Открытый LAN-порт в офисе — это не мелочь. Это легкий путь для злоумышленника внутрь вашей сети. Ниже — простая, практичная статья для подписчиков. Коротко. По делу. С чек-листом.

Что происходит, если порт доступен

Подключили чужой ноут или Raspberry Pi — он сразу в вашей LAN. Чёрный DHCP подменяет шлюз. Вы получаете MITM и перехват трафика. ARP-spoofing позволяет перехватывать сессии и пароли. Rogue-устройства сканируют сеть и находят слабые сервера. VLAN-hopping пробивает сегментацию. Вредоносный софт разворачивается локально и двигается латерально. Итог — утечка данных, компрометация сервисов, простой бизнеса и юридические риски.

Чем пользуются атакующие (коротко)

Сканеры: nmap, masscan. Снифферы: tcpdump, Wireshark. MITM/poisoning: bettercap, ettercap, arpspoof. LLMNR/NetBIOS ловушки: Responder. AD/SMB инструменты: impacket, CrackMapExec, BloodHound. Пост-эксплуатация: mimikatz, evil-winrm. Физические трюки: unmanaged-switch, Rubber Ducky, «провода в розетке».

Что сделать сегодня (практика, 15 минут)

Отключить неиспользуемые порты на коммутаторе. Перевести все свободные порты в гостевой VLAN с нулевыми правами. Включить port-security / MAC-lock (1 MAC на порт). Включить DHCP snooping и Dynamic ARP Inspection. Настроить порт-mirroring на подозрительных портах и собрать трафик 24 часа. Повесить физические таблички «Не подключать» и поставить камеру в зоне. Составить реестр устройств: MAC → владелец → назначение.

Жёсткая защита (следующий уровень)

Внедрить 802.1X/NAC для рабочих станций. Сегментировать сеть: users / servers / IoT / guests. EDR/AV + MFA для удалённого доступа (RDP/SSH). IDS/IPS и логирование (Suricata/Zeek + SIEM). Регулярные внутренние pentest и мониторинг аномалий Netflow.

Примеры команд (быстрый старт)

Cisco (пример):

interface Gi1/0/1
switchport mode access
switchport access vlan 10
switchport port-security
switchport port-security maximum 1
switchport port-security violation restrict
switchport port-security mac-address sticky

MikroTik (пример):

/interface ethernet switch port set ether3 auth-mac-mode=secure
/interface bridge vlan add vlan-ids=100 bridge=bridge1 tagged=none untagged=ether3

Берегите себя и свою инфраструктуру в бизнесе.