Залежно від того, який тип трафіку відбувається по мережі, часто не представляється можливим, щоб працівник підводив бездротовий маршрутизатор і встановлював його у вашу мережу. Це пояснюється тим, що часто вони недостатньо захищені і є заднім проходом до мережі. Що ви можете зробити, щоб запобігти введенню у вашу мережу зловмисних точок доступу?
Відповіді:
Відповідь Лукаса вище є трохи відправною точкою. Однак слід враховувати ще дві або три речі. Вони в деякій мірі опиняються поза сферою мережевої інженерії, але, безумовно, мають вплив на мережеву інженерію та безпеку, тому ось вони йдуть.
Ви, мабуть, хочете певним чином запобігти переходу бездротових карт на ноутбуках компанії в спеціальний режим. Якщо припустити, що ноутбуки працюють під керуванням Windows, ви, мабуть, хочете використовувати GPO, щоб встановити лише інфраструктурний режим. Для Linux важче повністю обмежитися, але є й такі способи.
Вдосконалення IPSec також є хорошою ідеєю, особливо при хорошому управлінні ключами та надійному виконанні. Наприклад, якщо ви можете перейти до сертифікатів X509 для керування ключами, це може унеможливити безпосереднє спілкування несанкціонованих пристроїв з рештою вашої мережі. Розгляньте ключове управління як основну частину інфраструктури. Якщо ви користуєтеся проксі-сервером, можливо, ви навіть зможете заблокувати доступ до Інтернету несанкціонованим пристроям.
Зверніть увагу на обмеження ваших зусиль. Жодне з них не заважає людині встановити незахищену бездротову точку доступу, підключену до USB NIC, з єдиною метою спілкування зі своїм комп'ютером, особливо якщо SSID прихований (тобто не транслюється).
Не знаєте, як далі стримувати проблеми або якщо подальша параноїя вже минула точка недостатньої віддачі .....
Перш за все, вам потрібно розробити політику, яка забороняє впроваджувати мережеве обладнання в мережу, яка не належить або затверджена ІТ-департаментом компанії. Далі застосуйте безпеку порту, щоб невідомі адреси mac не змогли підключитися до вашої мережі.
По-третє, створіть окрему бездротову мережу під вашим контролем (якщо ви дасте їм те, що вони хочуть, вони мають меншу ймовірність запровадити шахрайські AP) (якщо це можливо і можливо) для доступу до Інтернету зі своїми (мобільними) пристроями. Ці точки доступу повинні бути захищені PEAP або подібними і бажано працювати в окремій мережі.
Нарешті, ви також можете регулярно перевіряти безпеку, використовуючи такі інструменти, як netstumbler для виявлення та відстеження неправдивих точок доступу у вашій мережі.
Існує також можливість виконувати IPsec по вашій мережі, щоб у випадку, якщо хтось налаштував шахрайський AP, викриті "хвилі" не будуть зрозумілі для читання, якщо хтось нюхає бездротову мережу.
Весь мій досвід досі був з продуктами Cisco, так що це все, про що я можу реально говорити.
APS, керовані WCS (легкі та нормальні), мають можливість виявляти та повідомляти про те, коли спливають недовірені SSID та скільки клієнтів підключені до нього. Якщо у вас налаштовані теплові карти та пристойна кількість точок доступу, ви маєте досить хороший шанс зрозуміти, де точка доступу знаходиться поблизу ваших AP. Єдиним недоліком цього є те, що якщо ви перебуваєте в безпосередній близькості до будь-яких барів / кав’ярень, гуртожитків / районів коледжів, очікуйте, що вони побачать сторінки, варті "негідних" SSID, які змінюються так само часто, як люди пересуваються.
WCS також має можливість простежити деякий комутаційний порт та попередити вас, якщо у вашу мережу підключені шахраї. Мені ще не пощастило змусити це працювати. Я, чесно кажучи, не мав багато часу грати з цим. За замовчуванням, принаймні, в моїй мережі, здається, існує досить багато хибних позитивних результатів, як працює трасування. Не шукаючи впевненості, я вважаю, що він дивиться лише на OUI MAC, і якщо він відповідає, то ви отримуєте сповіщення про шахрая в мережі.
Нарешті, WCS також має можливість містити маршрутизовані AP / SSID. Це стосується використання глухих повідомлень та роз'єднання повідомлень з будь-якими клієнтами, які підключені до цієї точки доступу.
З точки зору моніторингу, ви можете запустити такий інструмент, як NetDisco, щоб знайти комутатори з підключеним більшою кількістю MAC-адрес, ніж ви очікували. Це автоматично не перешкоджатиме впровадженню WAP-мережі в мережу, але вона дозволить вам знайти її після цього факту.
Якщо очікується, що обладнання, підключене до ваших комутаційних портів, залишатиметься статичним, обмеження MAC-адреси (з порушеннями, налаштованим адміністративно вниз до комутатора) може перешкодити підключенню будь-якого шахрайського пристрою (не лише WAP).
Тільки якщо AP перебуває в мостовому режимі, ви можете впізнати його безпекою порту.
Обмеження кількості MAC-адрес не допоможе, на випадок, якщо маршрутизатор AP також налаштований як "бездротовий маршрутизатор"
Прослуховування DHCP є корисним, оскільки воно сприйме бездротову AP, підключену назад, тобто порт LAN пристроїв пристроїв rogeu, у яких увімкнено функцію DHCP, підключений до вашої мережі.
З мінімальним бюджетом DHCP sooping - це мій єдиний варіант, я просто чекаю, поки користувач досить тупий, щоб підключити свою AP назад ... тоді я йду на полювання :)
Особисто, якщо мережа здебільшого є магазином Cisco, це означає, що принаймні ваш рівень доступу налаштовується за допомогою комутаторів Cisco; Я б розглядав безпеку порту та DHCP Snooping як спосіб захисту від такого типу проблем. Встановлення максимум 1 MAC-адреси на всіх портах доступу було б надзвичайно, але забезпечило б, що лише 1 пристрій міг відображатись одночасно на комутаційному порту. Я також встановив би порт для відключення, якщо з'явиться більше 1 МАС. Якщо ви вирішите дозволити більше 1 МАС, прослуховування DHCP допоможе, оскільки більшість бездротових маршрутизаторів класу споживачів запровадять DHCP в локальній підмережі, коли кінцевий користувач підключає пристрій до комутатора. У цій точці безпека порту закриє комутаційний порт, як тільки DHCP прослуховування виявить, що точка доступу пропонує DHCP.
Не забувайте, що ви також можете запустити 802.1x на дротових портах. 802.1x може запобігти несанкціонованим пристроям, а безпека порту допомагає запобігти комусь підключити комутатор і запустити багаж на порт. Пам’ятайте, що навіть з найкращими мережевими елементами управління, ви повинні вживати заходів на рівні ПК, або користувачі просто зможуть запустити NAT на своєму ПК та обійти ваші заходи безпеки мережі.
Як зазначалося, насамперед, політика має значення. Це може здатися дивним початковим пунктом, але, з корпоративного та юридичного погляду, якщо ви не визначите та не поширите політику, якщо хтось її порушує, ви можете зробити мало. Немає сенсу захищати двері, якщо, коли хтось увірветься, ви не можете зробити нічого, щоб їх зупинити.
А як щодо 802.11X. Вас не цікавить, яка точка доступу, законна чи ні, доки ніхто не отримає доступ до ресурсів під нею. Якщо ви можете отримати точку доступу або користувача за її межами, щоб підтримати 802.11X, без схвалення вони отримують доступ, але вони нічого не можуть зробити.
Ми насправді вважаємо це корисним, оскільки ми присвоюємо йому різні VLAN. Якщо вас схвалили, ви отримаєте доступ до корпоративної VLAN, інакше це вбудована рекламна мережа. Хочете дивитися наші промо-ролики весь день, ми з цим все в порядку.
У Nessus є плагін для виявлення несанкціонованих AP - ви можете сценарій сканування для періодичного перегляду.
http://www.tenable.com/blog/using-nessus-to-discover-rogue-access-points
Профілактика важка.
Ви можете замінити дротові порти Ethernet, використовуючи WiFi для всіх пристроїв - усуваючи потребу людей налаштовувати власні AP. 802.1X для аутентифікації та IPsec для безпечного з'єднання.
Виявлення може бути лише надійним способом:
Бездротові посилання мають великі втрати пакетів і, ймовірно, значну різницю затримки. Відстежуючи втрату та затримку пакетів, ви можете виявити з'єднання через точки доступу до маршрутизації.
Чи задумувались ви над накладенням бездротових систем запобігання вторгнень (WIPS)?
Несправедливі AP мають різні форми та розміри (від usb / soft AP до фактичних фізичних AP Rogue). Вам потрібна система, яка може моніторити як повітряну, так і провідну сторону, а також співвідносити інформацію з обох сторін мережі, щоб визначити, чи існує загроза насправді. Він повинен вміти розчісувати через 100с Ap і знайти той, який підключений до вашої мережі
Rogue Ap - це лише 1 вид загрози Wi-Fi, як щодо ваших клієнтів Wi-Fi, що підключаються до зовнішніх точок доступу, які видно з вашого офісу. Провідна система IDS / IPS не може повністю захистити від подібних загроз.