Jak zapobiegać nieuczciwym punktom dostępu bezprzewodowego w sieci?

39

W zależności od rodzaju ruchu przesyłanego przez sieć często nie jest możliwe, aby pracownik zabrał router bezprzewodowy i skonfigurował go w sieci. Wynika to z tego, że często nie są lub są słabo zabezpieczone i stanowią backdoor w sieci. Co możesz zrobić, aby zapobiec wprowadzaniu do sieci nieuczciwych punktów dostępu bezprzewodowego?

security wireless rogue Lucas Kauffman
źródło

Odpowiedzi:

29

Powyższa odpowiedź Lucasa jest trochę punktem wyjścia. Istnieją jednak dwie lub trzy inne rzeczy, które należy wziąć pod uwagę. W końcu są one nieco poza zakresem inżynierii sieci , ale z pewnością mają wpływ na inżynierię sieci i bezpieczeństwo, więc proszę bardzo.

  1. Prawdopodobnie chcesz w jakiś sposób zapobiec przełączaniu kart bezprzewodowych w laptopach firmowych w tryb ad hoc. Zakładając, że na laptopach działa system Windows, prawdopodobnie chcesz użyć obiektu zasad grupy, aby ustawić tylko tryb infrastruktury. W przypadku Linuksa trudniej jest w pełni ograniczyć, ale istnieją też sposoby, aby to zrobić.

  2. Egzekwowanie IPSec jest również dobrym pomysłem, szczególnie przy dobrym zarządzaniu kluczami i zaufanym egzekwowaniu. Na przykład, jeśli możesz przejść do certyfikatów X509 w celu zarządzania kluczami, może to uniemożliwić nieautoryzowanym urządzeniom bezpośrednią komunikację z resztą sieci. Rozważ zarządzanie kluczami jako kluczową część infrastruktury tutaj. Jeśli korzystasz z serwera proxy, możesz nawet zablokować dostęp do Internetu nieautoryzowanym urządzeniom.

  3. Zwróć uwagę na ograniczenia swoich wysiłków. Żadne z nich nie uniemożliwia osobie skonfigurowania niezabezpieczonego bezprzewodowego punktu dostępowego podłączonego do karty sieciowej USB, wyłącznie w celu komunikacji z komputerem, zwłaszcza jeśli SSID jest ukryty (tzn. Nie jest rozgłaszany).

Nie jestem pewien, jak dalej ograniczać problemy lub czy dalsza paranoja jest już daleko od punktu niewystarczających zwrotów .....

Chris Travers
źródło
3
+1 za wyłączenie trybu Ad-hoc, łatwo przeoczyć, że własne zarządzane urządzenia mogą zostać przekształcone w nieuczciwe AP.
MDMoore313
2
@ MDMoore313: Ad-Hoc STA nie jest punktem dostępowym.
BatchyX
@BatchyX to prawda, mój błąd.
MDMoore313
Nie sądzę, że można również uruchomić AP w systemie Windows. Można jednak w systemie Linux, jeśli karta bezprzewodowa i sterownik go obsługują. To jeszcze jedna rzecz z listy kontrolnej Linuksa .....
Chris Travers
1
@ChrisTravers: Tak, możesz, również działa dobrze. Zobacz virtualrouter.codeplex.com między innymi
erict
14

Przede wszystkim musisz zbudować politykę zabraniającą wprowadzania urządzeń sieciowych do sieci, która nie jest własnością ani nie jest zatwierdzona przez dział IT firmy. Następnie wymuś bezpieczeństwo portu, aby nieznane adresy mac nie mogły połączyć się z siecią.

Po trzecie, skonfiguruj oddzielną sieć bezprzewodową pod twoją kontrolą (jeśli dasz im to, czego chcą, rzadziej wprowadzą nieuczciwy AP) (jeśli to możliwe i wykonalne) w celu uzyskania dostępu do Internetu za pomocą (mobilnych) urządzeń. Te punkty dostępu powinny być zabezpieczone za pomocą PEAP lub podobnego i najlepiej działać w oddzielnej sieci.

Na koniec możesz także wykonywać regularne skanowanie bezpieczeństwa za pomocą narzędzi takich jak netstumbler w celu wykrywania i śledzenia nieuczciwych punktów dostępu w sieci.

Istnieje również opcja wykonania IPsec w sieci, dzięki czemu w przypadku, gdy ktoś skonfiguruje nieuczciwy AP, odsłonięte „fale” nie będą czytelne w przypadku wąchania sieci bezprzewodowej.

Lucas Kauffman
źródło
2
Oprócz tego dostawcy, tacy jak Meraki, mają wbudowane wykrywanie nieautoryzowanego AP ORAZ tłumienie i aktywnie wysyłają rozłączenia, zmuszając użytkowników powiązanych z nieuczciwymi punktami do utraty połączenia i ponownego skojarzenia.
SimonJGreen
@ SimonJGreen: Ta metoda nie będzie działać ze stacjami i AP obsługującymi standard 802.11w.
BatchyX
@ SimonJGreen należy pamiętać, że FCC nałożyła wysoką grzywnę na kogoś, kto to zrobił. Celowe używanie komunikatorów bezprzewodowych innych osób nie jest w porządku.
Peter Green,
„Po trzecie, skonfiguruj oddzielną sieć bezprzewodową pod twoją kontrolą (jeśli dasz im to, czego chcą, mniej prawdopodobne jest wprowadzenie fałszywego AP) (jeśli to możliwe i wykonalne)” Dokładnie to. nikt nie wkłada wysiłku i wydatków na utworzenie własnego AP, ponieważ są zadowoleni z tego, co już są dla nich dostępne. Spełnij ich potrzeby poprawnie, a nie będziesz musiał się martwić, że spróbują to zrobić niepoprawnie.
Alexander
8

Do tej pory całe moje doświadczenie dotyczyło produktów Cisco, więc to wszystko, z czym naprawdę mogę porozmawiać.

Kontrolowane przez WCS punkty dostępowe (lekkie i normalne) mają możliwość wykrywania i raportowania, gdy pojawią się niezaufane identyfikatory SSID i ilu klientów jest z nimi połączonych. Jeśli masz skonfigurowane mapy cieplne i przyzwoitą liczbę punktów dostępowych, masz spore szanse na znalezienie miejsca, w którym punkt dostępu znajduje się w pobliżu punktów dostępowych. Jedyną wadą tego jest to, że jeśli jesteś w pobliżu barów / kawiarni / akademików / dzielnic, oczekujesz stron o wartości „nieuczciwych” identyfikatorów SSID, które zmieniają się tak często, jak ludzie się poruszają.

WCS ma również możliwość śledzenia śledzenia switchport i powiadamiania cię, jeśli nieuczciwi są podłączeni do twojej sieci. Muszę jeszcze mieć dużo szczęścia, żeby to zadziałało. Szczerze mówiąc, nie miałem zbyt wiele czasu na zabawę. Domyślnie, przynajmniej w mojej sieci, wydaje się, że istnieje sporo fałszywych alarmów dotyczących sposobu działania śledzenia. Nie szukając pewności, uważam, że patrzy tylko na OUI MAC, a jeśli się zgadza, otrzymasz alert o nieuczciwym działaniu w sieci.

Wreszcie, WCS ma również możliwość przechowywania rouge AP / SSID. Odbywa się to poprzez użycie deauth i odseparowanie wiadomości od klientów podłączonych do tego punktu dostępowego.

Mikrofon
źródło
2
+1 za nieuczciwe wykrywanie WCS. Pracowałem z Ruckusem, Aerohive i Merakim, a każdy sprzedawca ma nieuczciwe wykrywanie. Szczególnie ważne jest, aby pamiętać, że wiele z nich rozpozna również nieuczciwe urządzenie, które również znajduje się na kablu, a które chcesz rozwiązać w pierwszej kolejności.
Sieć Canuck
2
Pamiętaj o legalnej ciepłej wodzie, w której możesz się znaleźć, jeśli włączysz przechowywanie AP na WCS / WLC, chyba że posiadasz wystarczająco duży kampus i nie możesz legalnie wykazać, że nie mogą tam być żadne inne AP z sąsiednich firm, a ty masz tylko AP przyniesione do twojego środowiska, które nie byłoby w żaden inny sposób.
generalnetworkerror
Tryb ograniczania AP w WLC działa całkiem dobrze. Zrobiłem to w kilku punktach dostępowych dla zabawy w miejscu pracy i dosłownie siedziałem obok nieuczciwego ap z moim laptopem (jak 10cm) i nie mogłem dołączyć do sieci. Nieuczciwy ap, z którego próbowałem, nie mógł nawet wyświetlić swojego identyfikatora SSID. Jeśli pamiętam, to zrestartowało się również po kilku minutach
knotseh
6

Z punktu widzenia monitorowania można uruchomić narzędzie takie jak NetDisco, aby znaleźć porty przełączające z większą liczbą podłączonych adresów MAC niż można by oczekiwać. Nie zapobiegnie to automatycznie wprowadzeniu nieuczciwego WAP do sieci, ale pozwoli ci go znaleźć po fakcie.

Jeśli można oczekiwać, że sprzęt podłączony do portów przełączania pozostanie statyczny, ograniczenie adresu MAC (z naruszeniami skonfigurowanymi administracyjnie w dół portu przełączników) może uniemożliwić podłączenie dowolnego nieuczciwego urządzenia (nie tylko WAP).

vitisimus
źródło
1
Przyklejony adres mac to implementacja w świecie rzeczywistym.
MDMoore313
4

  • Tylko jeśli AP jest w trybie pomostowym, możesz złapać go z bezpieczeństwem portu.

  • Ograniczanie Liczba adresów MAC nie pomoże, w przypadku gdy punkt dostępowy rouge jest również skonfigurowany jako „router bezprzewodowy”

  • Pomocne jest szpiegowanie DHCP, ponieważ złapie ono bezprzewodowy AP, podłączony tyłem, tj. Port LAN urządzeń rogeu, które mają włączony DHCP, jest podłączony do twojej sieci, szpiegowanie DHCP zmniejszy ruch.

  • Przy minimalnym budżecie szperanie DHCP jest moją jedyną opcją, po prostu czekam, aż użytkownik będzie wystarczająco głupi, aby podłączyć swój AP do tyłu ... a potem idę na polowanie :)

hyussuf
źródło
3

Osobiście, jeśli sieć jest w większości sklepem Cisco, co oznacza, że ​​przynajmniej twoja warstwa dostępu jest skonfigurowana za pomocą przełączników Cisco; Chciałbym spojrzeć na bezpieczeństwo portów i DHCP Snooping jako sposób na ochronę przed tego typu problemami. Ustawienie maksymalnie 1 adresu MAC na wszystkich portach dostępu byłoby ekstremalne, ale zapewniłoby, że tylko 1 urządzenie może się pojawiać na przełączniku jednocześnie. Ustawiłbym również port na zamykanie, jeśli pojawi się więcej niż 1 MAC. Jeśli zdecydujesz się zezwolić na więcej niż 1 MAC, szperanie DHCP byłoby pomocne, ponieważ większość routerów bezprzewodowych klasy konsumenckiej wprowadza DHCP w lokalnej podsieci, gdy użytkownik końcowy podłącza urządzenie do portu przełączania. W tym momencie zabezpieczenia portu zamknęłyby port przełączania, gdy szpiegowanie DHCP wykryje, że punkt dostępu oferuje DHCP.

infinisource
źródło
a) szpiegowanie dhcp złapie je tylko wtedy, gdy podłączą stronę sieci LAN routera z uruchomionym dhcp do sieci. oraz b) dhcp snooping nie zamknie portu; po prostu zmniejsza ruch serwera dhcp na niezaufanych portach. (Nigdy nie miałem portu zamkniętego przez dhcp snooping)
Ricky Beam
Masz rację, DHCP Snooping złapie je tylko wtedy, gdy podłączą stronę LAN routera do sieci. Widziałem, jak użytkownicy końcowi to robią. Teraz nie powiedziałem, że DHCP Snooping zamknie port, powiedziałem, że Port Security to zamknie.
infinisource
Powiedziałeś: „ punktowe zabezpieczenia portu zamknęłyby port przełączania po wykryciu szpiegowania DHCP ...” Szpiegowanie DHCP po prostu powstrzyma odpowiedzi przed wejściem do sieci i prawdopodobnie zakłóci normalne operacje (czytaj: nieuczciwy serwer dhcp) Limit MAC portu bezpieczeństwa to „ Zabiję port, gdy w porcie pojawi się więcej niż jedno urządzenie. Najprawdopodobniej jest to transmisja DHCP DISCOVER, która ją wyzwoli, ale jest to operacja klienta, której szpiegowanie nie zablokuje. Urządzenie otrzyma adres z AP i spróbuje przejść do sieci ...
Ricky Beam
Ok, poprawiam się. Musisz pomyśleć przed napisaniem w przyszłości. Niestety widziałem, gdzie użytkownik końcowy zmostkował naszą sieć za pomocą swojego bezprzewodowego punktu dostępowego po stronie LAN swojego urządzenia i masz rację Zabezpieczenia portu, a nie DHCP Snooping, zamknij port.
infinisource
Głupie pytanie: „Zabezpieczenie portu” to przełącznik typu port-as-in-port-on-a, a nie port-as-in-port-80 [lub co masz], prawda?
ruffin
2

Nie zapominaj, że możesz również uruchomić 802.1x na portach przewodowych. 802.1x może zapobiegać nieautoryzowanym urządzeniom, a zabezpieczenia portów pomagają zapobiec podłączeniu przełącznika i przywróceniu portu. Pamiętaj, że nawet przy najlepszej kontroli sieci musisz podjąć środki na poziomie komputera, w przeciwnym razie użytkownicy będą mogli uruchomić NAT na swoim komputerze i ominąć zabezpieczenia sieci.

Anonimowy
źródło
1

Jak wspomniano, przede wszystkim ważna jest polityka. Może się to wydawać dziwnym punktem wyjścia, ale z korporacyjnego i prawnego punktu widzenia, chyba że zdefiniujesz i rozpowszechnisz polisę, jeśli ktoś ją złamie, niewiele możesz zrobić. Nie ma sensu zabezpieczać drzwi, jeśli kiedy ktoś się włamie, nie możesz zrobić nic, aby je zatrzymać.

Co z 802.11X. Tak naprawdę nie dbasz o to, jaki jest punkt dostępu, legalny czy nie, o ile nikt nie uzyska dostępu do zasobów pod nim. Jeśli możesz uzyskać punkt dostępu lub użytkownika poza nim, w celu obsługi standardu 802.11X, bez zgody, uzyskają dostęp, ale nie będą mogli nic zrobić.

W rzeczywistości uważamy to za przydatne, ponieważ przypisujemy różne sieci VLAN na ich podstawie. Jeśli zostaniesz zatwierdzony, uzyskasz dostęp do korporacyjnej sieci VLAN, w przeciwnym razie jest to wbudowana sieć reklamowa. Chcesz oglądać nasze filmy promocyjne przez cały dzień, nie mamy nic przeciwko.

użytkownik500123
źródło
Masz na myśli 802.1X? Nigdy nie utworzono grupy roboczej IEEE 802.11X.
generalnetworkerror
0

Zapobieganie jest trudne.

Można zastąpić przewodowe porty Ethernet za pomocą Wi-Fi dla wszystkich urządzeń - eliminując potrzebę konfigurowania własnych punktów dostępowych przez ludzi. 802.1X do uwierzytelnienia i IPsec do bezpiecznego połączenia.

Wykrywanie może być tylko niezawodnym sposobem:

Łącza bezprzewodowe mają dużą utratę pakietów i prawdopodobnie znaczną zmienność opóźnienia. Monitorując utratę i opóźnienie pakietu, możesz wykryć połączenia przez punkty dostępowe Rouge.

philcolbourn
źródło
0

Czy zastanawiałeś się nad nakładaniem bezprzewodowych systemów zapobiegania włamaniom (WIPS)?

Fałszywe AP mają różne kształty i rozmiary (od usb / soft AP do rzeczywistych fizycznych Fałszywych AP). Potrzebujesz systemu, który może monitorować zarówno stronę powietrzną, jak i przewodową, i skorelować informacje z obu stron sieci, aby wydedukować, czy zagrożenie rzeczywiście istnieje. Powinien być w stanie przeczesać setki Ap i znaleźć ten, który jest podłączony do sieci

Rogue Ap to tylko jeden rodzaj zagrożenia Wi-Fi, co powiesz na klientów Wi-Fi łączących się z zewnętrznymi punktami dostępowymi widocznymi z Twojego biura? Przewodowy system IDS / IPS nie może w pełni chronić przed tego rodzaju zagrożeniami.

Bhupinder Misra
źródło