Bir ağda hileli kablosuz erişim noktalarını nasıl önlersiniz?


39

Ağ üzerinden ne tür bir trafik geçtiğine bağlı olarak, bir çalışanın bir kablosuz yönlendirici getirip ağınıza kurması genellikle mümkün değildir. Bunun nedeni, sık sık, güvenlikli olmadıklarından veya güvenliksiz olduklarından ve ağa bir arka kapı sunduklarıdır. Hileli kablosuz erişim noktalarının ağınıza tanıtılmasını önlemek için ne yapabilirsiniz?

Yanıtlar:


29

Lucas'ın yukarıdaki cevabı biraz başlangıç ​​noktası. Ancak göz önünde bulundurulması gereken iki veya üç şey daha var. Bunlar bir nihayetinde mühendisliğinin kapsamı dışında kalıyor, fakat kesinlikle ağ mühendisliği ve güvenliği için etkileri var, işte burada.

  1. Muhtemelen şirket dizüstü bilgisayarlarındaki kablosuz kartların geçici moda geçmesini engellemenin bir yolu var. Dizüstü bilgisayarların Windows çalıştırdığını varsayarsak, muhtemelen yalnızca altyapı moduna ayarlamak için bir GPO kullanmak istiyorsunuz. Linux için, tamamen kısıtlanması daha zordur, ancak bunu yapmanın da yolları vardır.

  2. IPSec'in güçlendirilmesi, özellikle iyi anahtar yönetimi ve güvenilir uygulama ile de iyi bir fikirdir. Örneğin, anahtar yönetimi için X509 sertifikalarına gidebilirseniz, bu yetkisiz cihazların ağınızın geri kalanıyla doğrudan iletişim kurmasını engelleyebilir. Kilit yönetimi burada altyapının temel bir parçası olarak düşünün. Proxy sunucusu kullanıyorsanız, yetkisiz cihazların internete erişimini engelleyebilirsiniz.

  3. Çabalarınızın sınırlarını not edin. Bunların hiçbiri, yalnızca, özellikle SSID gizlendiğinde (yani yayın yapılmadığında), bilgisayarla iletişim kurmak amacıyla, bir USB NIC'ye bağlı güvenli olmayan bir kablosuz erişim noktası kurmasını engellemez.

Sorunların nasıl daha fazla içerileceğinden ya da daha fazla paranoya, yetersiz geri dönüş noktasının çok ötesinde olup olmadığından emin değil…


3
Geçici modunu devre dışı bırakmak için +1 olarak, kendi yönetilen cihazlarınızın hileli AP'lere dönüştürülebildiğini kaçırmak kolaydır.
MDMoore313

2
@ MDMoore313: Bir Ad-Hoc STA bir AP değildir.
BatchyX

@BatchyX bu doğru, benim hatam.
MDMoore313

Birinin de Windows'ta AP çalıştırabileceğini sanmıyorum. Biri kablosuz kart ve sürücü destekliyorsa Linux'ta yapabilir. Yani bu, Linux kontrol listesindeki bir şey daha var .....
Chris Travers,

1
@ChrisTravers: Evet yapabilirsiniz, aynı zamanda iyi çalışır. Bkz virtualrouter.codeplex.com diğerleri arasında,
erict

14

Her şeyden önce, ağ ekipmanını şirket BT departmanı tarafından sahip olunmayan veya onaylanmayan ağa dahil etmeyi yasaklayan bir politika oluşturmanız gerekir. Ardından, bağlantı noktası güvenliğini uygulayın; böylece bilinmeyen mac adresleri ağınıza bağlanamaz.

Üçüncü olarak, kontrolünüz altında ayrı bir kablosuz ağ kurun (eğer istediklerini verirseniz hileli AP kullanmaları daha az muhtemeldir) (eğer mümkün ve uygulanabilirse) (mobil) cihazlarıyla internete erişmek için. Bu erişim noktaları PEAP veya benzeri ile sabitlenmeli ve tercihen ayrı bir ağ üzerinde çalıştırılmalıdır.

Son olarak, ağınızdaki hileli erişim noktalarını tespit etmek ve izlemek için netstumbler gibi araçları kullanarak düzenli güvenlik taramaları yapabilirsiniz.

Ayrıca, IPsec'i ağınız üzerinden gerçekleştirme seçeneği de vardır; bu nedenle, birisi haydut bir AP ayarlaması durumunda, açığa çıkan "dalgalar", kablosuz ağı koklayan biri durumunda okunaklı olmayacaktır.


2
Buna ek olarak, Meraki gibi satıcılar haydut AP tespiti ve bastırmasında yerleşiktir ve aktif olarak bağlantı kesmeleri gönderir ve hileli puanlarla ilişkilendirilmiş kullanıcıları bağlantılarını kaybeder ve yeniden ilişkilendirir.
SimonJGreen

@SimonJGreen: Bu yöntem 802.11w uyumlu istasyonlar ve AP ile çalışmaz.
BatchyX

@SimonJGreen, FCC'nin bunu yapan birine büyük bir ceza verdiğini unutmayın. Kasıtlı olarak diğer kişilerin kablosuz iletişim sistemlerini karıştırmak iyi değil.
Peter Green

“Üçüncü olarak kontrolünüz altında ayrı bir kablosuz ağ kurun (eğer onlara hileli AP kullanmaları daha az muhtemeldir). (Eğer mümkünse ve mümkün ise)” hiç kimse kendi AP'sini kurma çabasına ve masrafına girmeyecek çünkü zaten kendileri için mevcut olanlardan memnunlar. İhtiyaçlarını doğru bir şekilde yerine getirin ve yanlış yapmaya çalıştıkları için endişelenmenize gerek kalmayacaktır.
Alexander

8

Şimdiye kadarki deneyimlerimin tümü Cisco ürünleriyle oldu, bu yüzden gerçekten konuşabildiğim tek şey bu.

WCS kontrollü AP'ler (hafif ve normal), güvenilir olmayan SSID'lerin ne zaman ortaya çıktığını ve ona kaç müşterinin bağlı olduğunu tespit etme ve raporlama yeteneğine sahiptir. Isı haritalarını kurduysanız ve sayısız erişim noktanız varsa, erişim noktasının AP'nizin yakınında nerede olduğunu bulma şansınız oldukça yüksektir. Bunun tek aşağı tarafı, herhangi bir bar / kahve dükkanına / kolej yurtlarına / mahallelerine yakın olmanız durumunda, insanlar hareket ettikçe sıkça değişen "haydut" SSID'lere değer sayfalar görmeyi beklemektir.

WCS ayrıca bazı geçiş limanları takibi yapma ve sahtekarlar ağınıza takılıysa sizi uyaracak özelliklere de sahiptir. Bunun işe yaraması için daha fazla şansa sahip değilim. Gerçekten onunla oynamak için çok zamanım olmadı. Varsayılan olarak, en azından ağımda, izlemenin çalışma şekliyle ilgili birkaç yanlış pozitif gibi görünüyor. Kesin olarak bakmadan, yalnızca MAC'nin OUI'sine baktığına ve eğer eşleşirse ağdaki bir haydut hakkında bir uyarı aldığına inanıyorum.

Son olarak, WCS ayrıca rouge AP'ler / SSID'ler de içerebilir. Bu, AP kullanarak bağlanan herhangi bir müşteriye deauth kullanarak ve mesajlarla bağlantıyı keserek yapar.


2
WCS haydut algılama için +1. Ruckus, Aerohive ve Meraki ile bazı çalışmalar yaptım ve her satıcının haydut tespiti var. Bunların çoğunun, ilk önce ele almak istedikleriniz olan, aynı zamanda telin üzerinde bulunan bir haydut aygıtını da tanıyacağını not etmek özellikle önemlidir.
Ağ,

2
Yeterince büyük bir kampüse sahip olmadığınız ve WCS / WLC'deki AP kapsamını etkinleştirirseniz ve yasal olarak komşu şirketlerden başka hiçbir AP'nin orada bulunmadığını ve yalnızca getirilen AP'leri gösterdiğinizi gösteremiyorsanız, bulabileceğiniz yasal sıcak suyu unutmayın. Çevrenizde oraya ulaşmanın başka yolu yoktu.
generalnetworkerror

WLC'de AP tutma modu oldukça iyi çalışıyor. İşyerinde eğlenmek için birkaç erişim noktasında yaptım ve kelimenin tam anlamıyla dizüstü bilgisayarımla (10 cm gibi) haydut ap'in hemen yanında oturuyordum ve ağa katılamadım. Çalıştığım bir tüketici haydut ap ssid bile gösteremedi. Hatırlarsam, birkaç dakika sonra da yeniden başlatılır
knotseh

6

Bir izleme açısından bakıldığında, beklediğinizden daha fazla MAC adresi bağlı anahtarlama yerlerini bulmak için NetDisco gibi bir araç çalıştırabilirsiniz . Bu, haydut bir WAP'ın ağa tanıtılmasını otomatik olarak engellemeyecek, ancak bundan sonra bir tane bulmanızı sağlayacaktır.

Şalt bağlantılarınıza bağlı ekipmanın statik kalması bekleniyorsa, MAC adres sınırlaması (şalt noktasının yönetimsel olarak aşağı indirilmesi durumunda), herhangi bir hileli cihazın (sadece WAP'lar değil) bağlanmasını engelleyebilir.


1
mac adres yapışkan gerçek bir dünya uygulamasıdır.
MDMoore313

4
  • Yalnızca AP köprüleme modundaysa, bağlantı noktası güvenliğiyle yakalayabilirsiniz.

  • Sınırlama MAC adresi sayısı, AP AP'nin "Kablosuz Yönlendirici" olarak yapılandırılması durumunda yardımcı olmaz

  • DHCP gözetleme özelliği, geriye doğru bağlanan Kablosuz AP'yi yakalayabilmesi için yararlıdır, yani DHCP etkin olan rogeu cihazlarının LAN bağlantı noktası ağınıza bağlıysa, DHCP gözetleme trafiği azaltacaktır.

  • Minimum bütçe ile DHCP gözetleme tek seçeneğim, bir kullanıcı AP'sini geriye doğru takacak kadar salak olana kadar beklerim ... sonra avlanırım :)


3

Şahsen, eğer ağ çoğunlukla bir Cisco mağazasının tümü ise, en azından erişim katmanınız Cisco anahtarlarıyla kurulur; Bu tür sorunlara karşı korunmanın bir yolu olarak liman güvenliği ve DHCP Snooping'e bakardım. Tüm Erişim bağlantı noktalarında en fazla 1 MAC adresi ayarlamak aşırı zor olacaktır, ancak bir anda bir anahtar tesisinde sadece 1 cihazın görünmesini sağlayabilir. Ayrıca 1'den fazla MAC belirirse portu kapanmaya ayarlarım. 1 MAC'tan daha fazla MAC'a izin vermeye karar verirseniz, DHCP gözetleme, çoğu tüketici sınıfı Kablosuz Yönlendirici'nin, son kullanıcı cihazı switchport'a bağladığında yerel alt ağda DHCP'yi kullanmasına yardımcı olacaktır. Bu noktada liman güvenliği DHCP taraması Erişim Noktasının DHCP sunduğunu tespit ettiğinde liman geçişini durdurur.


a) dhcp gözetlemesi, yalnızca dhcp çalışan yönlendiricinin şerit tarafını ağa bağlarsa onları yakalar. ve b) dhcp gözetleme portu kapatmaz; yalnızca güvenilmeyen bağlantı noktalarında dhcp sunucusu trafiğini düşürür. (Dhcp snooping tarafından kapatılan bir limana hiç sahip olmadım)
Ricky Beam 19

Haklısın, DHCP Snooping yalnızca yönlendiricinin şerit tarafını ağa bağlarsa onları yakalar. Son kullanıcıların bunu yaptığını gördüm. Şimdi söylemediğim şey DHCP Snooping'in limanı kapatmasıydı, Port Security'nin onu kapattığını söyledim.
infinisource

DHCP gözetlemesi algıladığında " nokta bağlantı noktası güvenliği geçiş limanını kapatacak" demiştiniz . "DHCP gözetleme, yanıtların yalnızca ağa girmesini ve muhtemelen normal işlemleri engellemesini durduracak (okuma: hileli dhcp sunucusu). Bağlantı noktasında birden fazla cihaz göründüğünde bağlantı noktasını öldürün. Büyük olasılıkla onu tetikleyecek bir DHCP KEŞFET yayını, ancak gözetlemenin engellenmeyeceği bir müşteri op. Cihaz AP'den bir adres alacak ve internete girmeye çalışacak ...
Ricky Beam 19

Tamam, düzeltilmiş duruyorum. Gelecekte yazmadan önce düşünmeniz gerekir. Maalesef, bir son kullanıcının ağımızı, cihazının LAN Tarafındaki Kablosuz AP'si ile ağa bağladığını ve DHCP Snooping'in bağlantı noktasını kapattığını değil, Port Security'nin haklı olduğunu gördüm.
infinisource

Aptalca bir soru: "Liman güvenliği", bir bağlantı noktası olarak bağlantı noktası olarak değil, bağlantı noktası olarak 80 bağlantı noktası değil [veya ne sahip olduğunuz], değil mi?
saat

2

Unutmayın, 802.1x'i kablolu bağlantı noktalarında da çalıştırabilirsiniz. 802.1x yetkisiz cihazları önleyebilir ve liman güvenliği, birinin bir anahtarı takmasını ve bağlantı noktasını kapatmasını önlemeye yardımcı olur. En iyi ağ denetimleri yerinde olsa bile, bilgisayar düzeyinde önlem almanız gerektiğini, aksi takdirde kullanıcıların PC'lerinde NAT çalıştırabileceklerini ve ağ güvenliği önlemlerinizi atlayabileceklerini unutmayın.


1

Belirtildiği gibi, her şeyden önce politikalar önemlidir. Bu garip bir başlangıç ​​noktası gibi görünebilir, ancak politikayı tanımlayıp dağıtmadığınız sürece, kurumsal ve yasal bir bakış açısıyla, eğer birileri ihlal ederse, yapabileceğiniz çok az şey vardır. Birisi içeri girdiğinde, onları durduracak hiçbir şey yapamazsanız, kapıyı emniyete almanın anlamı yok.

Peki ya 802.11X. Hiç kimsenin altındaki kaynaklara erişmediği sürece erişim noktasının ne kadar yasal olduğu veya hiç umrunda değilsiniz. Erişim noktasını veya kullanıcıyı ötesine alabilirseniz, 802.11X'i desteklemesi için onay almadan erişebilirler, ancak hiçbir şey yapamazlar.

Bunu temel alarak farklı VLAN'lar atadığımız için bunu gerçekten faydalı buluyoruz. Onaylandıysanız, kurumsal VLAN'a erişebilirsiniz, aksi takdirde, yerleşik reklam ağıdır. Promosyon videolarımızı bütün gün izlemek istiyorum, bunun için sorun yok.


802.1X'i mi kastediyorsunuz? Oluşturulan hiçbir IEEE 802.11X Çalışma Grubu olmadı.
generalnetworkerror


0

Önleme zor.

Tüm cihazlar için WiFi kullanarak kablolu Ethernet bağlantı noktalarını değiştirerek insanların kendi AP'lerini kurma gereksinimini ortadan kaldırabilirsiniz. Kimlik doğrulamak için 802.1X ve güvenli bağlantı için IPsec.

Algılama yalnızca güvenilir bir yol olabilir:

Kablosuz bağlantıların yüksek paket kaybı ve muhtemelen önemli gecikme varyasyonları vardır. Paket kaybını ve gecikmesini izleyerek rouge erişim noktalarındaki bağlantıları tespit edebilirsiniz.


0

Kablosuz saldırı önleme sistemlerini (WIPS) yerleştirmeyi düşündünüz mü?

Rogue AP'ler birçok biçimde şekil ve boyutta gelir (usb / soft AP'den gerçek fiziksel Rogue AP'lere kadar). İhtiyacınız olan bir sistem hem havayı hem de kablolu tarafı izleyebilir ve gerçekten bir tehdit olup olmadığını anlamak için ağın her iki tarafındaki bilgileri ilişkilendirebilir. 100'lerce Ap'ı tarayabilmeli ve ağınıza takılı olanı bulabilmelidir.

Rogue Ap, sadece 1 tür wifi tehdididir, peki ya wifi istemcilerinizin ofisinizden görünen harici AP'lere bağlanması hakkında. Kablolu IDS / IPS sistemi bu tür tehditlere karşı tam olarak koruyamaz.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.