Tùy thuộc vào loại lưu lượng truy cập qua mạng, nhân viên thường mang theo bộ định tuyến không dây và thiết lập nó vào mạng của bạn. Điều này là do thường, chúng không được bảo mật hoặc kém và đưa ra một cửa hậu vào mạng. Bạn có thể làm gì để ngăn chặn các điểm truy cập không dây lừa đảo được đưa vào mạng của bạn?
Câu trả lời:
Câu trả lời của Lucas ở trên là một chút điểm khởi đầu. Tuy nhiên, có hai hoặc ba điều khác phải được xem xét. Chúng cuối cùng nằm ngoài phạm vi của kỹ thuật mạng , nhưng chắc chắn có tác động đối với kỹ thuật và bảo mật mạng nên chúng sẽ xuất hiện.
Bạn có thể muốn một số cách ngăn chặn thẻ không dây trong máy tính xách tay của công ty khỏi bị chuyển sang chế độ ad hoc. Giả sử máy tính xách tay đang chạy Windows, có lẽ bạn muốn sử dụng GPO để chỉ đặt ở chế độ cơ sở hạ tầng. Đối với Linux, khó hơn để hạn chế hoàn toàn, nhưng cũng có nhiều cách để làm điều này.
Thực thi IPSec cũng là một ý tưởng tốt, đặc biệt là với quản lý khóa tốt và thực thi đáng tin cậy. Ví dụ: nếu bạn có thể truy cập X509 certs để quản lý khóa, điều này có thể ngăn các thiết bị trái phép liên lạc trực tiếp với phần còn lại của mạng của bạn. Xem xét quản lý chính là một phần cốt lõi của cơ sở hạ tầng ở đây. Nếu bạn sử dụng máy chủ proxy, bạn thậm chí có thể chặn các thiết bị trái phép truy cập internet.
Lưu ý những hạn chế của những nỗ lực của bạn. Không ai trong số này ngăn một người thiết lập điểm truy cập không dây không bảo mật được kết nối với USB NIC, cho mục đích duy nhất là giao tiếp với máy tính của họ, đặc biệt là nếu SSID bị ẩn (tức là không phát sóng).
Không chắc chắn làm thế nào để tiếp tục chứa các vấn đề hoặc nếu hoang tưởng xa hơn đã vượt quá điểm trả lại không đủ .....
Trước hết, bạn cần xây dựng chính sách cấm đưa thiết bị mạng vào mạng không thuộc sở hữu hoặc phê duyệt của bộ phận CNTT của công ty. Tiếp theo thực thi bảo mật cổng để các địa chỉ mac không xác định có thể kết nối với mạng của bạn.
Thứ ba thiết lập một mạng không dây riêng dưới sự kiểm soát của bạn (nếu bạn cung cấp cho họ những gì họ muốn thì họ ít có khả năng giới thiệu AP giả mạo) (nếu có thể và khả thi) để truy cập internet bằng thiết bị (di động) của họ. Các điểm truy cập này phải được bảo mật bằng PEAP hoặc tương tự và tốt nhất là chạy trên một mạng riêng.
Cuối cùng, bạn cũng có thể thực hiện quét bảo mật thường xuyên bằng các công cụ như netstumbler để phát hiện và theo dõi các điểm truy cập giả mạo trong mạng của bạn.
Ngoài ra còn có tùy chọn thực hiện IPsec qua mạng của bạn để trong trường hợp ai đó thiết lập AP lừa đảo, "sóng" bị lộ sẽ không thể đọc được trong trường hợp ai đó đánh hơi được mạng không dây.
Tất cả kinh nghiệm của tôi cho đến nay là với các sản phẩm của Cisco vì vậy đó là tất cả những gì tôi thực sự có thể nói chuyện.
Các AP được điều khiển WCS (nhẹ và bình thường) có khả năng phát hiện và báo cáo khi các SSID không đáng tin cậy bật lên và có bao nhiêu khách hàng được kết nối với nó. Nếu bạn có các bản đồ nhiệt được thiết lập và một số lượng điểm truy cập kha khá, bạn sẽ có cơ hội khá cao để có thể tìm ra điểm truy cập gần với các AP của bạn. Mặt trái duy nhất của vấn đề này là nếu bạn ở gần bất kỳ quán bar / quán cà phê / ký túc xá đại học / khu phố nào sẽ thấy các trang SSID "lừa đảo" thay đổi thường xuyên khi mọi người di chuyển.
WCS cũng có khả năng thực hiện một số theo dõi chuyển mạch và cảnh báo bạn nếu các phần mềm được cắm vào mạng của bạn. Tôi vẫn chưa có nhiều may mắn để làm việc này. Tôi thực sự không có nhiều thời gian để chơi với nó. Theo mặc định, ít nhất là trên mạng của tôi, dường như có khá nhiều lỗi tích cực với cách hoạt động của dấu vết. Không cần chắc chắn, tôi tin rằng nó chỉ nhìn vào OUI của MAC và nếu nó phù hợp thì bạn sẽ nhận được cảnh báo về một kẻ lừa đảo trên mạng.
Cuối cùng, WCS cũng có khả năng chứa các AP / SSID. Nó thực hiện bằng cách sử dụng deauth và phân tách các tin nhắn đến bất kỳ máy khách nào được kết nối với AP đó.
Từ quan điểm giám sát, bạn có thể chạy một công cụ như NetDisco để tìm các tổng đài có nhiều địa chỉ MAC được kết nối hơn bạn mong đợi. Nó sẽ không tự động ngăn một Wap lừa đảo được giới thiệu vào mạng, nhưng nó sẽ cho phép bạn tìm thấy một cái sau khi thực tế.
Nếu thiết bị được kết nối với các tổng đài của bạn có thể được giữ nguyên trạng thái tĩnh, việc giới hạn địa chỉ MAC (với các vi phạm được cấu hình để quản lý xuống tổng đài) có thể ngăn chặn mọi thiết bị giả mạo (không chỉ WAP) được kết nối.
Chỉ khi AP ở chế độ bắc cầu, bạn mới có thể bắt được nó với bảo mật cổng.
Giới hạn Số lượng địa chỉ MAC sẽ không giúp ích, trong trường hợp AP rouge cũng được cấu hình là "Bộ định tuyến không dây"
DHCP snooping rất hữu ích, trong đó nó sẽ bắt được AP không dây, được kết nối ngược, tức là cổng LAN của các thiết bị rogeu có bật DHCP được kết nối với mạng của bạn, DHCP snooping sẽ giảm lưu lượng.
Với ngân sách tối thiểu DHCP snooping là lựa chọn duy nhất của tôi, tôi chỉ cần đợi cho đến khi một người dùng đủ ngu ngốc để cắm AP của họ về phía sau ... sau đó tôi đi săn :)
Cá nhân, nếu mạng dành cho hầu hết các cửa hàng của Cisco, có nghĩa là ít nhất lớp truy cập của bạn được thiết lập với các thiết bị chuyển mạch của Cisco; Tôi sẽ xem bảo mật cổng và DHCP Snooping như một cách để bảo vệ chống lại loại vấn đề này. Đặt tối đa 1 địa chỉ MAC trên tất cả các cổng Access sẽ là cực kỳ nhưng sẽ đảm bảo rằng chỉ có 1 thiết bị có thể hiển thị trên một tổng đài tại một thời điểm. Tôi cũng sẽ thiết lập cổng để tắt nếu có hơn 1 MAC xuất hiện. Nếu bạn quyết định cho phép nhiều hơn 1 MAC, DHCP snooping sẽ giúp ích vì hầu hết các Bộ định tuyến không dây cấp tiêu dùng đều giới thiệu DHCP trong mạng con cục bộ khi người dùng cuối cắm thiết bị vào cổng chuyển mạch. Tại thời điểm đó, bảo mật cổng sẽ tắt cổng chuyển mạch khi DHCP snooping phát hiện ra rằng Điểm truy cập đang cung cấp DHCP.
Đừng quên rằng bạn cũng có thể chạy 802.1x trên các cổng có dây. 802.1x có thể ngăn chặn các thiết bị trái phép và bảo mật cổng giúp ngăn người khác kết nối công tắc và điều chỉnh cổng. Hãy nhớ rằng ngay cả khi có các điều khiển mạng tốt nhất, bạn phải thực hiện các biện pháp ở cấp độ PC hoặc người dùng sẽ chỉ có thể chạy NAT trên PC của họ và bỏ qua các biện pháp bảo mật mạng của bạn.
Như đã lưu ý, trước hết, chính sách quan trọng. Điều này có vẻ như là một điểm khởi đầu kỳ lạ, nhưng, từ quan điểm của công ty và pháp lý, trừ khi bạn xác định và phân phối chính sách, nếu ai đó phá vỡ nó, bạn sẽ có thể làm được rất ít. Không có điểm nào trong việc bảo vệ cửa nếu, khi ai đó đột nhập, bạn không thể làm gì để ngăn chặn họ.
Còn 802.11X thì sao. Bạn không thực sự quan tâm đến điểm truy cập là gì, hợp pháp hay không, miễn là không ai có quyền truy cập vào các tài nguyên bên dưới nó. Nếu bạn có thể đưa điểm truy cập hoặc người dùng vượt ra ngoài, để hỗ trợ 802.11X, mà không cần sự chấp thuận, họ sẽ có quyền truy cập, nhưng họ không thể làm gì.
Chúng tôi thực sự thấy điều này hữu ích khi chúng tôi chỉ định các Vlan khác nhau dựa trên nó. Nếu bạn được chấp thuận, bạn sẽ có quyền truy cập vào Vlan của công ty, nếu không, đó là mạng quảng cáo trong bản dựng. Muốn xem video quảng cáo của chúng tôi cả ngày, chúng tôi đồng ý với điều đó.
Nessus có một plugin để phát hiện các AP lừa đảo - bạn có thể kịch bản quét để xem định kỳ.
http://www.tenable.com/blog/USE-nessus-to-discover-rogue-access-point
Phòng bệnh là khó.
Bạn có thể thay thế các cổng Ethernet có dây bằng cách sử dụng WiFi cho tất cả các thiết bị - loại bỏ nhu cầu mọi người thiết lập các AP của riêng họ. 802.1X để xác thực và IPsec để kết nối an toàn.
Phát hiện có thể chỉ là cách đáng tin cậy:
Liên kết không dây có mất gói cao và có thể thay đổi độ trễ đáng kể. Bằng cách theo dõi mất gói và độ trễ, bạn có thể phát hiện các kết nối qua các điểm truy cập.
Bạn đã từng nghĩ đến việc phủ lên các hệ thống ngăn chặn xâm nhập không dây (WIPS) chưa?
AP Rogue có nhiều hình dạng và kích cỡ (từ usb / AP mềm đến AP Rogue vật lý thực tế). Bạn cần một hệ thống có thể giám sát cả phía không khí và có dây và tương quan thông tin từ cả hai phía của mạng để suy luận nếu một mối đe dọa thực sự có mặt. Nó có thể kết hợp 100 giây Ap và tìm ra cái được cắm vào mạng của bạn
Rogue Ap chỉ là một loại mối đe dọa wifi, làm thế nào về các máy khách wifi của bạn kết nối với các AP bên ngoài có thể nhìn thấy từ văn phòng của bạn. Hệ thống IDS / IPS có dây không thể bảo vệ hoàn toàn trước các mối đe dọa này.