спасибо

кажется нашел, читаю это   https://wifimag.ru/cat/ubiquiti/unifi/ubiquiti_unifi_ap_ac_security_hd/

Как портсекурити связан с этажностью зданий?

много портов, я даже не считал сколько 48-ми портовых свичей. Разнотипные ус-ва, которые могу перемещаться. Самое зло, это ус-ва которые иногда меняют МАК... тут с их вендором не доразбирались, но было (внедрял уже port-sec и ставил ограничение на 10 МАКов - все равно пот тушился)

пизды давать далеко бежать

В моей практике были умники, которые втыкали роутеры и прочее неучтенное говно в сеть. Разговоры и увещевания не помогли, в итоге выпустили приказ в котором расписали ужасы и санкции, по которым можно притянуть почти любого за шаг влево-вправо. Настроили port security по макам, словили на живца умников и выдали им люлей на основе доведённого и подписанного всеми приказа. Все, вопрос закрылся, пытливые умы успокоились.

а вот конструкция из пальцев - это последствия действия?))))

спорт и секс? так это для здоровья полезно ))

не ну портсекурити надо на аксес порты ставить, а не на аплинки в AP.
количество свичей неважно. они все умеют трапы в одно место слать. дальше нехитрый скрипт и в заббикс
еще в портсекурити есть режим restrict это когда весь порт не гаснет а блокируется только пакеты от левого мака

насчет  изменчивости маков возможно это секурити фича, но она только в мобилах и там смысл что разные маки для разных SSID используются

звучит как нет умных админов и одна большая дыра для всех в интернет.

Мне вот стало интересно, а если пользователи в АД, тоесть их машины в АД, то при подключении через роутер на их компьютере через nat сменится ip адрес и изменится запись в корпоративном dns сервере?

про AP понятно))) я ранее делал port-sec, а заббикс алармил о портах, которые повисали в статусе безопасности... но метсные эникеи жаловались, что они в этот момент часто не за ПК, а юзер уже успел настрочить заявку. Городить port-sec ради "раз в квартал кто-то может принести домашний роутер" как-то излишне геморно. "блокируется только пакеты от левого мака" - это, как правило, и есть нужный юзер, которому сейчас надо работать.

Может можно следить за журналом регистрации днс сервера и если адреса компьютеров отличаются от корпоративных то сразу алерт.

А можно portsec + max mac 1 + syslog dns update

Если будут использовать нат, смениться ip адрес доменной машины. Если будут использовать как коммутатор то будет лишний мак. И там и так будет алер для наблюдения

сия дыра прикрыта фортиком, доменные юзеры по одним правилам, недоменное по другим, сегментация сети... но есть одно зло - много туповатых  с точки зрения безопасности ус-в, которым подавай доступы в локальную сеть и инет одновременно. Из-за них в сети такая вольница, и вот там-то скорее всего и влепят домашний роутер.

Ну порт сек можно городить для того чтобы знать кто куда включен фактически, т.к. если не следить а виланы не подтягиваются по Х то очень быстро потерять понимание кто куда включен. особенно если железка без lldp или hostname не информативен. А так пользователь решил пересесть к окну или мфушку переставить и опа - админ в курсе.

ты злой)

мне кажется вот это самое то, бить со стороны радио, читаю "UniFi AP AC Security HD действует как беспроводная система предотвращения вторжений (WIPS) и беспроводная система обнаружения вторжений (WIDS)"