Abhängig davon, welche Art von Datenverkehr über das Netzwerk übertragen wird, ist es häufig nicht möglich, dass ein Mitarbeiter einen WLAN-Router mitbringt und in Ihrem Netzwerk einrichtet. Dies liegt daran, dass sie häufig nicht oder nur unzureichend gesichert sind und eine Hintertür zum Netzwerk darstellen. Was können Sie tun, um zu verhindern, dass unerwünschte drahtlose Zugriffspunkte in Ihr Netzwerk eingeführt werden?
Antworten:
Die obige Antwort von Lucas ist ein kleiner Ausgangspunkt. Es gibt jedoch zwei oder drei andere Dinge, die berücksichtigt werden müssen. Diese liegen zwar etwas außerhalb des Rahmens der Netzwerktechnik , haben aber sicherlich Auswirkungen auf die Netzwerktechnik und die Sicherheit.
Sie möchten wahrscheinlich auf irgendeine Weise verhindern, dass drahtlose Karten in Unternehmens-Laptops in den Ad-hoc-Modus geschaltet werden. Angenommen, auf den Laptops wird Windows ausgeführt, möchten Sie wahrscheinlich ein Gruppenrichtlinienobjekt verwenden, um nur den Infrastrukturmodus festzulegen. Unter Linux ist eine vollständige Einschränkung schwieriger, aber es gibt auch Möglichkeiten, dies zu tun.
Die Durchsetzung von IPSec ist auch eine gute Idee, insbesondere bei guter Schlüsselverwaltung und vertrauenswürdiger Durchsetzung. Wenn Sie beispielsweise für die Schlüsselverwaltung auf X509-Zertifikate zugreifen können, kann dies verhindern, dass nicht autorisierte Geräte direkt mit dem Rest Ihres Netzwerks kommunizieren. Betrachten Sie das Schlüsselmanagement als einen Kernbestandteil der Infrastruktur. Wenn Sie einen Proxyserver verwenden, können Sie möglicherweise sogar verhindern, dass nicht autorisierte Geräte auf das Internet zugreifen.
Beachten Sie die Einschränkungen Ihrer Bemühungen. Keine dieser Funktionen verhindert, dass eine Person einen ungesicherten drahtlosen Zugriffspunkt einrichten kann, der mit einer USB-Netzwerkkarte verbunden ist, um mit ihrem Computer zu kommunizieren, insbesondere wenn die SSID verborgen ist (dh nicht gesendet wird).
Ich bin nicht sicher, wie ich Probleme weiter eindämmen soll oder ob weitere Paranoia weit hinter dem Punkt unzureichender Renditen liegt.
Zunächst müssen Sie eine Richtlinie erstellen, die die Einführung von Netzwerkgeräten in das Netzwerk verbietet, die nicht im Besitz der IT-Abteilung des Unternehmens sind oder von dieser genehmigt wurden. Erzwingen Sie als Nächstes die Port-Sicherheit, damit unbekannte Mac-Adressen keine Verbindung zu Ihrem Netzwerk herstellen können.
Drittens richten Sie ein separates drahtloses Netzwerk unter Ihrer Kontrolle ein (wenn Sie ihnen das geben, was sie wollen, führen sie mit geringerer Wahrscheinlichkeit unerwünschte Zugriffspunkte ein) (falls möglich und machbar), um mit ihren (mobilen) Geräten auf das Internet zuzugreifen. Diese Zugangspunkte sollten mit PEAP oder ähnlichem gesichert und vorzugsweise in einem separaten Netzwerk ausgeführt werden.
Zuletzt können Sie auch regelmäßige Sicherheitsüberprüfungen mit Tools wie netstumbler durchführen, um unerwünschte Zugriffspunkte in Ihrem Netzwerk zu erkennen und zu verfolgen.
Es besteht auch die Möglichkeit, IPsec über Ihr Netzwerk auszuführen, sodass im Fall, dass jemand einen nicht autorisierten Zugriffspunkt einrichtet, die exponierten "Wellen" nicht gut lesbar sind, wenn jemand am drahtlosen Netzwerk schnüffelt.
Bisher habe ich nur Erfahrungen mit Cisco-Produkten gesammelt, mit denen ich wirklich sprechen kann.
Die WCS-gesteuerten APs (Lightweight und Normal) können erkennen und melden, wann nicht vertrauenswürdige SSIDs auftauchen und wie viele Clients mit ihnen verbunden sind. Wenn Sie Heatmaps eingerichtet haben und über eine anständige Anzahl von Access Points verfügen, haben Sie eine gute Chance, herauszufinden, wo sich der Access Point in der Nähe Ihrer APs befindet. Der einzige Nachteil dabei ist, dass Sie, wenn Sie sich in der Nähe von Bars / Cafés / Studentenwohnheimen / Stadtvierteln befinden, Seiten mit "falschen" SSIDs erwarten, die sich so oft ändern, wie sich Menschen bewegen.
Das WCS kann auch Switchport-Tracing durchführen und Sie warnen, wenn Schurken in Ihr Netzwerk eingesteckt sind. Ich muss noch viel Glück haben, um das zum Laufen zu bringen. Ich hatte ehrlich gesagt nicht viel Zeit, um damit zu spielen. Zumindest in meinem Netzwerk scheint es standardmäßig einige Fehlalarme bei der Funktionsweise der Ablaufverfolgung zu geben. Ohne sicher zu sein, wird meiner Meinung nach nur die OUI des MAC angezeigt, und wenn sie übereinstimmt, erhalten Sie eine Warnung über einen Schurken im Netzwerk.
Schließlich kann das WCS auch Rouge-APs / SSIDs enthalten. Dies geschieht durch Verwendung von Deauth und Aufheben der Zuordnung von Nachrichten zu allen Clients, die mit diesem AP verbunden sind.
Unter dem Gesichtspunkt der Überwachung könnten Sie ein Tool wie NetDisco ausführen , um Switchports mit mehr verbundenen MAC-Adressen als erwartet zu finden. Es würde nicht automatisch verhindern, dass ein betrügerischer WAP in das Netzwerk eingeführt wird, aber Sie könnten einen nachträglich finden.
Wenn zu erwarten ist, dass die an Ihren Switchports angeschlossenen Geräte statisch bleiben, kann die MAC-Adressbeschränkung (bei Verstößen, die so konfiguriert sind, dass der Switchport administrativ deaktiviert wird) verhindern, dass ein nicht autorisiertes Gerät (nicht nur WAPs) angeschlossen wird.
Nur wenn sich der AP im Bridging-Modus befindet, können Sie ihn mit Port-Sicherheit abfangen.
Einschränkung Die Anzahl der MAC-Adressen hilft nicht, falls der Rouge-AP auch als "WLAN-Router" konfiguriert ist.
DHCP-Snooping ist hilfreich, da es den WLAN-Zugriffspunkt erkennt, der rückwärts verbunden ist, dh der LAN-Port der Rogeu-Geräte, für die DHCP aktiviert ist, ist mit Ihrem Netzwerk verbunden. DHCP-Snooping verringert den Datenverkehr.
Mit minimalem Budget ist DHCP-Snooping meine einzige Option, ich warte nur, bis ein Benutzer dumm genug ist, seinen AP rückwärts einzustecken ... dann gehe ich auf die Jagd :)
Wenn das Netzwerk zum größten Teil ein Cisco-Shop ist, bedeutet dies, dass zumindest Ihre Zugriffsebene mit Cisco-Switches eingerichtet wird. Ich würde Port-Sicherheit und DHCP-Snooping als einen Weg betrachten, um sich gegen diese Art von Problem zu schützen. Das Festlegen von maximal 1 MAC-Adresse an allen Access-Ports wäre extrem, würde jedoch sicherstellen, dass jeweils nur 1 Gerät an einem Switchport angezeigt wird. Ich würde auch festlegen, dass der Port heruntergefahren wird, wenn mehr als 1 MAC angezeigt wird. Wenn Sie mehr als 1 MAC zulassen, hilft DHCP-Snooping, da die meisten Consumer-Wireless-Router DHCP in das lokale Subnetz einführen, wenn der Endbenutzer das Gerät an den Switchport anschließt. An diesem Punkt würde die Port-Sicherheit den Switch-Port herunterfahren, sobald DHCP-Snooping feststellt, dass der Access Point DHCP anbietet.
Vergessen Sie nicht, dass Sie 802.1x auch an kabelgebundenen Ports ausführen können. 802.1x kann unbefugte Geräte verhindern, und die Port-Sicherheit verhindert, dass jemand einen Switch anschließt und den Port überwacht. Denken Sie daran, dass Sie auch mit den besten vorhandenen Netzwerkkontrollen Maßnahmen auf PC-Ebene ergreifen müssen, da die Benutzer sonst einfach NAT auf ihrem PC ausführen und Ihre Netzwerksicherheitsmaßnahmen umgehen können.
Wie bereits erwähnt, ist in erster Linie die Politik von Bedeutung. Dies mag als seltsamer Ausgangspunkt erscheinen, aber aus unternehmerischer und rechtlicher Sicht können Sie nur dann etwas tun, wenn Sie die Richtlinie definieren und verbreiten, wenn jemand dagegen verstößt. Es macht keinen Sinn, die Tür zu sichern, wenn jemand einbricht und Sie nichts tun können, um ihn aufzuhalten.
Was ist mit 802.11X. Es ist Ihnen egal, welcher Access Point legal ist oder nicht, solange niemand auf die Ressourcen darunter zugreifen kann. Wenn Sie den Zugriffspunkt oder den Benutzer darüber hinaus dazu bringen können, 802.11X ohne Genehmigung zu unterstützen, erhalten sie Zugriff, können jedoch nichts tun.
Wir finden dies tatsächlich nützlich, da wir basierend darauf verschiedene VLANs zuweisen. Wenn Sie genehmigt wurden, erhalten Sie Zugriff auf das Unternehmens-VLAN. Andernfalls handelt es sich um das integrierte Werbenetzwerk. Möchten Sie den ganzen Tag unsere Werbevideos sehen, sind wir damit einverstanden.
Nessus verfügt über ein Plugin zur Erkennung unerwünschter Zugriffspunkte. Sie können einen Scan ausführen, um regelmäßig nachzuschauen.
http://www.tenable.com/blog/using-nessus-to-discover-rogue-access-points
Prävention ist schwer.
Sie können verkabelte Ethernet-Ports durch die Verwendung von WLAN für alle Geräte ersetzen, ohne dass Benutzer ihre eigenen APs einrichten müssen. 802.1X zur Authentifizierung und IPsec zur Sicherung der Verbindung.
Die Erkennung kann nur auf zuverlässige Weise erfolgen:
Drahtlose Verbindungen weisen einen hohen Paketverlust und wahrscheinlich erhebliche Verzögerungsschwankungen auf. Durch die Überwachung von Paketverlust und -verzögerung können Sie Verbindungen über Rouge Access Points erkennen.
Haben Sie darüber nachgedacht, Wireless Intrusion Prevention-Systeme (WIPS) zu überlagern?
Rogue-APs gibt es in vielen Formen und Größen (von USB / Soft-APs bis hin zu tatsächlichen physischen Rogue-APs). Sie benötigen ein System, das sowohl die Luft- als auch die Kabelseite überwacht und die Informationen von beiden Seiten des Netzwerks miteinander korreliert, um festzustellen, ob tatsächlich eine Bedrohung vorliegt. Es sollte in der Lage sein, 100s von AP zu kämmen und das zu finden, das an Ihr Netzwerk angeschlossen ist
Rogue Ap ist nur eine Art von WLAN-Bedrohung. Wie wäre es, wenn Ihre WLAN-Clients eine Verbindung zu externen APs herstellen, die von Ihrem Büro aus sichtbar sind? Ein verkabeltes IDS / IPS-System kann nicht vollständig vor solchen Bedrohungen schützen.