Como você evita pontos de acesso sem fio não autorizados em uma rede?

39

Dependendo do tipo de tráfego que passa pela rede, muitas vezes não é possível que um funcionário traga um roteador sem fio e o configure na sua rede. Isso ocorre porque, frequentemente, eles não são ou estão mal protegidos e apresentam um backdoor na rede. O que você pode fazer para impedir que pontos de acesso sem fio não autorizados sejam introduzidos na sua rede?

Lucas Kauffman
fonte

Respostas:

29

A resposta de Lucas acima é um ponto de partida. No entanto, existem duas ou três outras coisas que devem ser consideradas. Elas acabam ficando um pouco fora do escopo da engenharia de redes , mas certamente têm impactos na engenharia e segurança de redes, então aqui estão elas.

  1. Você provavelmente deseja alguma maneira de impedir que as placas sem fio nos laptops da empresa sejam trocadas para o modo ad hoc. Supondo que os laptops estejam executando o Windows, você provavelmente deseja usar um GPO para definir apenas o modo de infraestrutura. Para o Linux, é mais difícil restringir completamente, mas existem maneiras de fazer isso também.

  2. Aplicar o IPSec também é uma boa ideia, principalmente com um bom gerenciamento de chaves e aplicação confiável. Por exemplo, se você pode acessar o X509 certs para gerenciamento de chaves, isso pode impedir que dispositivos não autorizados se comuniquem diretamente com o restante da sua rede. Considere o gerenciamento de chaves como parte essencial da infraestrutura aqui. Se você usa um servidor proxy, pode até bloquear dispositivos não autorizados de acessar a Internet.

  3. Observe as limitações de seus esforços. Nada disso impede uma pessoa de configurar um ponto de acesso sem fio não seguro conectado a uma NIC USB, com o único objetivo de se comunicar com o computador, especialmente se o SSID estiver oculto (ou seja, não transmitido).

Não sabe ao certo como conter mais problemas ou se a paranóia adicional já ultrapassou o ponto de retornos insuficientes .....

Chris Travers
fonte
3
+1 para desativar o modo Ad-hoc, é fácil perder que seus próprios dispositivos gerenciados possam ser transformados em APs não autorizados.
MDMoore313
2
@ MDMoore313: Um STA Ad-Hoc não é um AP.
BatchyX 19/05
@ BatchyX isso é verdade, meu erro.
MDMoore313 20/05
Eu não acho que se possa executar um AP no Windows também. Pode-se no Linux se a placa e o driver sem fio o suportarem. Então, isso é mais uma coisa sobre a lista de verificação Linux .....
Chris Travers
11
@ ChrisTravers: Sim, você pode, funciona bem também. Veja virtualrouter.codeplex.com , entre outros
erict
14

Antes de tudo, é necessário criar uma política que proíba a introdução de equipamentos de rede na rede que não sejam de propriedade ou aprovados pelo departamento de TI da empresa. Em seguida, imponha a segurança da porta para que endereços MAC desconhecidos não possam se conectar à sua rede.

Terceiro, configure uma rede sem fio separada sob seu controle (se você der a eles o que eles desejam, é menos provável que eles introduzam um PA não autorizado) (se possível e possível) para acessar a Internet com seus dispositivos (móveis). Esses pontos de acesso devem ser protegidos com PEAP ou similar e, de preferência, executados em uma rede separada.

Por último, você também pode fazer verificações de segurança regulares usando ferramentas como o netstumbler para detectar e rastrear pontos de acesso não autorizados na sua rede.

Também existe a opção de executar IPsec na rede, para que, caso alguém configure um ponto de acesso não autorizado, as "ondas" expostas não serão facilmente legíveis no caso de alguém farejar a rede sem fio.

Lucas Kauffman
fonte
2
Além disso, fornecedores como Meraki construíram detecção e supressão de AP não autorizados e enviarão ativamente desconexões forçando os usuários associados a pontos não autorizados a perder a conexão e se associar novamente.
SimonJGreen
@SimonJGreen: Este método não funciona com estações compatíveis com 802.11w e AP.
BatchyX 19/05
@SimonJGreen tenha em mente que a FCC distribuiu uma grande multa a alguém que fez isso. Mexer deliberadamente com as comunicações sem fio de outras pessoas não é bom.
Peter Green
"Terceiro, configure uma rede sem fio separada sob seu controle (se você der o que eles querem, é menos provável que eles introduzam AP não autorizado) (se possível e possível)" Exatamente isso. ninguém está se esforçando e custando a criação de seu próprio AP, porque está contente com o que já está disponível para eles. Satisfaça a necessidade deles corretamente, e você não precisará se preocupar com eles tentando fazê-lo incorretamente.
Alexander
8

Até agora, toda a minha experiência foi com produtos da Cisco, e é com isso que realmente posso falar.

Os APs controlados pelo WCS (leves e normais) têm a capacidade de detectar e relatar quando SSIDs não confiáveis ​​aparecem e quantos clientes estão conectados a ele. Se você possui mapas de calor configurados e um número razoável de pontos de acesso, tem uma boa chance de descobrir onde o ponto de acesso está próximo aos seus pontos de acesso. A única desvantagem disso é que, se você estiver próximo de bares / cafeterias / dormitórios / bairros, espere ver páginas dignas de SSIDs "desonestos" que mudam com a frequência das pessoas.

O WCS também tem a capacidade de rastrear a porta de comutação e alertá-lo se bandidos estiverem conectados à sua rede. Ainda tenho muita sorte em fazer isso funcionar. Sinceramente, não tive muito tempo para brincar com isso. Por padrão, pelo menos na minha rede, parece haver alguns falsos positivos na maneira como o rastreamento funciona. Sem ter certeza, acredito que apenas analise a OUI do MAC e, se corresponder, você receberá um alerta sobre um invasor na rede.

Por fim, o WCS também tem a capacidade de conter APs / SSIDs vermelhos. Faz isso usando deauth e desassociar mensagens para todos os clientes que estão conectados a esse ponto de acesso.

Mike
fonte
2
+1 para detecção não autorizada do WCS. Eu já trabalhei com Ruckus, Aerohive e Meraki, e cada fornecedor possui detecção não autorizada. É especialmente importante observar que muitos deles também reconhecerão um dispositivo não autorizado que também está no fio, quais são os que você deseja resolver primeiro.
Network Canuck
2
Lembre-se da água quente legal em que você se encontra se ativar a contenção de pontos de acesso no WCS / WLC, a menos que você possua um campus grande o suficiente e possa mostrar legalmente que nenhum outro ponto de acesso de empresas vizinhas possa estar lá e você só contenha pontos de acesso trazidos em seu ambiente que não teria outra maneira de chegar lá.
generalnetworkerror
O modo de contenção de AP no WLC funciona muito bem. Eu já fiz isso em alguns pontos de acesso por diversão no local de trabalho e estava literalmente sentado ao lado do funcionário desonesto com o meu laptop (a 10 cm) de distância e não consegui entrar na rede. Um consumidor desonesto, com quem eu tentei, não conseguia nem exibir seu SSID. Se bem me lembro-lo reiniciado muito depois de alguns minutos
knotseh
6

Do ponto de vista de monitoramento, você pode executar uma ferramenta como o NetDisco para encontrar portas de switch com mais endereços MAC conectados do que o esperado. Não impediria automaticamente que um WAP desonesto fosse apresentado à rede, mas permitiria que você encontrasse um após o fato.

Se for esperado que o equipamento conectado às suas portas de switch permaneça estático, a limitação de endereço MAC (com violações configuradas para reduzir a porta administrativamente) poderá impedir que qualquer dispositivo não autorizado (não apenas WAPs) seja conectado.

vitisimus
fonte
11
endereço MAC pegajoso é uma implementação do mundo real.
MDMoore313
4
  • Somente se o AP estiver no modo de ponte, você poderá capturá-lo com segurança de porta.

  • Limitar O número de endereços MAC não ajudará, caso o ponto de acesso rouge também esteja configurado como um "roteador sem fio"

  • A espionagem DHCP é útil, pois ela captura o AP sem fio, conectado ao contrário, ou seja, a porta LAN dos dispositivos rogeu com DHCP ativado está conectada à sua rede, a espionagem DHCP reduzirá o tráfego.

  • Com um orçamento mínimo, a espionagem de DHCP é a minha única opção, apenas espero até que um usuário seja burro o suficiente para conectar o seu AP de trás para frente ... então eu vou caçar :)

hyussuf
fonte
3

Pessoalmente, se a rede é na maioria das vezes uma loja da Cisco, significa que pelo menos sua camada de acesso está configurada com os comutadores da Cisco; Eu consideraria a segurança da porta e o DHCP Snooping como uma maneira de proteger contra esse tipo de problema. Definir um máximo de 1 endereço MAC em todas as portas de acesso seria extremo, mas garantiria que apenas 1 dispositivo pudesse aparecer em uma porta de switch por vez. Eu também definiria a porta para desligar se aparecer mais de 1 MAC. Se você decidir permitir mais de 1 MAC, a espionagem DHCP ajudaria, pois a maioria dos roteadores sem fio de nível consumidor introduz o DHCP na sub-rede local quando o usuário final conecta o dispositivo à porta de switch. Nesse ponto, a segurança da porta desligaria a porta do switch assim que o espionagem do DHCP detectar que o ponto de acesso está oferecendo DHCP.

infinisource
fonte
a) o dhcp snooping somente os capturará se eles conectarem o lado da LAN do roteador executando o dhcp na rede. eb) a espionagem dhcp não desligará a porta; simplesmente descarta o tráfego do servidor dhcp em portas não confiáveis. (Eu nunca tive uma porta fechada por dhcp snooping)
Ricky feixe
Você está certo, o DHCP Snooping só os capturará se eles conectarem o lado da LAN do roteador à rede. Eu já vi usuários finais fazerem isso. Agora, o que eu não disse foi que o DHCP Snooping desligaria a porta, eu disse que o Port Security a desligaria.
infinisource
Você disse que "a segurança da porta de ponto desligaria a porta de switch assim que o espionagem DHCP detectar ..." A espionagem DHCP simplesmente interromperá a entrada de respostas na rede e possivelmente interromperá as operações normais (leia-se: servidor desonesto dhcp) É o limite MAC da segurança da porta que ' Matarei a porta uma vez que mais de um dispositivo seja visto na porta. É muito provável que uma transmissão DHCP DISCOVER o desencadeie, mas é uma operação de cliente que a espionagem não bloqueará. O dispositivo terá um endereço da AP, e tentar ir na net ...
Ricky feixe
Ok, eu estou corrigido. Precisa pensar antes de escrever no futuro. Infelizmente, vi onde um usuário final interligou nossa rede com o seu AP sem fio no lado da LAN do dispositivo e você está certo Port Security, não o DHCP Snooping desligou a porta.
infinisource
Pergunta idiota: "Segurança de porta" é porta como porta em um switch, não porta como porta 80 (ou o que você tem), certo?
Ruffin
2

Não esqueça que você também pode executar o 802.1x em portas com fio. O 802.1x pode impedir dispositivos não autorizados e a segurança da porta ajuda a impedir que alguém conecte um switch e opere a porta. Lembre-se de que, mesmo com os melhores controles de rede, você deve tomar medidas no nível do PC ou os usuários simplesmente poderão executar o NAT no PC e ignorar as medidas de segurança da rede.

Anônimo
fonte
1

Como observado, em primeiro lugar, as políticas são importantes. Isso pode parecer um ponto de partida estranho, mas, do ponto de vista corporativo e jurídico, a menos que você defina e distribua a política, se alguém a infringir, pouco poderá fazer. Não adianta trancar a porta se, quando alguém arromba, você não pode fazer nada para detê-la.

E o 802.11X. Você realmente não se importa com o que é o ponto de acesso, legal ou não, desde que ninguém obtenha acesso aos recursos abaixo dele. Se você pode obter o ponto de acesso ou o usuário além dele, para suportar 802.11X, sem aprovação, eles obtêm acesso, mas não podem fazer nada.

Na verdade, achamos isso útil, pois atribuímos diferentes VLANs com base nela. Se você for aprovado, terá acesso à VLAN corporativa; caso contrário, é a rede de anúncios incorporada. Quer assistir aos nossos vídeos promocionais o dia todo, estamos bem com isso.

user500123
fonte
Você quer dizer 802.1X? Nunca houve um grupo de trabalho IEEE 802.11X criado.
generalnetworkerror
0

Prevenir é difícil.

Você pode substituir as portas Ethernet com fio usando o Wi-Fi para todos os dispositivos - eliminando a necessidade de as pessoas configurarem seus próprios pontos de acesso. 802.1X para autenticar e IPsec para proteger a conexão.

A detecção pode ser apenas uma maneira confiável:

Os links sem fio têm alta perda de pacotes e provavelmente variação significativa de atraso. Ao monitorar a perda e o atraso de pacotes, você pode detectar conexões através de pontos de acesso rouge.

philcolbourn
fonte
0

Você pensou em sobrepor sistemas de prevenção de intrusões sem fio (WIPS)?

Os PAs invasores têm várias formas e tamanhos (variando de usb / soft AP aos reais PAs físicos). Você precisa que um sistema possa monitorar o lado aéreo e com fio e correlacionar as informações de ambos os lados da rede para deduzir se uma ameaça está realmente presente. Ele deve ser capaz de vasculhar 100s de Ap e encontrar o que está conectado à sua rede

O Rogue Ap é apenas um tipo de ameaça de wifi, que tal seus clientes de wifi se conectarem a APs externos visíveis no seu escritório. O sistema IDS / IPS com fio não pode proteger totalmente contra esse tipo de ameaça.

Bhupinder Misra
fonte