Як ви запобігаєте неправдивим точкам бездротового доступу в мережі?


39

Залежно від того, який тип трафіку відбувається по мережі, часто не представляється можливим, щоб працівник підводив бездротовий маршрутизатор і встановлював його у вашу мережу. Це пояснюється тим, що часто вони недостатньо захищені і є заднім проходом до мережі. Що ви можете зробити, щоб запобігти введенню у вашу мережу зловмисних точок доступу?

Відповіді:


29

Відповідь Лукаса вище є трохи відправною точкою. Однак слід враховувати ще дві або три речі. Вони в деякій мірі опиняються поза сферою мережевої інженерії, але, безумовно, мають вплив на мережеву інженерію та безпеку, тому ось вони йдуть.

  1. Ви, мабуть, хочете певним чином запобігти переходу бездротових карт на ноутбуках компанії в спеціальний режим. Якщо припустити, що ноутбуки працюють під керуванням Windows, ви, мабуть, хочете використовувати GPO, щоб встановити лише інфраструктурний режим. Для Linux важче повністю обмежитися, але є й такі способи.

  2. Вдосконалення IPSec також є хорошою ідеєю, особливо при хорошому управлінні ключами та надійному виконанні. Наприклад, якщо ви можете перейти до сертифікатів X509 для керування ключами, це може унеможливити безпосереднє спілкування несанкціонованих пристроїв з рештою вашої мережі. Розгляньте ключове управління як основну частину інфраструктури. Якщо ви користуєтеся проксі-сервером, можливо, ви навіть зможете заблокувати доступ до Інтернету несанкціонованим пристроям.

  3. Зверніть увагу на обмеження ваших зусиль. Жодне з них не заважає людині встановити незахищену бездротову точку доступу, підключену до USB NIC, з єдиною метою спілкування зі своїм комп'ютером, особливо якщо SSID прихований (тобто не транслюється).

Не знаєте, як далі стримувати проблеми або якщо подальша параноїя вже минула точка недостатньої віддачі .....


3
+1 для вимкнення тимчасового режиму, легко не помітити, що ваші власні керовані пристрої можуть бути перетворені на несанкціоновані додатки.
MDMoore313

2
@ MDMoore313: Спеціальний STA не є AP.
BatchyX

@BatchyX це правда, моя помилка.
MDMoore313

Я не думаю, що також можна запустити AP в Windows. Можна в Linux, якщо бездротова карта та драйвер підтримують її. Отже, це ще одна річ у контрольному списку Linux .....
Кріс Траверс

1
@ChrisTravers: Так, ви можете, також працює добре. Дивіться virtualrouter.codeplex.com , серед інших
обмежуйте

14

Перш за все, вам потрібно розробити політику, яка забороняє впроваджувати мережеве обладнання в мережу, яка не належить або затверджена ІТ-департаментом компанії. Далі застосуйте безпеку порту, щоб невідомі адреси mac не змогли підключитися до вашої мережі.

По-третє, створіть окрему бездротову мережу під вашим контролем (якщо ви дасте їм те, що вони хочуть, вони мають меншу ймовірність запровадити шахрайські AP) (якщо це можливо і можливо) для доступу до Інтернету зі своїми (мобільними) пристроями. Ці точки доступу повинні бути захищені PEAP або подібними і бажано працювати в окремій мережі.

Нарешті, ви також можете регулярно перевіряти безпеку, використовуючи такі інструменти, як netstumbler для виявлення та відстеження неправдивих точок доступу у вашій мережі.

Існує також можливість виконувати IPsec по вашій мережі, щоб у випадку, якщо хтось налаштував шахрайський AP, викриті "хвилі" не будуть зрозумілі для читання, якщо хтось нюхає бездротову мережу.


2
На додаток до цього, такі постачальники, як Meraki, вбудовують у зловмисне виявлення AP та придушення і будуть активно надсилати відключення, змушуючи користувачів, пов’язаних із зловмисними точками, втрачати зв’язок та повторно асоціюватися.
SimonJGreen

@SimonJGreen: Цей метод не працюватиме з станціями, що підтримують 802.11w і AP.
BatchyX

@SimonJGreen майте на увазі, що FCC призначив великий штраф тому, хто це зробив. Навмисне возитися з чужими бездротовими комунікаціями - це не нормально.
Пітер Грін

"По-третє, створіть окрему бездротову мережу під вашим контролем (якщо ви дасте їм те, що вони хочуть, вони мають меншу ймовірність запровадити шахрайський AP) (якщо це можливо і можливо)" Саме так. ніхто не збирається намагатися і витрачати кошти на створення власної AP, оскільки вони задоволені тим, що їм вже доступно. Виконати їхні потреби правильно, і вам не доведеться турбуватися про те, що вони намагаються зробити це неправильно.
Олександр

8

Весь мій досвід досі був з продуктами Cisco, так що це все, про що я можу реально говорити.

APS, керовані WCS (легкі та нормальні), мають можливість виявляти та повідомляти про те, коли спливають недовірені SSID та скільки клієнтів підключені до нього. Якщо у вас налаштовані теплові карти та пристойна кількість точок доступу, ви маєте досить хороший шанс зрозуміти, де точка доступу знаходиться поблизу ваших AP. Єдиним недоліком цього є те, що якщо ви перебуваєте в безпосередній близькості до будь-яких барів / кав’ярень, гуртожитків / районів коледжів, очікуйте, що вони побачать сторінки, варті "негідних" SSID, які змінюються так само часто, як люди пересуваються.

WCS також має можливість простежити деякий комутаційний порт та попередити вас, якщо у вашу мережу підключені шахраї. Мені ще не пощастило змусити це працювати. Я, чесно кажучи, не мав багато часу грати з цим. За замовчуванням, принаймні, в моїй мережі, здається, існує досить багато хибних позитивних результатів, як працює трасування. Не шукаючи впевненості, я вважаю, що він дивиться лише на OUI MAC, і якщо він відповідає, то ви отримуєте сповіщення про шахрая в мережі.

Нарешті, WCS також має можливість містити маршрутизовані AP / SSID. Це стосується використання глухих повідомлень та роз'єднання повідомлень з будь-якими клієнтами, які підключені до цієї точки доступу.


2
+1 для виявлення шахраїв WCS. Я провів деяку роботу з Ruckus, Aerohive і Meraki, і кожен постачальник мав місце виявлення шахраїв. Особливо важливо зауважити, що багато хто з них також розпізнає негідний пристрій, який також знаходиться на дроті, які саме ви хочете звернутися до початку.
Network Canuck

2
Пам’ятайте про законну гарячу воду, в якій ви можете опинитися, якщо ви ввімкнете, що утримувати AP на WCS / WLC, якщо ви не маєте достатньо великого містечка та не зможете юридично показати, що жодні інші AP від ​​сусідніх компаній не можуть бути там, і ви містять лише принесені AP у ваше оточення, яке б не було іншого способу дістатися туди.
generalnetworkerror

Режим утримування AP в WLC працює досить добре. Я зробив це на кількох точках доступу для розваги на робочому місці, і я буквально сидів прямо біля шахрайського ап з моїм ноутбуком (як 10 см), і я не зміг приєднатися до мережі. Споживач негідник ap я спробував це з не міг навіть показати це ssid. Якщо я пам'ятаю, він також перезавантажився через кілька хвилин
knoth

6

З точки зору моніторингу, ви можете запустити такий інструмент, як NetDisco, щоб знайти комутатори з підключеним більшою кількістю MAC-адрес, ніж ви очікували. Це автоматично не перешкоджатиме впровадженню WAP-мережі в мережу, але вона дозволить вам знайти її після цього факту.

Якщо очікується, що обладнання, підключене до ваших комутаційних портів, залишатиметься статичним, обмеження MAC-адреси (з порушеннями, налаштованим адміністративно вниз до комутатора) може перешкодити підключенню будь-якого шахрайського пристрою (не лише WAP).


1
mac address sticky - реальна реалізація світу.
MDMoore313

4
  • Тільки якщо AP перебуває в мостовому режимі, ви можете впізнати його безпекою порту.

  • Обмеження кількості MAC-адрес не допоможе, на випадок, якщо маршрутизатор AP також налаштований як "бездротовий маршрутизатор"

  • Прослуховування DHCP є корисним, оскільки воно сприйме бездротову AP, підключену назад, тобто порт LAN пристроїв пристроїв rogeu, у яких увімкнено функцію DHCP, підключений до вашої мережі.

  • З мінімальним бюджетом DHCP sooping - це мій єдиний варіант, я просто чекаю, поки користувач досить тупий, щоб підключити свою AP назад ... тоді я йду на полювання :)


3

Особисто, якщо мережа здебільшого є магазином Cisco, це означає, що принаймні ваш рівень доступу налаштовується за допомогою комутаторів Cisco; Я б розглядав безпеку порту та DHCP Snooping як спосіб захисту від такого типу проблем. Встановлення максимум 1 MAC-адреси на всіх портах доступу було б надзвичайно, але забезпечило б, що лише 1 пристрій міг відображатись одночасно на комутаційному порту. Я також встановив би порт для відключення, якщо з'явиться більше 1 МАС. Якщо ви вирішите дозволити більше 1 МАС, прослуховування DHCP допоможе, оскільки більшість бездротових маршрутизаторів класу споживачів запровадять DHCP в локальній підмережі, коли кінцевий користувач підключає пристрій до комутатора. У цій точці безпека порту закриє комутаційний порт, як тільки DHCP прослуховування виявить, що точка доступу пропонує DHCP.


a) dhcp snooping буде їх ловити лише в тому випадку, якщо вони підключать ланцюгову сторону маршрутизатора, що працює dhcp, в мережу. і b) dhcp, що проглядається, не закриє порт; він просто скидає dhcp серверний трафік на ненадійні порти. (У мене ніколи не було закритого порту від dhcp snooping)
Ricky Beam

Ви маєте рацію, DHCP Snooping застане їх лише в тому випадку, якщо вони підключать ланцюг маршрутизатора до мережі. Я бачив, як це роблять кінцеві користувачі. Тепер те, що я не сказав, що DHCP Snooping закриє порт, я сказав, що Port Security закриє його.
infinisource

Ви сказали, що " безпека портових точок припинить перемикання, як тільки DHCP прослуховування виявить ..." DHCP прослуховування просто зупинить відповіді від входу в мережу і, можливо, порушить звичайні операції (читай: несанкціонований сервер dhcp). Уб'ю порт після того, як на порту буде видно більше одного пристрою. Це, швидше за все, трансляція DHCP DISCOVER, яка запустить її, але це клієнт, який не може блокувати. Пристрій отримає адресу від AP і спробує вийти в мережу ...
Ricky Beam

Ок, я виправлений. Потрібно подумати, перш ніж писати в майбутньому. На жаль, я бачив, де кінцевий користувач з'єднав нашу мережу зі своєю бездротовою точкою доступу на локальній мережі свого пристрою, і ти маєш право Port Security, а не DHCP Snooping закриває порт.
infinisource

Тупе запитання: "Безпека порту" - це порт-як-в-порт-на-комутатор, а не порт-як-в-порт-80 [-і що у вас], правда?
ruffin

2

Не забувайте, що ви також можете запустити 802.1x на дротових портах. 802.1x може запобігти несанкціонованим пристроям, а безпека порту допомагає запобігти комусь підключити комутатор і запустити багаж на порт. Пам’ятайте, що навіть з найкращими мережевими елементами управління, ви повинні вживати заходів на рівні ПК, або користувачі просто зможуть запустити NAT на своєму ПК та обійти ваші заходи безпеки мережі.


1

Як зазначалося, насамперед, політика має значення. Це може здатися дивним початковим пунктом, але, з корпоративного та юридичного погляду, якщо ви не визначите та не поширите політику, якщо хтось її порушує, ви можете зробити мало. Немає сенсу захищати двері, якщо, коли хтось увірветься, ви не можете зробити нічого, щоб їх зупинити.

А як щодо 802.11X. Вас не цікавить, яка точка доступу, законна чи ні, доки ніхто не отримає доступ до ресурсів під нею. Якщо ви можете отримати точку доступу або користувача за її межами, щоб підтримати 802.11X, без схвалення вони отримують доступ, але вони нічого не можуть зробити.

Ми насправді вважаємо це корисним, оскільки ми присвоюємо йому різні VLAN. Якщо вас схвалили, ви отримаєте доступ до корпоративної VLAN, інакше це вбудована рекламна мережа. Хочете дивитися наші промо-ролики весь день, ми з цим все в порядку.


Ви маєте на увазі 802.1X? Ніколи не було створено робочої групи IEEE 802.11X.
generalnetworkerror


0

Профілактика важка.

Ви можете замінити дротові порти Ethernet, використовуючи WiFi для всіх пристроїв - усуваючи потребу людей налаштовувати власні AP. 802.1X для аутентифікації та IPsec для безпечного з'єднання.

Виявлення може бути лише надійним способом:

Бездротові посилання мають великі втрати пакетів і, ймовірно, значну різницю затримки. Відстежуючи втрату та затримку пакетів, ви можете виявити з'єднання через точки доступу до маршрутизації.


0

Чи задумувались ви над накладенням бездротових систем запобігання вторгнень (WIPS)?

Несправедливі AP мають різні форми та розміри (від usb / soft AP до фактичних фізичних AP Rogue). Вам потрібна система, яка може моніторити як повітряну, так і провідну сторону, а також співвідносити інформацію з обох сторін мережі, щоб визначити, чи існує загроза насправді. Він повинен вміти розчісувати через 100с Ap і знайти той, який підключений до вашої мережі

Rogue Ap - це лише 1 вид загрози Wi-Fi, як щодо ваших клієнтів Wi-Fi, що підключаються до зовнішніх точок доступу, які видно з вашого офісу. Провідна система IDS / IPS не може повністю захистити від подібних загроз.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.