В зависимости от того, какой тип трафика идет по сети, зачастую нереально, чтобы сотрудник подключил беспроводной маршрутизатор и настроил его в вашей сети. Это связано с тем, что часто они не защищены или плохо защищены и представляют собой черный ход в сети. Что вы можете сделать, чтобы предотвратить попадание в вашу сеть мошеннических точек доступа?
Ответы:
Ответ Лукаса, приведенный выше, является отправной точкой. Однако есть две или три другие вещи, которые необходимо учитывать. В конечном итоге они оказываются за рамками сетевой инженерии, но, безусловно, влияют на сетевую инженерию и безопасность, так что здесь все.
Возможно, вам нужен какой-то способ предотвращения переключения беспроводных карт на ноутбуках компании в специальный режим. Предполагая, что ноутбуки работают под управлением Windows, вы, вероятно, захотите использовать объект групповой политики только для перехода в режим инфраструктуры. Для Linux сложнее полностью ограничить, но есть способы сделать это тоже.
Применение IPSec также является хорошей идеей, особенно с хорошим управлением ключами и надежным применением. Например, если вы можете обратиться к сертификатам X509 для управления ключами, это может помешать неавторизованным устройствам напрямую взаимодействовать с остальной частью вашей сети. Рассмотрим управление ключами в качестве основной части инфраструктуры здесь. Если вы используете прокси-сервер, вы можете даже блокировать доступ неавторизованных устройств к Интернету.
Обратите внимание на ограничения ваших усилий. Ничто из этого не мешает человеку настроить незащищенную точку беспроводного доступа, подключенную к сетевому адаптеру USB, исключительно для связи с компьютером, особенно если SSID скрыт (то есть не транслируется).
Не уверен, как еще больше сдерживать проблемы или если дальнейшая паранойя уже прошла точку недостаточной отдачи .....
Прежде всего вам необходимо создать политику, запрещающую вводить в сеть сетевое оборудование, которое не принадлежит или не одобрено ИТ-отделом компании. Затем включите защиту порта, чтобы неизвестные mac-адреса не могли подключиться к вашей сети.
В-третьих, настройте отдельную беспроводную сеть под вашим контролем (если вы дадите им то, что они хотят, они с меньшей вероятностью будут использовать мошенническую точку доступа) (если это возможно и возможно) для доступа в Интернет с помощью своих (мобильных) устройств. Эти точки доступа должны быть защищены с помощью PEAP или аналогичных программ и предпочтительно работать в отдельной сети.
Наконец, вы также можете выполнять регулярные проверки безопасности с помощью таких инструментов, как netstumbler, для обнаружения и отслеживания мошеннических точек доступа в вашей сети.
Существует также возможность выполнить IPsec по вашей сети, чтобы в случае, если кто-то настроил мошенническую точку доступа, показанные «волны» не были читаемыми, если кто-то прослушивает беспроводную сеть.
Весь мой опыт до сих пор был с продуктами Cisco, так что это все, о чем я могу говорить.
AP, контролируемые WCS (легкие и обычные), имеют возможность обнаруживать и сообщать о появлении ненадежных идентификаторов SSID и количестве подключенных к нему клиентов. Если у вас настроены тепловые карты и приличное количество точек доступа, у вас есть очень хороший шанс выяснить, где точка доступа находится в непосредственной близости от ваших точек доступа. Единственным недостатком этого является то, что если вы находитесь в непосредственной близости от каких-либо баров / кофеен / студенческих общежитий / районов, ожидайте увидеть страницы с "мошенническими" идентификаторами SSID, которые меняются так же часто, как и люди.
WCS также имеет возможность выполнять некоторую трассировку порта коммутатора и предупреждать вас, если в вашу сеть подключены мошенники. Мне еще очень повезло, чтобы заставить это работать. У меня, честно говоря, не было много времени, чтобы поиграть с ним. По умолчанию, по крайней мере, в моей сети, похоже, что с трассировкой работает довольно много ложных срабатываний. Не ища наверняка, я полагаю, что он смотрит только на OUI MAC, и если он совпадает, вы получаете предупреждение о мошеннике в сети.
Наконец, WCS также имеет возможность содержать AP / SSID румян. Это происходит с помощью деаутов и разъединения сообщений для любых клиентов, которые подключены к этой точке доступа.
С точки зрения мониторинга вы можете запустить такой инструмент, как NetDisco, чтобы найти порты коммутатора с большим количеством подключенных MAC-адресов, чем вы ожидаете. Он не будет автоматически препятствовать внедрению мошеннического WAP в сеть, но позволит вам найти его по факту.
Если ожидается, что оборудование, подключенное к вашим портам коммутации, будет оставаться статическим, ограничение MAC-адресов (с нарушениями, настроенными на административное отключение порта коммутации) может помешать подключению любого мошеннического устройства (не только WAP).
Только если точка доступа находится в режиме моста, вы можете поймать его с безопасностью порта.
Ограничение Количество MAC-адресов не поможет, если точка доступа также настроена как «Беспроводной маршрутизатор».
Отслеживание DHCP полезно в том смысле, что оно перехватит беспроводную точку доступа, подключенную в обратном направлении, т. Е. Порт локальной сети устройств rogeu, для которых включен DHCP, подключен к вашей сети, отслеживание DHCP отбрасывает трафик.
С минимальным бюджетом DHCP Snooping - это моя единственная возможность, я просто жду, пока пользователь не станет достаточно тупым, чтобы подключить свою точку доступа назад ... тогда я пойду на охоту :)
Лично, если сеть по большей части - весь магазин Cisco, то есть, по крайней мере, ваш уровень доступа настроен с коммутаторами Cisco; Я бы посмотрел на безопасность портов и DHCP Snooping как на способ защиты от проблем такого типа. Установка максимум 1 MAC-адреса на всех портах доступа была бы экстремальной, но гарантировала бы, что только одно устройство может одновременно отображаться на порту коммутатора. Я также установил бы отключение порта, если обнаруживается более 1 MAC. Если вы решите разрешить более 1 MAC, отслеживание DHCP поможет, так как большинство беспроводных маршрутизаторов потребительского уровня вводят DHCP в локальную подсеть, когда конечный пользователь подключает устройство к порту коммутатора. В этот момент защита порта отключит порт коммутатора, как только отслеживание DHCP обнаружит, что точка доступа предлагает DHCP.
Не забывайте, что вы также можете запустить 802.1x на проводных портах. 802.1x может предотвратить неавторизованные устройства, а защита портов помогает предотвратить подключение коммутатора и подключение к порту. Помните, что даже при наличии лучших средств контроля сети вы должны принимать меры на уровне ПК, иначе пользователи смогут просто запускать NAT на своих ПК и обходить меры безопасности вашей сети.
Как отмечалось, в первую очередь, политика имеет значение. Это может показаться странной отправной точкой, но с корпоративной и юридической точек зрения, если вы не определяете и не распространяете политику, если кто-то нарушает ее, вы мало что можете сделать. Нет смысла защищать дверь, если, когда кто-то врывается, вы не можете ничего сделать, чтобы остановить их.
Как насчет 802.11X. Вам не важно, что это за точка доступа, легальная или нет, если никто не получает доступ к ресурсам под ней. Если вы можете получить точку доступа или пользователя за ее пределами для поддержки 802.11X без разрешения, они получают доступ, но ничего не могут сделать.
Мы на самом деле считаем это полезным, так как мы назначаем разные VLAN на его основе. Если вы одобрены, вы получите доступ к корпоративной VLAN, в противном случае это встроенная рекламная сеть. Хотите смотреть наши промо-ролики весь день, мы в порядке с этим.
У Nessus есть плагин для обнаружения мошеннических точек доступа - вы можете периодически проверять сценарий сканирования.
http://www.tenable.com/blog/using-nessus-to-discover-rogue-access-points
Профилактика это сложно.
Вы можете заменить проводные порты Ethernet, используя WiFi для всех устройств, что избавляет людей от необходимости устанавливать собственные точки доступа. 802.1X для аутентификации и IPsec для безопасного соединения.
Обнаружение может быть только надежным способом:
Беспроводные каналы имеют высокую потерю пакетов и, вероятно, значительные изменения задержки. Контролируя потерю и задержку пакетов, вы можете обнаружить соединения через точки доступа в рум.
Задумывались ли вы над наложением беспроводных систем предотвращения вторжений (WIPS)?
Разбойные точки доступа бывают разных форм и размеров (от usb / soft AP до реальных физических разбойных точек доступа). Вам нужна система, которая может контролировать как эфирную, так и проводную сторону и сопоставлять информацию с обеих сторон сети, чтобы определить, существует ли угроза на самом деле. Он должен быть в состоянии прочесать сотню точек доступа и найти тот, который подключен к вашей сети.
Rogue Ap - это всего лишь один из видов угроз Wi-Fi, как насчет ваших клиентов Wi-Fi, подключающихся к внешним точкам доступа, видимым из вашего офиса. Проводная система IDS / IPS не может полностью защитить от подобных угроз.