Как вы предотвращаете мошеннические точки беспроводного доступа в сети?

В зависимости от того, какой тип трафика проходит по сети, часто не представляется возможным, чтобы сотрудник приносил беспроводной маршрутизатор и настраивал его в вашу сеть. Это происходит потому, что часто они не защищены или плохо защищены и представляют собой бэкдор в сети. Что вы можете сделать, чтобы предотвратить появление беспроводных точек доступа изгоев в вашей сети?

37 голосов | спросил Lucas Kauffman 8 Maypm13 2013, 16:48:41

11 ответов


27

Ответ Лукаса выше - это немного отправная точка. Однако есть две или три вещи, которые необходимо учитывать. В конечном итоге они выходят за рамки разработки network , но, безусловно, оказывают влияние на сетевую инженерию и безопасность, поэтому они идут.

  1. Вероятно, вы хотите каким-то образом предотвратить перенос беспроводных карт в ноутбуках компании в режим ad hoc. Предполагая, что ноутбуки работают под управлением Windows, вы, вероятно, захотите использовать объект групповой политики, чтобы установить только режим инфраструктуры. Для Linux сложнее полностью ограничить, но есть способы сделать это тоже.

  2. Обеспечение безопасности IPSec также является хорошей идеей, особенно с хорошим управлением ключами и надежным применением. Например, если вы можете пойти в сертификаты X509 для управления ключами, это может привести к тому, что неавторизованные устройства смогут напрямую общаться с остальной частью вашей сети. Рассмотрим ключевое управление как основную часть инфраструктуры. Если вы используете прокси-сервер, вы можете даже заблокировать доступ к интернету неавторизованным устройствам.

  3. Обратите внимание на ограничения ваших усилий. Ни одно из них не позволяет человеку настраивать незащищенную точку беспроводного доступа, подключенную к USB-NIC, для единственной цели общения с их компьютером, особенно если SSID скрыт (то есть не транслируется).

Не уверен, как дальше сдерживать проблемы, или если дальнейшая паранойя прошла мимо недостаточной отдачи .....

ответил Chris Travers 8 Maypm13 2013, 17:02:42
13

Прежде всего вам необходимо разработать политику, запрещающую вводить сетевое оборудование в сеть, которая не принадлежит или не одобрена ИТ-отделом компании. Затем выполните защиту порта, чтобы неизвестные адреса mac не могли подключиться к вашей сети.

Третья настройка отдельной беспроводной сети под вашим контролем (если вы дадите им то, что они хотят, с меньшей вероятностью представит мошенническую AP) (если это возможно и возможно) для доступа к Интернету с помощью своих (мобильных) устройств. Эти точки доступа должны быть защищены PEAP или аналогичными и предпочтительно работать в отдельной сети.

Наконец, вы также можете выполнять регулярные проверки безопасности с помощью таких инструментов, как netstumbler, для обнаружения и отслеживания точек доступа в сети.

Существует также возможность выполнять IPsec по вашей сети, чтобы в случае, если кто-то настроил «мошенник», открытые «волны» не будут читаться в обычном режиме, если кто-то понюхает беспроводную сеть.

ответил Lucas Kauffman 8 Maypm13 2013, 16:48:41
7

Весь мой опыт до сих пор был с продуктами Cisco, поэтому я могу действительно поговорить с ним.

Контролируемые точки WCS (легкие и нормальные) могут обнаруживать и сообщать, когда всплывают недоверенные SSID и сколько клиентов подключено к нему. Если у вас есть настройки тепловых карт и приличное количество точек доступа, у вас есть довольно хороший шанс узнать, где точка доступа находится рядом с вашими точками доступа. Единственная нижняя сторона этого заключается в том, что если вы находитесь в непосредственной близости от каких-либо баров /кафе /колледжей /общежитий /кварталов, ожидающих увидеть страницы с достоинством «мошеннических» SSID, которые меняются так же часто, как люди перемещаются.

WCS также имеет возможность выполнять некоторую трассировку коммутатора и предупреждать вас, если жулики подключены к вашей сети. Мне еще очень повезло, что это сработало. У меня, честно говоря, не было много времени, чтобы поиграть с этим. По умолчанию, по крайней мере, в моей сети, похоже, что существует несколько ложных срабатываний с тем, как работает трассировка. Не смотря на уверенность, я считаю, что он смотрит только на OUI MAC и если он соответствует, тогда вы получаете предупреждение о мошеннике в сети.

Наконец, WCS также имеет возможность содержать AP /ROID rouge. Это связано с использованием сообщений deauth и disassociate для всех клиентов, подключенных к этой точке доступа.

ответил Mike 9 Mayam13 2013, 06:07:34
6

С точки зрения мониторинга вы можете запустить инструмент, например NetDisco , чтобы найти коммутаторы с большим количеством подключенных MAC-адресов, чем вы ожидали. Это не будет автоматически препятствовать тому, чтобы изгои WAP были введены в сеть, но это позволило бы вам найти один после факта.

Если ожидается, что оборудование, подключенное к вашим коммутаторам, останется статическим, ограничение MAC-адреса (с нарушениями, настроенными на администрирование в коммутаторе) может помешать подключению любого устройства-изгоя (а не только WAP).

ответил vitisimus 8 Maypm13 2013, 17:41:47
4
  • Только если AP находится в режиме моста, вы можете поймать его с безопасностью порта.

  • Ограничение Количество MAC-адресов не поможет, если маршрутизатор AP также настроен как «Wireless Router»

  • Отслеживание DHCP полезно, поскольку оно поймает беспроводную точку доступа, подключенную назад, т.е. порт LAN устройств rogeu с включенным DHCP подключен к вашей сети, отслеживание DHCP приведет к снижению трафика.

  • С минимальным бюджетом отслеживание DHCP является моим единственным вариантом, я просто жду, пока пользователь не станет достаточно глупым, чтобы подключить их AP в обратном направлении ... затем я иду на охоту:)

ответил hyussuf 27 Mayam13 2013, 01:37:27
3

Лично, если сеть по большей части является целым магазином Cisco, то есть, по крайней мере, ваш уровень доступа настраивается с помощью коммутаторов Cisco; Я бы посмотрел на безопасность порта и DHCP Snooping, чтобы защитить этот тип проблемы. Установка максимального 1 MAC-адреса во всех портах доступа была бы предельной, но обеспечивала бы, чтобы только одно устройство могло отображаться в коммутаторе за раз. Я также установил бы порт на останов, если появится более 1 MAC. Если вы решите разрешить более 1 MAC, отслеживание DHCP поможет, поскольку большинство беспроводных маршрутизаторов беспроводного доступа введут DHCP в локальную подсеть, когда конечный пользователь подключит устройство к коммутатору. В этот момент безопасность порта отключит коммутатор, как только DHCP-отслеживание обнаружит, что точка доступа предлагает DHCP.

ответил infinisource 27 Mayam13 2013, 01:19:49
2

Не забывайте, что вы также можете запускать 802.1x на проводных портах. 802.1x может предотвратить несанкционированное использование устройств, а защита портов помогает предотвратить подключение и переключение порта. Помните, что даже при наличии лучших сетевых элементов управления вы должны принимать меры на уровне ПК, или пользователи просто смогут запускать NAT на своем ПК и обходить меры безопасности сети.

ответил Anonymous 4 J0000006Europe/Moscow 2013, 23:02:05
1

Как уже отмечалось, в первую очередь важны политики. Это может показаться странной отправной точкой, но с юридической точки зрения, если вы не определяете и не распространяете политику, если кто-то ее нарушает, вы можете сделать это немного. Нет смысла защищать дверь, если, когда кто-то ворвется, вы не можете ничего сделать, чтобы остановить их.

Как насчет 802.11X. Вам не важно, что точка доступа является законной или нет, если никто не получает доступ к ресурсам, расположенным ниже. Если вы можете получить точку доступа или пользователя за ее пределами, чтобы поддерживать 802.11X без одобрения, они получают доступ, но они ничего не могут сделать.

Мы действительно находим это полезным, поскольку мы назначаем на нем различные VLAN. Если вы одобрены, вы получаете доступ к корпоративной VLAN, в противном случае это рекламная сеть in-build. Хотите посмотреть наши промо-ролики весь день, мы в порядке с этим.

ответил user500123 28 Mayam13 2013, 06:06:55
0

В Nessus есть плагин для обнаружения мошеннических точек доступа - вы можете периодически сканировать сканирование.

http://www.tenable.com/блог /с использованием-Несс-к-открыть-изгой доступа-точка

ответил Zakalwe 27 Mayam13 2013, 01:45:28
0

Предупреждение сложно.

Вы можете заменить проводные Ethernet-порты, используя WiFi для всех устройств, - избавляя людей от необходимости настраивать свои собственные точки доступа. 802.1X для аутентификации и IPsec для защиты соединения.

Обнаружение может быть только надежным способом:

Беспроводные соединения имеют высокую потерю пакетов и, вероятно, значительную задержку. Контролируя потерю и задержку пакетов, вы можете обнаруживать соединения через точки доступа rouge.

ответил philcolbourn 28 Maypm13 2013, 16:42:52
0

Вы задумывались о наложении беспроводных систем предотвращения вторжений (WIPS)?

Разрушающиеся точки доступа бывают разных форм и размеров (от usb /soft AP до реальных физических точек Rogue). Вам нужна система, которая может контролировать как воздушную, так и проводную сторону и сопоставлять информацию с обеих сторон сети, чтобы определить, действительно ли существует угроза. Он должен иметь возможность расчесывать через 100 секунд Ap и находить ту, которая подключена к вашей сети.

Rogue Ap - это всего лишь 1 вид угрозы Wi-Fi, как насчет ваших Wi-Fi-клиентов, подключающихся к внешним точкам доступа, видимым из вашего офиса. Проводная система IDS /IPS не может полностью защитить от подобных угроз.

ответил Bhupinder Misra 17 +04002013-10-17T11:11:29+04:00312013bEurope/MoscowThu, 17 Oct 2013 11:11:29 +0400 2013, 11:11:29

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132