W zależności od rodzaju ruchu przesyłanego przez sieć często nie jest możliwe, aby pracownik zabrał router bezprzewodowy i skonfigurował go w sieci. Wynika to z tego, że często nie są lub są słabo zabezpieczone i stanowią backdoor w sieci. Co możesz zrobić, aby zapobiec wprowadzaniu do sieci nieuczciwych punktów dostępu bezprzewodowego?
Odpowiedzi:
Powyższa odpowiedź Lucasa jest trochę punktem wyjścia. Istnieją jednak dwie lub trzy inne rzeczy, które należy wziąć pod uwagę. W końcu są one nieco poza zakresem inżynierii sieci , ale z pewnością mają wpływ na inżynierię sieci i bezpieczeństwo, więc proszę bardzo.
Prawdopodobnie chcesz w jakiś sposób zapobiec przełączaniu kart bezprzewodowych w laptopach firmowych w tryb ad hoc. Zakładając, że na laptopach działa system Windows, prawdopodobnie chcesz użyć obiektu zasad grupy, aby ustawić tylko tryb infrastruktury. W przypadku Linuksa trudniej jest w pełni ograniczyć, ale istnieją też sposoby, aby to zrobić.
Egzekwowanie IPSec jest również dobrym pomysłem, szczególnie przy dobrym zarządzaniu kluczami i zaufanym egzekwowaniu. Na przykład, jeśli możesz przejść do certyfikatów X509 w celu zarządzania kluczami, może to uniemożliwić nieautoryzowanym urządzeniom bezpośrednią komunikację z resztą sieci. Rozważ zarządzanie kluczami jako kluczową część infrastruktury tutaj. Jeśli korzystasz z serwera proxy, możesz nawet zablokować dostęp do Internetu nieautoryzowanym urządzeniom.
Zwróć uwagę na ograniczenia swoich wysiłków. Żadne z nich nie uniemożliwia osobie skonfigurowania niezabezpieczonego bezprzewodowego punktu dostępowego podłączonego do karty sieciowej USB, wyłącznie w celu komunikacji z komputerem, zwłaszcza jeśli SSID jest ukryty (tzn. Nie jest rozgłaszany).
Nie jestem pewien, jak dalej ograniczać problemy lub czy dalsza paranoja jest już daleko od punktu niewystarczających zwrotów .....
Przede wszystkim musisz zbudować politykę zabraniającą wprowadzania urządzeń sieciowych do sieci, która nie jest własnością ani nie jest zatwierdzona przez dział IT firmy. Następnie wymuś bezpieczeństwo portu, aby nieznane adresy mac nie mogły połączyć się z siecią.
Po trzecie, skonfiguruj oddzielną sieć bezprzewodową pod twoją kontrolą (jeśli dasz im to, czego chcą, rzadziej wprowadzą nieuczciwy AP) (jeśli to możliwe i wykonalne) w celu uzyskania dostępu do Internetu za pomocą (mobilnych) urządzeń. Te punkty dostępu powinny być zabezpieczone za pomocą PEAP lub podobnego i najlepiej działać w oddzielnej sieci.
Na koniec możesz także wykonywać regularne skanowanie bezpieczeństwa za pomocą narzędzi takich jak netstumbler w celu wykrywania i śledzenia nieuczciwych punktów dostępu w sieci.
Istnieje również opcja wykonania IPsec w sieci, dzięki czemu w przypadku, gdy ktoś skonfiguruje nieuczciwy AP, odsłonięte „fale” nie będą czytelne w przypadku wąchania sieci bezprzewodowej.
Do tej pory całe moje doświadczenie dotyczyło produktów Cisco, więc to wszystko, z czym naprawdę mogę porozmawiać.
Kontrolowane przez WCS punkty dostępowe (lekkie i normalne) mają możliwość wykrywania i raportowania, gdy pojawią się niezaufane identyfikatory SSID i ilu klientów jest z nimi połączonych. Jeśli masz skonfigurowane mapy cieplne i przyzwoitą liczbę punktów dostępowych, masz spore szanse na znalezienie miejsca, w którym punkt dostępu znajduje się w pobliżu punktów dostępowych. Jedyną wadą tego jest to, że jeśli jesteś w pobliżu barów / kawiarni / akademików / dzielnic, oczekujesz stron o wartości „nieuczciwych” identyfikatorów SSID, które zmieniają się tak często, jak ludzie się poruszają.
WCS ma również możliwość śledzenia śledzenia switchport i powiadamiania cię, jeśli nieuczciwi są podłączeni do twojej sieci. Muszę jeszcze mieć dużo szczęścia, żeby to zadziałało. Szczerze mówiąc, nie miałem zbyt wiele czasu na zabawę. Domyślnie, przynajmniej w mojej sieci, wydaje się, że istnieje sporo fałszywych alarmów dotyczących sposobu działania śledzenia. Nie szukając pewności, uważam, że patrzy tylko na OUI MAC, a jeśli się zgadza, otrzymasz alert o nieuczciwym działaniu w sieci.
Wreszcie, WCS ma również możliwość przechowywania rouge AP / SSID. Odbywa się to poprzez użycie deauth i odseparowanie wiadomości od klientów podłączonych do tego punktu dostępowego.
Z punktu widzenia monitorowania można uruchomić narzędzie takie jak NetDisco, aby znaleźć porty przełączające z większą liczbą podłączonych adresów MAC niż można by oczekiwać. Nie zapobiegnie to automatycznie wprowadzeniu nieuczciwego WAP do sieci, ale pozwoli ci go znaleźć po fakcie.
Jeśli można oczekiwać, że sprzęt podłączony do portów przełączania pozostanie statyczny, ograniczenie adresu MAC (z naruszeniami skonfigurowanymi administracyjnie w dół portu przełączników) może uniemożliwić podłączenie dowolnego nieuczciwego urządzenia (nie tylko WAP).
Tylko jeśli AP jest w trybie pomostowym, możesz złapać go z bezpieczeństwem portu.
Ograniczanie Liczba adresów MAC nie pomoże, w przypadku gdy punkt dostępowy rouge jest również skonfigurowany jako „router bezprzewodowy”
Pomocne jest szpiegowanie DHCP, ponieważ złapie ono bezprzewodowy AP, podłączony tyłem, tj. Port LAN urządzeń rogeu, które mają włączony DHCP, jest podłączony do twojej sieci, szpiegowanie DHCP zmniejszy ruch.
Przy minimalnym budżecie szperanie DHCP jest moją jedyną opcją, po prostu czekam, aż użytkownik będzie wystarczająco głupi, aby podłączyć swój AP do tyłu ... a potem idę na polowanie :)
Osobiście, jeśli sieć jest w większości sklepem Cisco, co oznacza, że przynajmniej twoja warstwa dostępu jest skonfigurowana za pomocą przełączników Cisco; Chciałbym spojrzeć na bezpieczeństwo portów i DHCP Snooping jako sposób na ochronę przed tego typu problemami. Ustawienie maksymalnie 1 adresu MAC na wszystkich portach dostępu byłoby ekstremalne, ale zapewniłoby, że tylko 1 urządzenie może się pojawiać na przełączniku jednocześnie. Ustawiłbym również port na zamykanie, jeśli pojawi się więcej niż 1 MAC. Jeśli zdecydujesz się zezwolić na więcej niż 1 MAC, szperanie DHCP byłoby pomocne, ponieważ większość routerów bezprzewodowych klasy konsumenckiej wprowadza DHCP w lokalnej podsieci, gdy użytkownik końcowy podłącza urządzenie do portu przełączania. W tym momencie zabezpieczenia portu zamknęłyby port przełączania, gdy szpiegowanie DHCP wykryje, że punkt dostępu oferuje DHCP.
Nie zapominaj, że możesz również uruchomić 802.1x na portach przewodowych. 802.1x może zapobiegać nieautoryzowanym urządzeniom, a zabezpieczenia portów pomagają zapobiec podłączeniu przełącznika i przywróceniu portu. Pamiętaj, że nawet przy najlepszej kontroli sieci musisz podjąć środki na poziomie komputera, w przeciwnym razie użytkownicy będą mogli uruchomić NAT na swoim komputerze i ominąć zabezpieczenia sieci.
Jak wspomniano, przede wszystkim ważna jest polityka. Może się to wydawać dziwnym punktem wyjścia, ale z korporacyjnego i prawnego punktu widzenia, chyba że zdefiniujesz i rozpowszechnisz polisę, jeśli ktoś ją złamie, niewiele możesz zrobić. Nie ma sensu zabezpieczać drzwi, jeśli kiedy ktoś się włamie, nie możesz zrobić nic, aby je zatrzymać.
Co z 802.11X. Tak naprawdę nie dbasz o to, jaki jest punkt dostępu, legalny czy nie, o ile nikt nie uzyska dostępu do zasobów pod nim. Jeśli możesz uzyskać punkt dostępu lub użytkownika poza nim, w celu obsługi standardu 802.11X, bez zgody, uzyskają dostęp, ale nie będą mogli nic zrobić.
W rzeczywistości uważamy to za przydatne, ponieważ przypisujemy różne sieci VLAN na ich podstawie. Jeśli zostaniesz zatwierdzony, uzyskasz dostęp do korporacyjnej sieci VLAN, w przeciwnym razie jest to wbudowana sieć reklamowa. Chcesz oglądać nasze filmy promocyjne przez cały dzień, nie mamy nic przeciwko.
Nessus ma wtyczkę do wykrywania nieuczciwych AP - możesz okresowo skanować skan, aby wyglądać.
http://www.tenable.com/blog/using-nessus-to-discover-rogue-access-points
Zapobieganie jest trudne.
Można zastąpić przewodowe porty Ethernet za pomocą Wi-Fi dla wszystkich urządzeń - eliminując potrzebę konfigurowania własnych punktów dostępowych przez ludzi. 802.1X do uwierzytelnienia i IPsec do bezpiecznego połączenia.
Wykrywanie może być tylko niezawodnym sposobem:
Łącza bezprzewodowe mają dużą utratę pakietów i prawdopodobnie znaczną zmienność opóźnienia. Monitorując utratę i opóźnienie pakietu, możesz wykryć połączenia przez punkty dostępowe Rouge.
Czy zastanawiałeś się nad nakładaniem bezprzewodowych systemów zapobiegania włamaniom (WIPS)?
Fałszywe AP mają różne kształty i rozmiary (od usb / soft AP do rzeczywistych fizycznych Fałszywych AP). Potrzebujesz systemu, który może monitorować zarówno stronę powietrzną, jak i przewodową, i skorelować informacje z obu stron sieci, aby wydedukować, czy zagrożenie rzeczywiście istnieje. Powinien być w stanie przeczesać setki Ap i znaleźć ten, który jest podłączony do sieci
Rogue Ap to tylko jeden rodzaj zagrożenia Wi-Fi, co powiesz na klientów Wi-Fi łączących się z zewnętrznymi punktami dostępowymi widocznymi z Twojego biura? Przewodowy system IDS / IPS nie może w pełni chronić przed tego rodzaju zagrożeniami.