Ağ üzerinden ne tür bir trafik geçtiğine bağlı olarak, bir çalışanın bir kablosuz yönlendirici getirip ağınıza kurması genellikle mümkün değildir. Bunun nedeni, sık sık, güvenlikli olmadıklarından veya güvenliksiz olduklarından ve ağa bir arka kapı sunduklarıdır. Hileli kablosuz erişim noktalarının ağınıza tanıtılmasını önlemek için ne yapabilirsiniz?
Yanıtlar:
Lucas'ın yukarıdaki cevabı biraz başlangıç noktası. Ancak göz önünde bulundurulması gereken iki veya üç şey daha var. Bunlar bir nihayetinde ağ mühendisliğinin kapsamı dışında kalıyor, fakat kesinlikle ağ mühendisliği ve güvenliği için etkileri var, işte burada.
Muhtemelen şirket dizüstü bilgisayarlarındaki kablosuz kartların geçici moda geçmesini engellemenin bir yolu var. Dizüstü bilgisayarların Windows çalıştırdığını varsayarsak, muhtemelen yalnızca altyapı moduna ayarlamak için bir GPO kullanmak istiyorsunuz. Linux için, tamamen kısıtlanması daha zordur, ancak bunu yapmanın da yolları vardır.
IPSec'in güçlendirilmesi, özellikle iyi anahtar yönetimi ve güvenilir uygulama ile de iyi bir fikirdir. Örneğin, anahtar yönetimi için X509 sertifikalarına gidebilirseniz, bu yetkisiz cihazların ağınızın geri kalanıyla doğrudan iletişim kurmasını engelleyebilir. Kilit yönetimi burada altyapının temel bir parçası olarak düşünün. Proxy sunucusu kullanıyorsanız, yetkisiz cihazların internete erişimini engelleyebilirsiniz.
Çabalarınızın sınırlarını not edin. Bunların hiçbiri, yalnızca, özellikle SSID gizlendiğinde (yani yayın yapılmadığında), bilgisayarla iletişim kurmak amacıyla, bir USB NIC'ye bağlı güvenli olmayan bir kablosuz erişim noktası kurmasını engellemez.
Sorunların nasıl daha fazla içerileceğinden ya da daha fazla paranoya, yetersiz geri dönüş noktasının çok ötesinde olup olmadığından emin değil…
Her şeyden önce, ağ ekipmanını şirket BT departmanı tarafından sahip olunmayan veya onaylanmayan ağa dahil etmeyi yasaklayan bir politika oluşturmanız gerekir. Ardından, bağlantı noktası güvenliğini uygulayın; böylece bilinmeyen mac adresleri ağınıza bağlanamaz.
Üçüncü olarak, kontrolünüz altında ayrı bir kablosuz ağ kurun (eğer istediklerini verirseniz hileli AP kullanmaları daha az muhtemeldir) (eğer mümkün ve uygulanabilirse) (mobil) cihazlarıyla internete erişmek için. Bu erişim noktaları PEAP veya benzeri ile sabitlenmeli ve tercihen ayrı bir ağ üzerinde çalıştırılmalıdır.
Son olarak, ağınızdaki hileli erişim noktalarını tespit etmek ve izlemek için netstumbler gibi araçları kullanarak düzenli güvenlik taramaları yapabilirsiniz.
Ayrıca, IPsec'i ağınız üzerinden gerçekleştirme seçeneği de vardır; bu nedenle, birisi haydut bir AP ayarlaması durumunda, açığa çıkan "dalgalar", kablosuz ağı koklayan biri durumunda okunaklı olmayacaktır.
Şimdiye kadarki deneyimlerimin tümü Cisco ürünleriyle oldu, bu yüzden gerçekten konuşabildiğim tek şey bu.
WCS kontrollü AP'ler (hafif ve normal), güvenilir olmayan SSID'lerin ne zaman ortaya çıktığını ve ona kaç müşterinin bağlı olduğunu tespit etme ve raporlama yeteneğine sahiptir. Isı haritalarını kurduysanız ve sayısız erişim noktanız varsa, erişim noktasının AP'nizin yakınında nerede olduğunu bulma şansınız oldukça yüksektir. Bunun tek aşağı tarafı, herhangi bir bar / kahve dükkanına / kolej yurtlarına / mahallelerine yakın olmanız durumunda, insanlar hareket ettikçe sıkça değişen "haydut" SSID'lere değer sayfalar görmeyi beklemektir.
WCS ayrıca bazı geçiş limanları takibi yapma ve sahtekarlar ağınıza takılıysa sizi uyaracak özelliklere de sahiptir. Bunun işe yaraması için daha fazla şansa sahip değilim. Gerçekten onunla oynamak için çok zamanım olmadı. Varsayılan olarak, en azından ağımda, izlemenin çalışma şekliyle ilgili birkaç yanlış pozitif gibi görünüyor. Kesin olarak bakmadan, yalnızca MAC'nin OUI'sine baktığına ve eğer eşleşirse ağdaki bir haydut hakkında bir uyarı aldığına inanıyorum.
Son olarak, WCS ayrıca rouge AP'ler / SSID'ler de içerebilir. Bu, AP kullanarak bağlanan herhangi bir müşteriye deauth kullanarak ve mesajlarla bağlantıyı keserek yapar.
Bir izleme açısından bakıldığında, beklediğinizden daha fazla MAC adresi bağlı anahtarlama yerlerini bulmak için NetDisco gibi bir araç çalıştırabilirsiniz . Bu, haydut bir WAP'ın ağa tanıtılmasını otomatik olarak engellemeyecek, ancak bundan sonra bir tane bulmanızı sağlayacaktır.
Şalt bağlantılarınıza bağlı ekipmanın statik kalması bekleniyorsa, MAC adres sınırlaması (şalt noktasının yönetimsel olarak aşağı indirilmesi durumunda), herhangi bir hileli cihazın (sadece WAP'lar değil) bağlanmasını engelleyebilir.
Yalnızca AP köprüleme modundaysa, bağlantı noktası güvenliğiyle yakalayabilirsiniz.
Sınırlama MAC adresi sayısı, AP AP'nin "Kablosuz Yönlendirici" olarak yapılandırılması durumunda yardımcı olmaz
DHCP gözetleme özelliği, geriye doğru bağlanan Kablosuz AP'yi yakalayabilmesi için yararlıdır, yani DHCP etkin olan rogeu cihazlarının LAN bağlantı noktası ağınıza bağlıysa, DHCP gözetleme trafiği azaltacaktır.
Minimum bütçe ile DHCP gözetleme tek seçeneğim, bir kullanıcı AP'sini geriye doğru takacak kadar salak olana kadar beklerim ... sonra avlanırım :)
Şahsen, eğer ağ çoğunlukla bir Cisco mağazasının tümü ise, en azından erişim katmanınız Cisco anahtarlarıyla kurulur; Bu tür sorunlara karşı korunmanın bir yolu olarak liman güvenliği ve DHCP Snooping'e bakardım. Tüm Erişim bağlantı noktalarında en fazla 1 MAC adresi ayarlamak aşırı zor olacaktır, ancak bir anda bir anahtar tesisinde sadece 1 cihazın görünmesini sağlayabilir. Ayrıca 1'den fazla MAC belirirse portu kapanmaya ayarlarım. 1 MAC'tan daha fazla MAC'a izin vermeye karar verirseniz, DHCP gözetleme, çoğu tüketici sınıfı Kablosuz Yönlendirici'nin, son kullanıcı cihazı switchport'a bağladığında yerel alt ağda DHCP'yi kullanmasına yardımcı olacaktır. Bu noktada liman güvenliği DHCP taraması Erişim Noktasının DHCP sunduğunu tespit ettiğinde liman geçişini durdurur.
Unutmayın, 802.1x'i kablolu bağlantı noktalarında da çalıştırabilirsiniz. 802.1x yetkisiz cihazları önleyebilir ve liman güvenliği, birinin bir anahtarı takmasını ve bağlantı noktasını kapatmasını önlemeye yardımcı olur. En iyi ağ denetimleri yerinde olsa bile, bilgisayar düzeyinde önlem almanız gerektiğini, aksi takdirde kullanıcıların PC'lerinde NAT çalıştırabileceklerini ve ağ güvenliği önlemlerinizi atlayabileceklerini unutmayın.
Belirtildiği gibi, her şeyden önce politikalar önemlidir. Bu garip bir başlangıç noktası gibi görünebilir, ancak politikayı tanımlayıp dağıtmadığınız sürece, kurumsal ve yasal bir bakış açısıyla, eğer birileri ihlal ederse, yapabileceğiniz çok az şey vardır. Birisi içeri girdiğinde, onları durduracak hiçbir şey yapamazsanız, kapıyı emniyete almanın anlamı yok.
Peki ya 802.11X. Hiç kimsenin altındaki kaynaklara erişmediği sürece erişim noktasının ne kadar yasal olduğu veya hiç umrunda değilsiniz. Erişim noktasını veya kullanıcıyı ötesine alabilirseniz, 802.11X'i desteklemesi için onay almadan erişebilirler, ancak hiçbir şey yapamazlar.
Bunu temel alarak farklı VLAN'lar atadığımız için bunu gerçekten faydalı buluyoruz. Onaylandıysanız, kurumsal VLAN'a erişebilirsiniz, aksi takdirde, yerleşik reklam ağıdır. Promosyon videolarımızı bütün gün izlemek istiyorum, bunun için sorun yok.
Nessus'un hileli AP'leri tespit etmek için bir eklentisi var - periyodik olarak bakmak için bir tarama yazabilirsiniz.
http://www.tenable.com/blog/using-nessus-to-discover-rogue-access-points
Önleme zor.
Tüm cihazlar için WiFi kullanarak kablolu Ethernet bağlantı noktalarını değiştirerek insanların kendi AP'lerini kurma gereksinimini ortadan kaldırabilirsiniz. Kimlik doğrulamak için 802.1X ve güvenli bağlantı için IPsec.
Algılama yalnızca güvenilir bir yol olabilir:
Kablosuz bağlantıların yüksek paket kaybı ve muhtemelen önemli gecikme varyasyonları vardır. Paket kaybını ve gecikmesini izleyerek rouge erişim noktalarındaki bağlantıları tespit edebilirsiniz.
Kablosuz saldırı önleme sistemlerini (WIPS) yerleştirmeyi düşündünüz mü?
Rogue AP'ler birçok biçimde şekil ve boyutta gelir (usb / soft AP'den gerçek fiziksel Rogue AP'lere kadar). İhtiyacınız olan bir sistem hem havayı hem de kablolu tarafı izleyebilir ve gerçekten bir tehdit olup olmadığını anlamak için ağın her iki tarafındaki bilgileri ilişkilendirebilir. 100'lerce Ap'ı tarayabilmeli ve ağınıza takılı olanı bulabilmelidir.
Rogue Ap, sadece 1 tür wifi tehdididir, peki ya wifi istemcilerinizin ofisinizden görünen harici AP'lere bağlanması hakkında. Kablolu IDS / IPS sistemi bu tür tehditlere karşı tam olarak koruyamaz.