V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
bannychen
V2EX  ›  程序员

请教一下目前的技术是否可以做到封锁员工自己带的随身 wifi?就是说让员工即便是插上随身 wifi 但是也用不了,如果能做到的话效果是啥样的?是没有 wifi 信号吗

  •  
  •   bannychen · 2018-02-08 10:37:36 +08:00 · 11457 次点击
    这是一个创建于 2465 天前的主题,其中的信息可能已经有所发展或是发生改变。
    88 条回复    2018-02-12 07:51:35 +08:00
    turan12
        1
    turan12  
       2018-02-08 10:41:20 +08:00
    不知道干扰 2.4G 和 5G 频段的罪过会不会比直接干扰移动信号频段大。这问题应该要用行政手段来解决吧,比如说发现一次罚款 2k,再次发现罚款 5k,第三次发现直接走人之类的。
    murmur
        2
    murmur  
       2018-02-08 10:42:48 +08:00
    抓到就开除即可
    损一点可以鼓励互相举报
    7sa
        3
    7sa  
       2018-02-08 10:43:36 +08:00   ❤️ 1
    上网行为管理设备就可以,一般效果就是封你电脑 ip 一段时间
    yanyuechuixue
        4
    yanyuechuixue  
       2018-02-08 10:43:50 +08:00 via Android
    封锁 USB 接口不就行了?

    不过干嘛要不允许…
    SuperMild
        5
    SuperMild  
       2018-02-08 10:44:00 +08:00
    楼主是说员工手机还是公司电脑?
    b821025551b
        6
    b821025551b  
       2018-02-08 10:44:35 +08:00
    把旁边的三家运营商基站炸了。
    yulitian888
        7
    yulitian888  
       2018-02-08 10:45:22 +08:00
    定向干扰?怎么识别哪些设备是员工带来的,哪些是办公环境里的?
    Tink
        8
    Tink  
       2018-02-08 10:46:41 +08:00
    我们公司可以
    hing
        9
    hing  
       2018-02-08 10:48:43 +08:00   ❤️ 1
    爱快路由器可以限制随身 WiFi
    learnshare
        10
    learnshare  
       2018-02-08 10:48:47 +08:00
    何必?
    Laobai
        11
    Laobai  
       2018-02-08 10:50:20 +08:00 via Android
    爱快,高恪等固件都能限制随身 wifi
    zj299792458
        12
    zj299792458  
       2018-02-08 10:54:50 +08:00   ❤️ 1
    用法拉第笼啊,墙上地上铺一层金属即可,然后在屋内放一个运营商信号 2g 的发射器,类似电梯里,如果电话也不让用那就不用了。文科生纯 yy。
    IllllI
        13
    IllllI  
       2018-02-08 10:55:32 +08:00
    不明白这是要干嘛
    Applenice
        14
    Applenice  
       2018-02-08 10:56:01 +08:00
    那直接禁所有设备的 USB (先指定一台开放 USB 的机器),大家都从那台机器传输文件不就行了
    f2f2f
        15
    f2f2f  
       2018-02-08 10:56:55 +08:00
    终端装管理软件就行,全部连接都封死
    timwei
        16
    timwei  
       2018-02-08 10:57:04 +08:00
    有域控的话,组策略禁用无线网卡跟 usb 口

    怕员工取回本地管理员就锁机箱

    再不济就上 workwin/ipguard
    Applenice
        17
    Applenice  
       2018-02-08 10:57:17 +08:00
    加一句,手机开热点的话就不知道了啊(逃
    bfhh126
        18
    bfhh126  
       2018-02-08 10:57:17 +08:00   ❤️ 1
    防火墙监测到多终端上网直接封 IP 一段时间。
    l0wkey
        19
    l0wkey  
       2018-02-08 10:57:36 +08:00   ❤️ 1
    有个脑洞...
    准实时探测非公司提供的 ssid,找 bssid,AP 模拟对应 bssid 和 ssid 发一个一样的信号。。。
    sothx
        20
    sothx  
       2018-02-08 10:57:59 +08:00 via iPhone   ❤️ 1
    如果是出于管理考虑,公司这么做并不好,如果是出于带宽考虑,可以执行。
    如果有技术部门,限制了 wifi 也会影响一些需要 wifi 的工作。
    更何况现在的流量这么廉价,通过 wifi,督促员工作的作用不大。
    SeeMeTomorrow
        21
    SeeMeTomorrow  
       2018-02-08 10:58:42 +08:00
    目前只允许每个账号使用随时 wifi 连接一台手机

    DOLLOR
        22
    DOLLOR  
       2018-02-08 10:59:09 +08:00
    首先你该说明白你的目的是什么?是防止员工用 wifi 把公司的内网广播出来?还是防止员工利用数据流量转 wifi 来访问互联网?
    如果是前者,直接设立 MAC 地址、IP 地址实名制,只许公司电脑联网。
    如果是后者,那就无解。除非你能把隔壁、楼上、楼下公司及其员工的 wifi 以及方圆 5 公里内所有基站都炸了。
    SeeMeTomorrow
        23
    SeeMeTomorrow  
       2018-02-08 11:00:19 +08:00
    上图第二行那个用户接入了两台移动终端,所以被冻结 20 分钟
    zyxbcde
        24
    zyxbcde  
       2018-02-08 11:00:41 +08:00 via Android
    为了防止员工玩手机的话完全没必要吧,手机都无限流量了。
    MikuM97
        25
    MikuM97  
       2018-02-08 11:01:19 +08:00
    我们公司,早期是靠深信服的行为管理,做共享检测,后期有了内网安全系统之后,直接禁止私自安装软件,世界都清静了。
    nullcoder
        26
    nullcoder  
       2018-02-08 11:06:24 +08:00
    @miaojiang22220 内网安全系统是什么?
    mytsing520
        27
    mytsing520  
       2018-02-08 11:09:20 +08:00
    仅就楼主的标题的提问来回答:
    可以做到,行为是屏蔽该内网地址的访问,相关 IP 用户需要主动申请恢复网络
    MikuM97
        28
    MikuM97  
       2018-02-08 11:09:20 +08:00
    @nullcoder 合法在你的电脑里面下个木马,各种监控各种阻断
    stanjia
        29
    stanjia  
       2018-02-08 11:10:22 +08:00
    贵公司真是无聊= =
    yoke123
        30
    yoke123  
       2018-02-08 11:11:21 +08:00
    无解 你周围一堆伪装各种东西基站呢
    https://www.zhihu.com/question/27598571
    把它们都炸了吧
    leavic
        31
    leavic  
       2018-02-08 11:22:46 +08:00
    贵公司是秦城监狱吗?
    Soar360
        32
    Soar360  
       2018-02-08 11:46:14 +08:00
    ~去网吧,电脑的 USB 口只要插上 360 随身 WiFi,系统就会自动重启……
    function007
        33
    function007  
       2018-02-08 11:52:54 +08:00
    公司网络不许私用还是算正常操作吧,行政上执行严一点应该就能杜绝大部分,再加个行为管理的辅助一下监督。不过事先要给员工说清楚,这样再犯事的于情于理公司都该处罚了
    laqow
        34
    laqow  
       2018-02-08 12:00:36 +08:00 via Android
    装一个带宽小一点带身份验证的简单 wifi 给员工用就好了嘛。。大部分情况不就是图个看微信省钱。。
    yingfengi
        35
    yingfengi  
       2018-02-08 12:38:06 +08:00 via Android
    两种
    1.上网行为管理做防共享策略:检测到随身 WIFI 对该 PC 断网,并且后台记录。
    2.无线反制:只允许连接白名单的 WIFI
    Admstor
        36
    Admstor  
       2018-02-08 12:39:17 +08:00
    楼主说的是那种公司没有 wifi,但是有网线,然后禁止在电脑上插 USB 网卡分享网络的事
    这个 21 楼已经给了答案
    毕竟所有设备都有 MAC 地址的,封禁起来有 100 种方法,即便是 MAC 伪装也没用,详细去复习网络基础就能知道了

    但是如果你是移动 mofi,应该目前除了频道干扰还没其他办法做到

    说实在的,公司的 wifi 就算给我用我也懒得用,各种监听太泄露隐私
    yingfengi
        37
    yingfengi  
       2018-02-08 12:39:42 +08:00 via Android
    @sothx 这么做基本是出于防泄密考虑
    yingfengi
        38
    yingfengi  
       2018-02-08 12:40:33 +08:00 via Android
    @SeeMeTomorrow 深信服 AC12.0.3 版本?
    imbushuo
        39
    imbushuo  
       2018-02-08 12:49:38 +08:00
    ![Air Marshal.PNG]( https://i.loli.net/2018/02/08/5a7bd666ac2eb.png)

    当然可以,企业级设备都做了几年这个了……
    AP 带单独的天线直接扫,发现了疑似在 LAN/符合关键词之类的,客户端和 Rouge AP 被周围所有 AP 用单独的第三天线踢爆,然后如果是大规模部署网络的话可以直接上报位置
    Cu635
        40
    Cu635  
       2018-02-08 12:55:12 +08:00
    lz 这么干的目的是啥?是公司没有 wifi 只有有线,不让员工上班玩手机?
    wanhuiming
        41
    wanhuiming  
       2018-02-08 12:57:39 +08:00
    上有政策 下有对策 别这样吧
    contmonad
        42
    contmonad  
       2018-02-08 13:11:10 +08:00 via iPhone
    进厂的时候过安检加搜身就可以,参考华为红区管理
    likuku
        43
    likuku  
       2018-02-08 13:15:34 +08:00
    MAC 地址绑定,仅白名单
    tuding
        44
    tuding  
       2018-02-08 13:43:17 +08:00   ❤️ 1
    一般来说随身 wifi 上网有两种模式,一种是 NAT 模式,一种是桥模式。
    NAT 模式可以通过控制 TTL 来禁止随身 wifi 上网
    桥模式可以通过 IP+MAC+VLAN(+PORT)来禁止随身 wifi 上网

    当然,还是通过行政手段是最有效的,某大厂的做法是罚款把直属领导捆绑上,员工罚多少直属领导也罚多少,效果良好。
    axisray
        45
    axisray  
       2018-02-08 13:55:54 +08:00
    @yingfengi 还有可能是 SG 哦,不过可能性不大就是了
    @SeeMeTomorrow 推荐您升级到 12.0.5,这个版本优化了防共享的模块
    Tounea
        46
    Tounea  
       2018-02-08 13:58:49 +08:00
    666
    yingfengi
        47
    yingfengi  
       2018-02-08 14:14:14 +08:00 via Android
    @axisray 请教下,今天有个客户说 AC 做微信认证,说微信经常拉不起来会是什么情况,还没给他远程。
    totoro625
        48
    totoro625  
       2018-02-08 14:50:36 +08:00 via Android
    只需要封锁随身 wifi 的话,可以吊销那个 wifi 辅助程序的数字证书,或者电脑定时杀那个程序,让 wifi 的那个辅助程序无法运行。顺便再弄个监控程序,程序被破坏直接发信息给管理员。这样他们带来的随身 wifi 就没用了
    xiaozecn
        49
    xiaozecn  
       2018-02-08 14:55:37 +08:00 via Android
    不如干脆公司提供一个独立于内网的 WIFI 啊。这都啥年代了,还玩禁止这一套。
    F2Sky
        50
    F2Sky  
       2018-02-08 15:15:19 +08:00 via Android
    总想着用技术手段解决管理上的问题。
    fate
        51
    fate  
       2018-02-08 15:18:48 +08:00
    可以了解下 360 天巡
    rooftop64
        52
    rooftop64  
       2018-02-08 15:47:56 +08:00
    云子可信
    smg
        53
    smg  
       2018-02-08 16:06:46 +08:00
    代理服务器 完美解决 接什么随身 wifi 都没用
    geralt0725
        54
    geralt0725  
       2018-02-08 16:32:07 +08:00   ❤️ 4
    啥公司?告诉大家免得误投简历
    yuriko
        55
    yuriko  
       2018-02-08 16:46:54 +08:00
    不太理解 LZ 的需求,是不让公司网络扩散,还是不想员工用手机?
    sky96111
        56
    sky96111  
       2018-02-08 18:42:56 +08:00 via Android
    @hing 有什么必要换用这种自行车?
    winglight2016
        57
    winglight2016  
       2018-02-08 19:53:59 +08:00
    参考一下华为、远光等大公司等做法吧,直接控制互联网访问,禁止安装 usb 驱动,安装系统安全策略等等
    anheiyouxia
        58
    anheiyouxia  
       2018-02-08 20:15:51 +08:00 via Android
    以前的公司,不知怎么设置的,所有 USB 端口都没用,插上去没反应的
    icorgi
        59
    icorgi  
       2018-02-08 20:31:35 +08:00
    如果可以做到终端管控(有域、准入环境)就禁 usb 口,禁无线网卡,没办法就上网行为管理
    flyfishcn
        60
    flyfishcn  
       2018-02-08 21:46:22 +08:00
    如果不上域,参考公安网,安装类似禁止一机两用监控程序,插入未授权外设自动报警。如果卸载,检测到网络通但是监控软件并没有运行的,如果没有上报故障,则按泄密直接纪律处分。
    上域就直接禁止软件安装、禁止安装设备驱动。
    另外之前看一些行为管理软件有准入客户端,准入网关有动态 ACL,不安装直接没有网络访问权限,安装了自带防私接。用过诺顿企业版套件有此功能。
    yanyuechuixue
        61
    yanyuechuixue  
       2018-02-08 22:07:56 +08:00
    @zj299792458 法拉第牢笼需要把发送者单独关起来或接受者单独关起来,关在一起是不行的...
    woscaizi
        62
    woscaizi  
       2018-02-08 22:18:24 +08:00 via iPhone
    现在 4G 套餐有的都无限了,还冒着被处罚的危险共享电脑的 wifi ?
    Cyron
        63
    Cyron  
       2018-02-08 23:26:52 +08:00 via iPhone
    我觉得真要管理,就要求所有员工必须连接公司 wifi,然后统一加限制。当然,两台手机可破
    huangtao728
        64
    huangtao728  
       2018-02-08 23:42:09 +08:00
    可以的,但是打开之后连公司提供的 WiFi 也会受限(不过看使用场景这点并不影响)
    跟考场的信号屏蔽器一个原理,可以搜得到 WiFi,但是连不上,最简单的,一块 ESP8266 也能实现

    话说回来,什么年代了都还用这一招。。。提高工作效率绝对有比这更好的方法。
    bclerdx
        65
    bclerdx  
       2018-02-08 23:51:31 +08:00
    @function007 如果公司非要这么干,那就所有人,包括领导在内的全部禁止,光禁止底层员工,有意思么?
    bclerdx
        66
    bclerdx  
       2018-02-08 23:57:24 +08:00
    @tuding 等着公司倒闭好了。
    travelforlove
        67
    travelforlove  
       2018-02-09 03:03:49 +08:00
    其实非常容易,也是国外的行业标准。
    在公司是大跨国技术公司并完全实施了大跨国技术公司的全套行业标准的前提下。
    设置一些 AP 去扫描所有广播 /未广播的 wifi 信号,排除掉已知的公司外部的干扰。
    剩下一旦出现新的信号就查到是谁然后约谈。
    如果有人通过伪装 mac 之类的明显恶意行为提升查找难度的话,
    就直接远程拿到那附近所有电脑的 USB 记录然后不给任何赔偿的开除那个涉嫌泄密的人。

    国内农企也有很多不画那么多钱在基础设备上的方法,
    比如所有 USB 能物理拆除的就物理拆除,不能的就贴封条之类的。
    比如抓到一个典型之后判个入狱十五年之内的。
    travelforlove
        68
    travelforlove  
       2018-02-09 03:10:27 +08:00
    @f2f2f 这个可以通过使用 USB 启动员工自己的操作系统来破解。
    travelforlove
        69
    travelforlove  
       2018-02-09 03:15:29 +08:00
    @turan12 @murmur 这些对于准备离职前干一票的人没啥用。
    travelforlove
        70
    travelforlove  
       2018-02-09 03:21:38 +08:00
    @flyfishcn 可以通过克隆 MAC 地址让没有安装任何监控程序的电脑接入,也可以自己发包伪装成监控软件有在运行,公安内网数据以前基本上是个专业贩子都能拿到,最近不知道具体什么状况。
    travelforlove
        71
    travelforlove  
       2018-02-09 03:24:50 +08:00
    @Laobai @hing 这种也只是虚假的安全,不上深度包检测设备的话你只要在任意设备上打洞,然后让另外一个设备连接上再在那个设备上装 wifi 就检测不到了。
    des
        72
    des  
       2018-02-09 07:57:29 +08:00 via Android
    @travelforlove 成本啊,只要让大部分人觉得成本有点高,其余的事先警告,然后走法律途径就好。

    如果你可以不记成本,我给你出个主意。每个人都配个人在旁边看,然后定期换。
    zj299792458
        73
    zj299792458  
       2018-02-09 09:10:05 +08:00 via iPhone
    @yanyuechuixue 个人理解楼主的目的是要让员工不能通过随身 wifi 上网,而不是要屏蔽随身 wifi 的信号怕有辐射?
    openbsd
        74
    openbsd  
       2018-02-09 09:26:25 +08:00
    仅限 Windows 环境 AD 配合组策略,不适用任何第三方软件的情况下
    可以精细到 只能使用公司制定的 U 盘
    luoqeng
        75
    luoqeng  
       2018-02-09 09:38:28 +08:00
    公司网线直接插无线路由器。隐藏 SSID。
    fchypzero
        76
    fchypzero  
       2018-02-09 09:40:54 +08:00
    现有网络环境做好授权,堵住非授信设备访问网络。
    上 IP-Guard 类似的软件,亲测有用。
    Famio
        77
    Famio  
       2018-02-09 09:47:10 +08:00
    我们公司 AD+ISA,走域用户认证,热点你能连,没认证过不去。
    dilu
        78
    dilu  
       2018-02-09 09:57:10 +08:00
    技术上不是什么问题 但是对员工这么苛刻真的好吗?如果你是有特殊的安全性需求还好,不然的话,工作苦,工资少,零食没有,奖金没有,还不让用一下 WIFI 估计辞职也是早晚的事
    chaleaoch
        79
    chaleaoch  
       2018-02-09 10:04:23 +08:00
    随身 wifi windows 系统可以封。
    DevNet
        80
    DevNet  
       2018-02-09 10:47:58 +08:00
    @l0wkey 这不是脑洞啊。。好几年的思科,aruba 这种商用 AP 都是双芯片的,一个用来发射正常的 ssid,另一个用来无线压制,就是检测周围的非法 wifi 信号,然后发射干扰,要么连不上,要么连上了上不了网。这是无线安全领域必备的吧。 @bannychen
    c0878
        81
    c0878  
       2018-02-09 11:33:14 +08:00
    直接网关上把不想让员工访问的域名封掉就好了 随身 wifi 不也是最终要走有线网络
    8cbx
        82
    8cbx  
       2018-02-09 13:01:19 +08:00
    办法一:断掉所有网口,贴封条,拿胶水堵死,发现拆封罚款或开除
    办法二:WiFi 压制,大功率压制所有 2.4g 和 5g 频段,让网速成渣,自然就没人用了
    flyfishcn
        83
    flyfishcn  
       2018-02-09 13:32:37 +08:00 via iPhone
    @travelforlove 真要弄有很多办法,这种只是能防止未经授权访问,当然这样防范已经够了,能查到人了。如果加个摄像头,你还敢随便接入么?当然你可以破坏摄像头,还有再好的防泄密措施也防不住记在脑子里然后带出去,对吧?
    winstars
        84
    winstars  
       2018-02-09 14:41:02 +08:00
    可以的,操作系统组策略里面直接禁止开热点。
    que01
        85
    que01  
       2018-02-09 14:46:40 +08:00
    让我想起上学时候的锐捷了。。。。。。那时候用它拨号上网 不能发热点 发热点就给你断网。。。所以说 按说还是可以的。。。。。。。
    yoqu
        86
    yoqu  
       2018-02-09 16:19:58 +08:00
    我们公司上网拨号用 inode,完美解决大家电脑乱分 wifi 的问题
    picasso250
        87
    picasso250  
       2018-02-09 16:35:21 +08:00
    所有的公司电脑都使用有线.

    然后全频带阻塞干扰.

    绝对安全.

    只是人可能要穿上防护服.
    panpanpan
        88
    panpanpan  
       2018-02-12 07:51:35 +08:00 via iPhone
    参考一下大学里面封锁共享 wifi 的方式。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2822 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 02:17 · PVG 10:17 · LAX 18:17 · JFK 21:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.