Как вы предотвращаете мошеннические точки беспроводного доступа в сети?

39

В зависимости от того, какой тип трафика идет по сети, зачастую нереально, чтобы сотрудник подключил беспроводной маршрутизатор и настроил его в вашей сети. Это связано с тем, что часто они не защищены или плохо защищены и представляют собой черный ход в сети. Что вы можете сделать, чтобы предотвратить попадание в вашу сеть мошеннических точек доступа?

Лукас Кауфман
источник

Ответы:

29

Ответ Лукаса, приведенный выше, является отправной точкой. Однако есть две или три другие вещи, которые необходимо учитывать. В конечном итоге они оказываются за рамками сетевой инженерии, но, безусловно, влияют на сетевую инженерию и безопасность, так что здесь все.

  1. Возможно, вам нужен какой-то способ предотвращения переключения беспроводных карт на ноутбуках компании в специальный режим. Предполагая, что ноутбуки работают под управлением Windows, вы, вероятно, захотите использовать объект групповой политики только для перехода в режим инфраструктуры. Для Linux сложнее полностью ограничить, но есть способы сделать это тоже.

  2. Применение IPSec также является хорошей идеей, особенно с хорошим управлением ключами и надежным применением. Например, если вы можете обратиться к сертификатам X509 для управления ключами, это может помешать неавторизованным устройствам напрямую взаимодействовать с остальной частью вашей сети. Рассмотрим управление ключами в качестве основной части инфраструктуры здесь. Если вы используете прокси-сервер, вы можете даже блокировать доступ неавторизованных устройств к Интернету.

  3. Обратите внимание на ограничения ваших усилий. Ничто из этого не мешает человеку настроить незащищенную точку беспроводного доступа, подключенную к сетевому адаптеру USB, исключительно для связи с компьютером, особенно если SSID скрыт (то есть не транслируется).

Не уверен, как еще больше сдерживать проблемы или если дальнейшая паранойя уже прошла точку недостаточной отдачи .....

Крис Траверс
источник
3
+1 за отключение режима Ad-hoc, легко не заметить, что ваши собственные управляемые устройства могут быть превращены в мошеннические точки доступа.
MDMoore313
2
@ MDMoore313: Ad-Hoc STA не является AP.
BatchyX
@ BatchyX это правда, моя ошибка.
MDMoore313
Я не думаю, что можно запустить AP и на Windows. Можно на Linux, если беспроводная карта и драйвер поддерживают его. Так что это еще одна вещь в контрольном списке Linux ...
Крис Траверс
1
@ChrisTravers: Да, вы тоже можете хорошо работать. См virtualrouter.codeplex.com , среди прочего
erict
14

Прежде всего вам необходимо создать политику, запрещающую вводить в сеть сетевое оборудование, которое не принадлежит или не одобрено ИТ-отделом компании. Затем включите защиту порта, чтобы неизвестные mac-адреса не могли подключиться к вашей сети.

В-третьих, настройте отдельную беспроводную сеть под вашим контролем (если вы дадите им то, что они хотят, они с меньшей вероятностью будут использовать мошенническую точку доступа) (если это возможно и возможно) для доступа в Интернет с помощью своих (мобильных) устройств. Эти точки доступа должны быть защищены с помощью PEAP или аналогичных программ и предпочтительно работать в отдельной сети.

Наконец, вы также можете выполнять регулярные проверки безопасности с помощью таких инструментов, как netstumbler, для обнаружения и отслеживания мошеннических точек доступа в вашей сети.

Существует также возможность выполнить IPsec по вашей сети, чтобы в случае, если кто-то настроил мошенническую точку доступа, показанные «волны» не были читаемыми, если кто-то прослушивает беспроводную сеть.

Лукас Кауфман
источник
2
В дополнение к этому поставщики, такие как Meraki, имеют встроенную функцию обнаружения и подавления мошеннических точек доступа и будут активно отправлять разъединения, заставляя пользователей, связанных с мошенническими точками, терять соединение и повторно связываться.
SimonJGreen
@SimonJGreen: этот метод не будет работать со станциями и точкой доступа с поддержкой 802.11w.
BatchyX
@SimonJGreen учтите, что FCC вручила большой штраф тому, кто это сделал. Намеренно возиться с беспроводными коммуникациями других людей не в порядке.
Питер Грин
«В-третьих, создайте отдельную беспроводную сеть под вашим контролем (если вы дадите им то, что они хотят, они с меньшей вероятностью введут мошенническую точку доступа) (если это возможно и выполнимо)» Именно это. никто не будет прилагать усилий и затрат на создание своей собственной точки доступа, потому что они довольны тем, что им уже доступно. Выполняйте их нужды правильно, и вам не придется беспокоиться о том, что они пытаются сделать это неправильно.
Александр - Восстановить Монику
8

Весь мой опыт до сих пор был с продуктами Cisco, так что это все, о чем я могу говорить.

AP, контролируемые WCS (легкие и обычные), имеют возможность обнаруживать и сообщать о появлении ненадежных идентификаторов SSID и количестве подключенных к нему клиентов. Если у вас настроены тепловые карты и приличное количество точек доступа, у вас есть очень хороший шанс выяснить, где точка доступа находится в непосредственной близости от ваших точек доступа. Единственным недостатком этого является то, что если вы находитесь в непосредственной близости от каких-либо баров / кофеен / студенческих общежитий / районов, ожидайте увидеть страницы с "мошенническими" идентификаторами SSID, которые меняются так же часто, как и люди.

WCS также имеет возможность выполнять некоторую трассировку порта коммутатора и предупреждать вас, если в вашу сеть подключены мошенники. Мне еще очень повезло, чтобы заставить это работать. У меня, честно говоря, не было много времени, чтобы поиграть с ним. По умолчанию, по крайней мере, в моей сети, похоже, что с трассировкой работает довольно много ложных срабатываний. Не ища наверняка, я полагаю, что он смотрит только на OUI MAC, и если он совпадает, вы получаете предупреждение о мошеннике в сети.

Наконец, WCS также имеет возможность содержать AP / SSID румян. Это происходит с помощью деаутов и разъединения сообщений для любых клиентов, которые подключены к этой точке доступа.

Майк
источник
2
+1 для обнаружения мошенников WCS. Я проделал некоторую работу с Ruckus, Aerohive и Meraki, и у каждого поставщика есть мошенническое обнаружение. Особенно важно отметить, что многие из них также распознают мошенническое устройство, которое также находится на проводе, к которым вы хотите обратиться в первую очередь.
Сеть Canuck
2
Имейте в виду законную горячую воду, в которой вы можете оказаться, если включите сдерживание AP в WCS / WLC, если у вас нет достаточно большого кампуса, и вы не можете на законных основаниях показать, что другие AP от соседних компаний не могут быть там, и вы используете только доставленные AP в вашу среду, которая не имела бы другого пути туда добраться.
generalnetworkerror
Режим сдерживания AP в WLC работает довольно хорошо. Я сделал это на нескольких точках доступа для развлечения на рабочем месте, и я буквально сидел рядом с мошенником с моим ноутбуком (например, 10 см), и я не смог подключиться к сети. Потребитель-мошенник, с которым я пробовал, даже не мог отобразить его ssid. Если я припомню, через несколько минут он тоже перезагрузился
knotseh
6

С точки зрения мониторинга вы можете запустить такой инструмент, как NetDisco, чтобы найти порты коммутатора с большим количеством подключенных MAC-адресов, чем вы ожидаете. Он не будет автоматически препятствовать внедрению мошеннического WAP в сеть, но позволит вам найти его по факту.

Если ожидается, что оборудование, подключенное к вашим портам коммутации, будет оставаться статическим, ограничение MAC-адресов (с нарушениями, настроенными на административное отключение порта коммутации) может помешать подключению любого мошеннического устройства (не только WAP).

vitisimus
источник
1
липкий MAC-адрес - это реальная реализация.
MDMoore313
4
  • Только если точка доступа находится в режиме моста, вы можете поймать его с безопасностью порта.

  • Ограничение Количество MAC-адресов не поможет, если точка доступа также настроена как «Беспроводной маршрутизатор».

  • Отслеживание DHCP полезно в том смысле, что оно перехватит беспроводную точку доступа, подключенную в обратном направлении, т. Е. Порт локальной сети устройств rogeu, для которых включен DHCP, подключен к вашей сети, отслеживание DHCP отбрасывает трафик.

  • С минимальным бюджетом DHCP Snooping - это моя единственная возможность, я просто жду, пока пользователь не станет достаточно тупым, чтобы подключить свою точку доступа назад ... тогда я пойду на охоту :)

hyussuf
источник
3

Лично, если сеть по большей части - весь магазин Cisco, то есть, по крайней мере, ваш уровень доступа настроен с коммутаторами Cisco; Я бы посмотрел на безопасность портов и DHCP Snooping как на способ защиты от проблем такого типа. Установка максимум 1 MAC-адреса на всех портах доступа была бы экстремальной, но гарантировала бы, что только одно устройство может одновременно отображаться на порту коммутатора. Я также установил бы отключение порта, если обнаруживается более 1 MAC. Если вы решите разрешить более 1 MAC, отслеживание DHCP поможет, так как большинство беспроводных маршрутизаторов потребительского уровня вводят DHCP в локальную подсеть, когда конечный пользователь подключает устройство к порту коммутатора. В этот момент защита порта отключит порт коммутатора, как только отслеживание DHCP обнаружит, что точка доступа предлагает DHCP.

infinisource
источник
a) dhcp snooping будет ловить их только в том случае, если они подключат к локальной сети маршрутизатор, на котором запущен dhcp. и b) dhcp snooping не отключит порт; он просто отбрасывает трафик dhcp-сервера на ненадежные порты. (У меня никогда не было порта, закрываемого dhcp snooping)
Рикки Бим
Вы правы, DHCP Snooping будет ловить их, только если они подключат сетевую сторону маршрутизатора. Я видел, как конечные пользователи делают это. Теперь я не сказал, что DHCP Snooping отключит порт, я сказал, что Port Security отключит его.
infinisource
Вы сказали, что « защита точечного порта отключит порт коммутатора, как только DHCP Snooping обнаружит ...» DHCP Snooping просто остановит ответы на вход в сеть и, возможно, нарушит нормальные операции (читай: rogue dhcp server) Это ограничение MAC-адреса безопасности порта, которое ' убью порт, если на нем будет видно более одного устройства. Это, скорее всего, широковещательная передача DHCP DISCOVER, которая вызовет его, но это клиентская операция, которую отслеживание не будет блокировать. Устройство получит адрес от точки доступа и попытается зайти в сеть ...
Рикки Бим
Хорошо, я исправлюсь. Нужно подумать, прежде чем писать в будущем. К сожалению, я видел, где конечный пользователь соединял нашу сеть с помощью своей беспроводной точки доступа на стороне локальной сети своего устройства, и вы правы. Безопасность порта, а не DHCP Snooping, закрывает порт.
infinisource
Тупой вопрос: «Безопасность порта» - это порт-как-в-порту-на-коммутаторе, а не порт-как-в-порту-80 [-и что у вас], верно?
Ерф
2

Не забывайте, что вы также можете запустить 802.1x на проводных портах. 802.1x может предотвратить неавторизованные устройства, а защита портов помогает предотвратить подключение коммутатора и подключение к порту. Помните, что даже при наличии лучших средств контроля сети вы должны принимать меры на уровне ПК, иначе пользователи смогут просто запускать NAT на своих ПК и обходить меры безопасности вашей сети.

анонимное
источник
1

Как отмечалось, в первую очередь, политика имеет значение. Это может показаться странной отправной точкой, но с корпоративной и юридической точек зрения, если вы не определяете и не распространяете политику, если кто-то нарушает ее, вы мало что можете сделать. Нет смысла защищать дверь, если, когда кто-то врывается, вы не можете ничего сделать, чтобы остановить их.

Как насчет 802.11X. Вам не важно, что это за точка доступа, легальная или нет, если никто не получает доступ к ресурсам под ней. Если вы можете получить точку доступа или пользователя за ее пределами для поддержки 802.11X без разрешения, они получают доступ, но ничего не могут сделать.

Мы на самом деле считаем это полезным, так как мы назначаем разные VLAN на его основе. Если вы одобрены, вы получите доступ к корпоративной VLAN, в противном случае это встроенная рекламная сеть. Хотите смотреть наши промо-ролики весь день, мы в порядке с этим.

user500123
источник
Вы имеете в виду 802.1X? Рабочей группы IEEE 802.11X никогда не было.
generalnetworkerror
0

Профилактика это сложно.

Вы можете заменить проводные порты Ethernet, используя WiFi для всех устройств, что избавляет людей от необходимости устанавливать собственные точки доступа. 802.1X для аутентификации и IPsec для безопасного соединения.

Обнаружение может быть только надежным способом:

Беспроводные каналы имеют высокую потерю пакетов и, вероятно, значительные изменения задержки. Контролируя потерю и задержку пакетов, вы можете обнаружить соединения через точки доступа в рум.

philcolbourn
источник
0

Задумывались ли вы над наложением беспроводных систем предотвращения вторжений (WIPS)?

Разбойные точки доступа бывают разных форм и размеров (от usb / soft AP до реальных физических разбойных точек доступа). Вам нужна система, которая может контролировать как эфирную, так и проводную сторону и сопоставлять информацию с обеих сторон сети, чтобы определить, существует ли угроза на самом деле. Он должен быть в состоянии прочесать сотню точек доступа и найти тот, который подключен к вашей сети.

Rogue Ap - это всего лишь один из видов угроз Wi-Fi, как насчет ваших клиентов Wi-Fi, подключающихся к внешним точкам доступа, видимым из вашего офиса. Проводная система IDS / IPS не может полностью защитить от подобных угроз.

Бхупиндер Мисра
источник