A seconda del tipo di traffico che attraversa la rete, spesso non è possibile che un dipendente porti un router wireless e lo installi nella rete. Questo perché spesso non sono o scarsamente protetti e presentano una backdoor nella rete. Cosa è possibile fare per impedire l'introduzione nella rete di punti di accesso wireless non autorizzati?
Risposte:
La risposta di Lucas sopra è un po 'un punto di partenza. Vi sono tuttavia altre due o tre cose che devono essere considerate. Questi finiscono per essere un po 'al di fuori dell'ambito dell'ingegneria di rete , ma certamente hanno un impatto sull'ingegneria e sulla sicurezza della rete, quindi eccoli qui.
Probabilmente vuoi un modo per impedire che le schede wireless nei laptop aziendali passino alla modalità ad hoc. Supponendo che i laptop eseguano Windows, probabilmente si desidera utilizzare un oggetto Criteri di gruppo per impostare solo la modalità infrastruttura. Per Linux, è più difficile limitare completamente, ma ci sono anche modi per farlo.
Anche applicare IPSec è una buona idea, in particolare con una buona gestione delle chiavi e un'applicazione affidabile. Ad esempio, se si può andare su certificati X509 per la gestione delle chiavi, ciò può impedire ai dispositivi non autorizzati di comunicare direttamente con il resto della rete. Considera la gestione delle chiavi come una parte fondamentale dell'infrastruttura qui. Se si utilizza un server proxy, si potrebbe anche essere in grado di bloccare l'accesso a Internet a dispositivi non autorizzati.
Nota i limiti dei tuoi sforzi. Nessuno di questi impedisce a una persona di impostare un punto di accesso wireless non protetto collegato a una scheda di rete USB, al solo scopo di comunicare con il proprio computer, soprattutto se l'SSID è nascosto (cioè non trasmesso).
Non sono sicuro di come contenere ulteriormente i problemi o se l'ulteriore paranoia è ben oltre il punto di rendimenti insufficienti .....
Innanzitutto è necessario creare una politica che vieti di introdurre nella rete apparecchiature di rete che non sono di proprietà o approvate dal dipartimento IT dell'azienda. Successivamente applica la sicurezza delle porte in modo che gli indirizzi mac sconosciuti non possano connettersi alla tua rete.
Terzo, crea una rete wireless separata sotto il tuo controllo (se dai loro quello che vogliono, è meno probabile che introducano AP non autorizzati) (se possibile e fattibile) per accedere a Internet con i loro dispositivi (mobili). Questi punti di accesso devono essere protetti con PEAP o simili e preferibilmente eseguiti su una rete separata.
Infine, puoi anche eseguire scansioni di sicurezza regolari utilizzando strumenti come netstumbler per rilevare e tenere traccia dei punti di accesso non autorizzati nella tua rete.
C'è anche la possibilità di eseguire IPsec sulla rete in modo che nel caso in cui qualcuno configuri un AP non autorizzato, le "onde" esposte non saranno chiaramente leggibili nel caso in cui qualcuno annusi la rete wireless.
Tutta la mia esperienza finora è stata con i prodotti Cisco, quindi è tutto ciò di cui posso davvero parlare.
Gli AP controllati da WCS (leggeri e normali) hanno la capacità di rilevare e segnalare quando compaiono SSID non attendibili e quanti client sono connessi ad esso. Se hai impostato le mappe di calore e un numero decente di punti di accesso, hai buone possibilità di riuscire a capire dove si trova il punto di accesso in prossimità dei tuoi AP. L'unico lato negativo di questo è che se ci si trova in prossimità di bar / caffetterie / dormitori / quartieri si aspettano di vedere pagine degne di SSID "canaglia" che cambiano con la frequenza con cui le persone si spostano.
Il WCS ha anche la possibilità di eseguire alcune tracce di switchport e avvisare se i ladri sono collegati alla rete. Devo ancora avere molta fortuna per farlo funzionare. Onestamente non ho avuto molto tempo per giocarci. Per impostazione predefinita, almeno sulla mia rete, sembrano esserci parecchi falsi positivi sul funzionamento della traccia. Senza essere sicuro, credo che guardi solo OUI del MAC e se corrisponde, ricevi un avviso su un ladro sulla rete.
Infine, il WCS ha anche la capacità di contenere AP / SSID rouge. Lo fa usando deauth e dissociare i messaggi a tutti i client connessi a quell'AP.
Dal punto di vista del monitoraggio, è possibile eseguire uno strumento come NetDisco per trovare switchport con più indirizzi MAC connessi di quanto ci si aspetterebbe. Non impedirebbe automaticamente l'introduzione di un WAP non autorizzato nella rete, ma ti permetterebbe di trovarne uno dopo il fatto.
Se ci si può aspettare che l'apparecchiatura connessa agli switchport rimanga statica, la limitazione dell'indirizzo MAC (con violazioni configurate in modo amministrativo verso lo switchport) potrebbe impedire la connessione di qualsiasi dispositivo non autorizzato (non solo WAP).
Solo se l'AP è in modalità ponte è possibile catturarlo con la sicurezza della porta.
Limitazione Il numero di indirizzi MAC non aiuta, nel caso in cui l'AP rouge sia configurato anche come "router wireless"
Lo snooping DHCP è utile, in quanto catturerà l'AP wireless, collegato all'indietro, ovvero la porta LAN dei dispositivi rogeu con DHCP abilitato è collegata alla rete, lo snooping DHCP lascerà cadere il traffico.
Con lo snooping DHCP a budget minimo è la mia unica opzione, aspetto solo che un utente sia abbastanza stupido da collegare il suo AP all'indietro ... quindi vado a caccia :)
Personalmente, se la rete è per la maggior parte un negozio tutto Cisco, ciò significa che almeno il tuo livello di accesso è configurato con switch Cisco; Vorrei esaminare la sicurezza delle porte e lo snooping DHCP come un modo per evitare questo tipo di problema. L'impostazione di un massimo di 1 indirizzo MAC su tutte le porte di accesso sarebbe estrema, ma garantirebbe che solo 1 dispositivo possa essere visualizzato su uno switchport alla volta. Vorrei anche impostare la porta per l'arresto se si presenta più di 1 MAC. Se si decide di consentire più di 1 MAC, lo snooping DHCP sarebbe utile poiché la maggior parte dei router wireless di livello consumer introducono DHCP nella sottorete locale quando l'utente finale collega il dispositivo allo switchport. A quel punto la sicurezza della porta arresterebbe lo switchport una volta che snooping DHCP rileva che l'Access Point offre DHCP.
Non dimenticare che puoi anche eseguire 802.1x su porte cablate. 802.1x può prevenire dispositivi non autorizzati e la sicurezza delle porte aiuta a impedire a qualcuno di collegare uno switch e adattarsi alla porta. Ricorda che anche con i migliori controlli di rete in atto, devi prendere misure a livello di PC o gli utenti saranno semplicemente in grado di eseguire NAT sul proprio PC e bypassare le misure di sicurezza della rete.
Come notato, prima di tutto, le politiche contano. Questo può sembrare uno strano punto di partenza, ma, dal punto di vista aziendale e legale, a meno che tu non definisca e distribuisca la politica, se qualcuno la infrange, c'è poco che puoi fare. Non ha senso proteggere la porta se, quando qualcuno entra, non puoi fare nulla per fermarli.
Che dire di 802.11X. Non ti interessa davvero quale sia il punto di accesso, legale o meno, purché nessuno abbia accesso alle risorse sottostanti. Se riesci a ottenere il punto di accesso o l'utente oltre, per supportare 802.11X, senza approvazione, ottengono l'accesso, ma non possono fare nulla.
In realtà lo troviamo utile quando assegniamo diverse VLAN basate su di esso. Se sei approvato, ottieni l'accesso alla VLAN aziendale, altrimenti è la rete pubblicitaria integrata. Vuoi vedere i nostri video promozionali tutto il giorno, siamo d'accordo.
Nessus ha un plug-in per il rilevamento di AP non autorizzati: potresti scansionare una scansione in modo che appaia periodicamente.
http://www.tenable.com/blog/using-nessus-to-discover-rogue-access-points
La prevenzione è difficile.
È possibile sostituire le porte Ethernet cablate utilizzando WiFi per tutti i dispositivi, eliminando la necessità per le persone di configurare i propri AP. 802.1X per autenticare e IPsec per proteggere la connessione.
Il rilevamento può essere solo un modo affidabile:
I collegamenti wireless hanno un'alta perdita di pacchetti e probabilmente una significativa variazione del ritardo. Monitorando la perdita e il ritardo dei pacchetti è possibile rilevare connessioni su punti di accesso rouge.
Hai mai pensato di sovrapporre i sistemi di prevenzione delle intrusioni wireless (WIPS)?
Gli AP Rogue sono disponibili in molte forme, forme e dimensioni (che vanno da USB / AP soft agli AP Rogue fisici reali). È necessario un sistema in grado di monitorare sia il lato aereo che quello cablato e correlare le informazioni da entrambi i lati della rete per dedurre se una minaccia è effettivamente presente. Dovrebbe essere in grado di pettinare tra i 100 di Ap e trovare quello che è collegato alla rete
Rogue Ap è solo 1 tipo di minaccia wifi, che ne dici dei tuoi client wifi che si collegano ad AP esterni visibili dal tuo ufficio. Il sistema IDS / IPS cablato non può proteggere completamente da questo tipo di minacce.