear os ips ou macs e liberar o acesso cadastrando eles previamente isso afeta a rede visitante também

[FFmarini]

@Giovanni Bisol E com um segundo roteador?

[Gi Bisol]

@FFmarini Segundo roteador vai acabar herdando as regras de permissões do roteador anterior?

Se sim, o trabalho é o mesmo

Se não, o cara pode plugar um roteador e aí eu volto na estaca zero

[FFmarini]

@Giovanni Bisol Se você ligar um segundo roteador, com o DHCP ligado, esse roteador vai rotear IPs automaticamente para os dispositivos conectados nele tanto via cabo como wireless, em teoria o roteador vai em algum ponto na parede o que acredito que não vai ser possível o tal usuário conectar um cabo nele, para ficar melhor compre um AP, o mesmo possui apenas uma porta LAN/WAN 

[Visitante]

Só não entendi por que não ter acesso à Internet se todos (inclusive visitantes) têm?

 

E outra, se é proibido, basta proibir. Se desacatar, na primeira é advertência, na segunda suspensão e na terceira demissão com justa causa.

[Gi Bisol]

@FFmarini A questão é q ele pode ir em outro ponto q já tem cabo e colocar o roteador e configurar da forma q você disse. Não necessariamente ir no segundo roteador

 

@Walter C. Catelan a rede visitante foi criada ontem, o problema foi sanado. É q existe essa brecha na rede que eu não gostaria que tivesse. 

 

A rede visitante não tem acesso aos arquivos da rede, mas se a pessoa colocar um roteador ela terá

[Visitante]

agora, Giovanni Bisol disse:

A rede visitante não tem acesso aos arquivos da rede, mas se a pessoa colocar um roteador ela terá

Pelo amor de Deus, você não tem senha de acesso?

[FFmarini]

5 minutos atrás, Giovanni Bisol disse:

@FFmarini A questão é q ele pode ir em outro ponto q já tem cabo e colocar o roteador e configurar da forma q você disse. Não necessariamente ir no segundo roteador

Mas ai é só você configurar o roteador para liberar o acesso aos dispositivos que você queira.

[Gi Bisol]

@Walter C. Catelan a senha de acesso é inutil se ele mesmo souber a própria senha 

adicionado 1 minuto depois

@FFmarini Então bicho, aí rola aquele problema com os visitantes e tal, como descrevi nesse tópico

 

A saída que achei é a aquisição de um CISCO, ele bloqueia com eficiência o MAC do roteador, mesmo q este esteja plugado na porta LAN