Làm thế nào để bạn ngăn chặn các điểm truy cập không dây lừa đảo trên mạng?


39

Tùy thuộc vào loại lưu lượng truy cập qua mạng, nhân viên thường mang theo bộ định tuyến không dây và thiết lập nó vào mạng của bạn. Điều này là do thường, chúng không được bảo mật hoặc kém và đưa ra một cửa hậu vào mạng. Bạn có thể làm gì để ngăn chặn các điểm truy cập không dây lừa đảo được đưa vào mạng của bạn?

Câu trả lời:


29

Câu trả lời của Lucas ở trên là một chút điểm khởi đầu. Tuy nhiên, có hai hoặc ba điều khác phải được xem xét. Chúng cuối cùng nằm ngoài phạm vi của kỹ thuật mạng , nhưng chắc chắn có tác động đối với kỹ thuật và bảo mật mạng nên chúng sẽ xuất hiện.

  1. Bạn có thể muốn một số cách ngăn chặn thẻ không dây trong máy tính xách tay của công ty khỏi bị chuyển sang chế độ ad hoc. Giả sử máy tính xách tay đang chạy Windows, có lẽ bạn muốn sử dụng GPO để chỉ đặt ở chế độ cơ sở hạ tầng. Đối với Linux, khó hơn để hạn chế hoàn toàn, nhưng cũng có nhiều cách để làm điều này.

  2. Thực thi IPSec cũng là một ý tưởng tốt, đặc biệt là với quản lý khóa tốt và thực thi đáng tin cậy. Ví dụ: nếu bạn có thể truy cập X509 certs để quản lý khóa, điều này có thể ngăn các thiết bị trái phép liên lạc trực tiếp với phần còn lại của mạng của bạn. Xem xét quản lý chính là một phần cốt lõi của cơ sở hạ tầng ở đây. Nếu bạn sử dụng máy chủ proxy, bạn thậm chí có thể chặn các thiết bị trái phép truy cập internet.

  3. Lưu ý những hạn chế của những nỗ lực của bạn. Không ai trong số này ngăn một người thiết lập điểm truy cập không dây không bảo mật được kết nối với USB NIC, cho mục đích duy nhất là giao tiếp với máy tính của họ, đặc biệt là nếu SSID bị ẩn (tức là không phát sóng).

Không chắc chắn làm thế nào để tiếp tục chứa các vấn đề hoặc nếu hoang tưởng xa hơn đã vượt quá điểm trả lại không đủ .....


3
+1 để vô hiệu hóa chế độ Ad-hoc, thật dễ dàng bỏ lỡ rằng các thiết bị được quản lý của riêng bạn có thể bị biến thành các AP lừa đảo.
MDMoore313

2
@ MDMoore313: STA Ad-Hoc không phải là AP.
BatchyX

@BatchyX đó là sự thật, sai lầm của tôi.
MDMoore313

Tôi không nghĩ người ta cũng có thể chạy AP trên Windows. Một người có thể trên Linux nếu thẻ không dây và trình điều khiển hỗ trợ mặc dù. Vì vậy, đó là một điều nữa trong danh sách kiểm tra Linux .....
Chris Travers

1
@ChrisTravers: Có, bạn cũng có thể, hoạt động tốt. Xem virtualrouter.codeplex.com , trong số những người khác
erict

14

Trước hết, bạn cần xây dựng chính sách cấm đưa thiết bị mạng vào mạng không thuộc sở hữu hoặc phê duyệt của bộ phận CNTT của công ty. Tiếp theo thực thi bảo mật cổng để các địa chỉ mac không xác định có thể kết nối với mạng của bạn.

Thứ ba thiết lập một mạng không dây riêng dưới sự kiểm soát của bạn (nếu bạn cung cấp cho họ những gì họ muốn thì họ ít có khả năng giới thiệu AP giả mạo) (nếu có thể và khả thi) để truy cập internet bằng thiết bị (di động) của họ. Các điểm truy cập này phải được bảo mật bằng PEAP hoặc tương tự và tốt nhất là chạy trên một mạng riêng.

Cuối cùng, bạn cũng có thể thực hiện quét bảo mật thường xuyên bằng các công cụ như netstumbler để phát hiện và theo dõi các điểm truy cập giả mạo trong mạng của bạn.

Ngoài ra còn có tùy chọn thực hiện IPsec qua mạng của bạn để trong trường hợp ai đó thiết lập AP lừa đảo, "sóng" bị lộ sẽ không thể đọc được trong trường hợp ai đó đánh hơi được mạng không dây.


2
Ngoài ra, các nhà cung cấp như Meraki đã tích hợp phát hiện và ngăn chặn AP giả mạo và sẽ chủ động gửi ngắt kết nối buộc người dùng liên kết với các điểm lừa đảo bị mất kết nối và liên kết lại.
SimonJGreen

@SimonJGreen: Phương pháp này sẽ không hoạt động với các trạm và AP có khả năng 802.11w.
BatchyX

@SimonJGreen nhớ rằng FCC đã trao một khoản tiền phạt lớn cho ai đó đã làm điều đó. Cố tình gây rối với comms không dây của người khác là không ổn.
Peter Green

"Thứ ba thiết lập một mạng không dây riêng dưới sự kiểm soát của bạn (nếu bạn cung cấp cho họ những gì họ muốn thì họ ít có khả năng giới thiệu AP lừa đảo) (nếu có thể và khả thi)" Chính xác là như vậy. không ai chịu nỗ lực và chi phí thiết lập AP của riêng họ vì họ hài lòng với những gì đã có sẵn cho họ. Đáp ứng chính xác nhu cầu của họ và bạn sẽ không phải lo lắng về việc họ cố gắng thực hiện không chính xác.
Alexander

8

Tất cả kinh nghiệm của tôi cho đến nay là với các sản phẩm của Cisco vì vậy đó là tất cả những gì tôi thực sự có thể nói chuyện.

Các AP được điều khiển WCS (nhẹ và bình thường) có khả năng phát hiện và báo cáo khi các SSID không đáng tin cậy bật lên và có bao nhiêu khách hàng được kết nối với nó. Nếu bạn có các bản đồ nhiệt được thiết lập và một số lượng điểm truy cập kha khá, bạn sẽ có cơ hội khá cao để có thể tìm ra điểm truy cập gần với các AP của bạn. Mặt trái duy nhất của vấn đề này là nếu bạn ở gần bất kỳ quán bar / quán cà phê / ký túc xá đại học / khu phố nào sẽ thấy các trang SSID "lừa đảo" thay đổi thường xuyên khi mọi người di chuyển.

WCS cũng có khả năng thực hiện một số theo dõi chuyển mạch và cảnh báo bạn nếu các phần mềm được cắm vào mạng của bạn. Tôi vẫn chưa có nhiều may mắn để làm việc này. Tôi thực sự không có nhiều thời gian để chơi với nó. Theo mặc định, ít nhất là trên mạng của tôi, dường như có khá nhiều lỗi tích cực với cách hoạt động của dấu vết. Không cần chắc chắn, tôi tin rằng nó chỉ nhìn vào OUI của MAC và nếu nó phù hợp thì bạn sẽ nhận được cảnh báo về một kẻ lừa đảo trên mạng.

Cuối cùng, WCS cũng có khả năng chứa các AP / SSID. Nó thực hiện bằng cách sử dụng deauth và phân tách các tin nhắn đến bất kỳ máy khách nào được kết nối với AP đó.


2
+1 để phát hiện giả mạo WCS. Tôi đã thực hiện một số công việc với Ruckus, Aerohive và Meraki và mỗi nhà cung cấp đều có phát hiện giả mạo. Điều đặc biệt quan trọng cần lưu ý là nhiều trong số này cũng sẽ nhận ra một thiết bị giả mạo cũng nằm trên dây, đó là thiết bị bạn muốn xử lý trước.
Mạng Canuck

2
Hãy ghi nhớ nước nóng hợp pháp mà bạn có thể tìm thấy nếu bạn kích hoạt ngăn chặn AP trên WCS / WLC trừ khi bạn sở hữu một khuôn viên đủ lớn và có thể hiển thị hợp pháp không có AP nào khác từ các công ty lân cận có thể ở đó và bạn chỉ chứa AP vào môi trường của bạn sẽ không có cách nào khác để đạt được điều đó.
generalnetworkerror

Chế độ ngăn chặn AP trong WLC hoạt động khá tốt. Tôi đã thực hiện nó trên một vài điểm truy cập để giải trí tại nơi làm việc và tôi thực sự đang ngồi ngay bên cạnh ap lừa đảo với máy tính xách tay của tôi (như 10cm) và tôi không thể tham gia mạng. Một người tiêu dùng lừa đảo tôi đã thử nó mà thậm chí không thể hiển thị nó là ssid. Nếu tôi nhớ lại thì nó cũng được khởi động lại sau vài phút
knuckseh

6

Từ quan điểm giám sát, bạn có thể chạy một công cụ như NetDisco để tìm các tổng đài có nhiều địa chỉ MAC được kết nối hơn bạn mong đợi. Nó sẽ không tự động ngăn một Wap lừa đảo được giới thiệu vào mạng, nhưng nó sẽ cho phép bạn tìm thấy một cái sau khi thực tế.

Nếu thiết bị được kết nối với các tổng đài của bạn có thể được giữ nguyên trạng thái tĩnh, việc giới hạn địa chỉ MAC (với các vi phạm được cấu hình để quản lý xuống tổng đài) có thể ngăn chặn mọi thiết bị giả mạo (không chỉ WAP) được kết nối.


1
địa chỉ mac dính là một thực hiện thế giới thực.
MDMoore313

4
  • Chỉ khi AP ở chế độ bắc cầu, bạn mới có thể bắt được nó với bảo mật cổng.

  • Giới hạn Số lượng địa chỉ MAC sẽ không giúp ích, trong trường hợp AP rouge cũng được cấu hình là "Bộ định tuyến không dây"

  • DHCP snooping rất hữu ích, trong đó nó sẽ bắt được AP không dây, được kết nối ngược, tức là cổng LAN của các thiết bị rogeu có bật DHCP được kết nối với mạng của bạn, DHCP snooping sẽ giảm lưu lượng.

  • Với ngân sách tối thiểu DHCP snooping là lựa chọn duy nhất của tôi, tôi chỉ cần đợi cho đến khi một người dùng đủ ngu ngốc để cắm AP của họ về phía sau ... sau đó tôi đi săn :)


3

Cá nhân, nếu mạng dành cho hầu hết các cửa hàng của Cisco, có nghĩa là ít nhất lớp truy cập của bạn được thiết lập với các thiết bị chuyển mạch của Cisco; Tôi sẽ xem bảo mật cổng và DHCP Snooping như một cách để bảo vệ chống lại loại vấn đề này. Đặt tối đa 1 địa chỉ MAC trên tất cả các cổng Access sẽ là cực kỳ nhưng sẽ đảm bảo rằng chỉ có 1 thiết bị có thể hiển thị trên một tổng đài tại một thời điểm. Tôi cũng sẽ thiết lập cổng để tắt nếu có hơn 1 MAC xuất hiện. Nếu bạn quyết định cho phép nhiều hơn 1 MAC, DHCP snooping sẽ giúp ích vì hầu hết các Bộ định tuyến không dây cấp tiêu dùng đều giới thiệu DHCP trong mạng con cục bộ khi người dùng cuối cắm thiết bị vào cổng chuyển mạch. Tại thời điểm đó, bảo mật cổng sẽ tắt cổng chuyển mạch khi DHCP snooping phát hiện ra rằng Điểm truy cập đang cung cấp DHCP.


a) dhcp snooping sẽ chỉ bắt chúng nếu chúng cắm phía lan của bộ định tuyến đang chạy dhcp vào mạng. và b) dhcp rình mò sẽ không đóng cổng; nó chỉ đơn giản là giảm lưu lượng máy chủ dhcp trên các cổng không tin cậy. (Tôi chưa bao giờ tắt cổng bởi dhcp rình mò)
Ricky Beam

Bạn nói đúng, DHCP Snooping sẽ chỉ bắt chúng nếu chúng cắm phía lan của bộ định tuyến vào mạng. Tôi đã thấy người dùng cuối làm điều này. Bây giờ điều tôi không nói là DHCP Snooping sẽ đóng cổng, tôi đã nói rằng Port Security sẽ tắt nó.
infinisource

Bạn đã nói " bảo mật cổng điểm sẽ tắt cổng chuyển mạch khi DHCP snooping phát hiện ..." DHCP snooping sẽ chỉ đơn giản dừng các câu trả lời vào mạng và có thể làm gián đoạn các hoạt động bình thường (đọc: máy chủ dhcp lừa đảo) Đó là giới hạn MAC của bảo mật cổng đó ' Sẽ giết cổng một khi nhiều thiết bị được nhìn thấy trên cổng. Rất có thể một chương trình phát sóng DHCP DISCOVER sẽ kích hoạt nó, nhưng đó là một ứng dụng khách mà việc rình mò sẽ không chặn. Thiết bị sẽ nhận được một địa chỉ từ AP và cố gắng truy cập mạng ...
Ricky Beam

Ok tôi đứng sửa. Cần suy nghĩ trước khi viết trong tương lai. Thật không may, tôi đã thấy nơi một người dùng cuối kết nối mạng của chúng tôi với AP không dây của mình trên mạng LAN của thiết bị và bạn bảo mật Cổng, chứ không phải DHCP Snooping đóng cổng.
infinisource

Câu hỏi ngớ ngẩn: "Bảo mật cổng" là port-as-in-port-on-a-switch, không phải port-as-in-port-80 [-hoặc bạn có gì], phải không?
ruffin

2

Đừng quên rằng bạn cũng có thể chạy 802.1x trên các cổng có dây. 802.1x có thể ngăn chặn các thiết bị trái phép và bảo mật cổng giúp ngăn người khác kết nối công tắc và điều chỉnh cổng. Hãy nhớ rằng ngay cả khi có các điều khiển mạng tốt nhất, bạn phải thực hiện các biện pháp ở cấp độ PC hoặc người dùng sẽ chỉ có thể chạy NAT trên PC của họ và bỏ qua các biện pháp bảo mật mạng của bạn.


1

Như đã lưu ý, trước hết, chính sách quan trọng. Điều này có vẻ như là một điểm khởi đầu kỳ lạ, nhưng, từ quan điểm của công ty và pháp lý, trừ khi bạn xác định và phân phối chính sách, nếu ai đó phá vỡ nó, bạn sẽ có thể làm được rất ít. Không có điểm nào trong việc bảo vệ cửa nếu, khi ai đó đột nhập, bạn không thể làm gì để ngăn chặn họ.

Còn 802.11X thì sao. Bạn không thực sự quan tâm đến điểm truy cập là gì, hợp pháp hay không, miễn là không ai có quyền truy cập vào các tài nguyên bên dưới nó. Nếu bạn có thể đưa điểm truy cập hoặc người dùng vượt ra ngoài, để hỗ trợ 802.11X, mà không cần sự chấp thuận, họ sẽ có quyền truy cập, nhưng họ không thể làm gì.

Chúng tôi thực sự thấy điều này hữu ích khi chúng tôi chỉ định các Vlan khác nhau dựa trên nó. Nếu bạn được chấp thuận, bạn sẽ có quyền truy cập vào Vlan của công ty, nếu không, đó là mạng quảng cáo trong bản dựng. Muốn xem video quảng cáo của chúng tôi cả ngày, chúng tôi đồng ý với điều đó.


Bạn có nghĩa là 802.1X? Chưa bao giờ có một nhóm làm việc IEEE 802.11X được tạo ra.
generalnetworkerror


0

Phòng bệnh là khó.

Bạn có thể thay thế các cổng Ethernet có dây bằng cách sử dụng WiFi cho tất cả các thiết bị - loại bỏ nhu cầu mọi người thiết lập các AP của riêng họ. 802.1X để xác thực và IPsec để kết nối an toàn.

Phát hiện có thể chỉ là cách đáng tin cậy:

Liên kết không dây có mất gói cao và có thể thay đổi độ trễ đáng kể. Bằng cách theo dõi mất gói và độ trễ, bạn có thể phát hiện các kết nối qua các điểm truy cập.


0

Bạn đã từng nghĩ đến việc phủ lên các hệ thống ngăn chặn xâm nhập không dây (WIPS) chưa?

AP Rogue có nhiều hình dạng và kích cỡ (từ usb / AP mềm đến AP Rogue vật lý thực tế). Bạn cần một hệ thống có thể giám sát cả phía không khí và có dây và tương quan thông tin từ cả hai phía của mạng để suy luận nếu một mối đe dọa thực sự có mặt. Nó có thể kết hợp 100 giây Ap và tìm ra cái được cắm vào mạng của bạn

Rogue Ap chỉ là một loại mối đe dọa wifi, làm thế nào về các máy khách wifi của bạn kết nối với các AP bên ngoài có thể nhìn thấy từ văn phòng của bạn. Hệ thống IDS / IPS có dây không thể bảo vệ hoàn toàn trước các mối đe dọa này.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.