Wie können Sie unerwünschte drahtlose Zugriffspunkte in einem Netzwerk verhindern?

39

Abhängig davon, welche Art von Datenverkehr über das Netzwerk übertragen wird, ist es häufig nicht möglich, dass ein Mitarbeiter einen WLAN-Router mitbringt und in Ihrem Netzwerk einrichtet. Dies liegt daran, dass sie häufig nicht oder nur unzureichend gesichert sind und eine Hintertür zum Netzwerk darstellen. Was können Sie tun, um zu verhindern, dass unerwünschte drahtlose Zugriffspunkte in Ihr Netzwerk eingeführt werden?

Lucas Kauffman
quelle

Antworten:

29

Die obige Antwort von Lucas ist ein kleiner Ausgangspunkt. Es gibt jedoch zwei oder drei andere Dinge, die berücksichtigt werden müssen. Diese liegen zwar etwas außerhalb des Rahmens der Netzwerktechnik , haben aber sicherlich Auswirkungen auf die Netzwerktechnik und die Sicherheit.

  1. Sie möchten wahrscheinlich auf irgendeine Weise verhindern, dass drahtlose Karten in Unternehmens-Laptops in den Ad-hoc-Modus geschaltet werden. Angenommen, auf den Laptops wird Windows ausgeführt, möchten Sie wahrscheinlich ein Gruppenrichtlinienobjekt verwenden, um nur den Infrastrukturmodus festzulegen. Unter Linux ist eine vollständige Einschränkung schwieriger, aber es gibt auch Möglichkeiten, dies zu tun.

  2. Die Durchsetzung von IPSec ist auch eine gute Idee, insbesondere bei guter Schlüsselverwaltung und vertrauenswürdiger Durchsetzung. Wenn Sie beispielsweise für die Schlüsselverwaltung auf X509-Zertifikate zugreifen können, kann dies verhindern, dass nicht autorisierte Geräte direkt mit dem Rest Ihres Netzwerks kommunizieren. Betrachten Sie das Schlüsselmanagement als einen Kernbestandteil der Infrastruktur. Wenn Sie einen Proxyserver verwenden, können Sie möglicherweise sogar verhindern, dass nicht autorisierte Geräte auf das Internet zugreifen.

  3. Beachten Sie die Einschränkungen Ihrer Bemühungen. Keine dieser Funktionen verhindert, dass eine Person einen ungesicherten drahtlosen Zugriffspunkt einrichten kann, der mit einer USB-Netzwerkkarte verbunden ist, um mit ihrem Computer zu kommunizieren, insbesondere wenn die SSID verborgen ist (dh nicht gesendet wird).

Ich bin nicht sicher, wie ich Probleme weiter eindämmen soll oder ob weitere Paranoia weit hinter dem Punkt unzureichender Renditen liegt.

Chris Travers
quelle
3
+1 zum Deaktivieren des Ad-hoc-Modus ist es leicht zu übersehen, dass Ihre eigenen verwalteten Geräte in unerwünschte Zugriffspunkte umgewandelt werden können.
MDMoore313
2
@ MDMoore313: Eine Ad-Hoc-STA ist kein AP.
BatchyX
@ BatchyX das stimmt, mein Fehler.
MDMoore313
Ich glaube nicht, dass man einen AP auch unter Windows betreiben kann. Man kann unter Linux, wenn die WLAN-Karte und der Treiber dies unterstützen. Das ist also noch eine Sache auf der Linux-Checkliste ...
Chris Travers
1
@ ChrisTravers: Ja, du kannst, funktioniert auch gut. Siehe virtualrouter.codeplex.com unter anderem
EricT
14

Zunächst müssen Sie eine Richtlinie erstellen, die die Einführung von Netzwerkgeräten in das Netzwerk verbietet, die nicht im Besitz der IT-Abteilung des Unternehmens sind oder von dieser genehmigt wurden. Erzwingen Sie als Nächstes die Port-Sicherheit, damit unbekannte Mac-Adressen keine Verbindung zu Ihrem Netzwerk herstellen können.

Drittens richten Sie ein separates drahtloses Netzwerk unter Ihrer Kontrolle ein (wenn Sie ihnen das geben, was sie wollen, führen sie mit geringerer Wahrscheinlichkeit unerwünschte Zugriffspunkte ein) (falls möglich und machbar), um mit ihren (mobilen) Geräten auf das Internet zuzugreifen. Diese Zugangspunkte sollten mit PEAP oder ähnlichem gesichert und vorzugsweise in einem separaten Netzwerk ausgeführt werden.

Zuletzt können Sie auch regelmäßige Sicherheitsüberprüfungen mit Tools wie netstumbler durchführen, um unerwünschte Zugriffspunkte in Ihrem Netzwerk zu erkennen und zu verfolgen.

Es besteht auch die Möglichkeit, IPsec über Ihr Netzwerk auszuführen, sodass im Fall, dass jemand einen nicht autorisierten Zugriffspunkt einrichtet, die exponierten "Wellen" nicht gut lesbar sind, wenn jemand am drahtlosen Netzwerk schnüffelt.

Lucas Kauffman
quelle
2
Darüber hinaus haben Anbieter wie Meraki die Erkennung und Unterdrückung unerwünschter Zugriffspunkte integriert und senden aktiv Verbindungsabbrüche, wodurch Benutzer, die mit unerwünschten Punkten in Verbindung stehen, gezwungen werden, die Verbindung zu verlieren und sich erneut zuzuordnen.
SimonJGreen
@SimonJGreen: Diese Methode funktioniert nicht mit 802.11w-fähigen Stationen und AP.
BatchyX
@SimonJGreen Denken Sie daran, dass die FCC jemandem, der das getan hat, eine hohe Geldbuße ausgehändigt hat. Absichtlich mit den drahtlosen Kommunikationen anderer Leute herumzuspielen ist nicht in Ordnung.
Peter Green
"Richten Sie drittens ein separates drahtloses Netzwerk unter Ihrer Kontrolle ein (wenn Sie ihnen das geben, was sie wollen, führen sie mit geringerer Wahrscheinlichkeit unerwünschte Zugriffspunkte ein) (falls möglich und machbar)." Genau dies. Niemand ist bemüht und teuer, seinen eigenen Zugangspunkt einzurichten, weil er mit dem zufrieden ist, was ihm bereits zur Verfügung steht. Erfüllen Sie ihre Bedürfnisse richtig und Sie müssen sich keine Sorgen machen, dass sie versuchen, es falsch zu machen.
Alexander
8

Bisher habe ich nur Erfahrungen mit Cisco-Produkten gesammelt, mit denen ich wirklich sprechen kann.

Die WCS-gesteuerten APs (Lightweight und Normal) können erkennen und melden, wann nicht vertrauenswürdige SSIDs auftauchen und wie viele Clients mit ihnen verbunden sind. Wenn Sie Heatmaps eingerichtet haben und über eine anständige Anzahl von Access Points verfügen, haben Sie eine gute Chance, herauszufinden, wo sich der Access Point in der Nähe Ihrer APs befindet. Der einzige Nachteil dabei ist, dass Sie, wenn Sie sich in der Nähe von Bars / Cafés / Studentenwohnheimen / Stadtvierteln befinden, Seiten mit "falschen" SSIDs erwarten, die sich so oft ändern, wie sich Menschen bewegen.

Das WCS kann auch Switchport-Tracing durchführen und Sie warnen, wenn Schurken in Ihr Netzwerk eingesteckt sind. Ich muss noch viel Glück haben, um das zum Laufen zu bringen. Ich hatte ehrlich gesagt nicht viel Zeit, um damit zu spielen. Zumindest in meinem Netzwerk scheint es standardmäßig einige Fehlalarme bei der Funktionsweise der Ablaufverfolgung zu geben. Ohne sicher zu sein, wird meiner Meinung nach nur die OUI des MAC angezeigt, und wenn sie übereinstimmt, erhalten Sie eine Warnung über einen Schurken im Netzwerk.

Schließlich kann das WCS auch Rouge-APs / SSIDs enthalten. Dies geschieht durch Verwendung von Deauth und Aufheben der Zuordnung von Nachrichten zu allen Clients, die mit diesem AP verbunden sind.

Mike
quelle
2
+1 für WCS-Schurkenerkennung. Ich habe mit Ruckus, Aerohive und Meraki zusammengearbeitet, und jeder Anbieter hat eine Schurkenerkennung eingerichtet. Es ist besonders wichtig zu beachten, dass viele von diesen auch ein Schurkengerät erkennen, das sich ebenfalls auf dem Kabel befindet. Dies sind die Geräte, die Sie zuerst ansprechen möchten.
Network Canuck
2
Denken Sie daran, in welchem ​​legalen Heißwasser Sie sich befinden können, wenn Sie die AP-Eindämmung in WCS / WLC aktivieren, es sei denn, Sie besitzen einen ausreichend großen Campus und können legal nachweisen, dass keine anderen APs von benachbarten Unternehmen vorhanden sind und Sie nur APs mitbringen in Ihre Umgebung, die keinen anderen Weg haben würde, dorthin zu gelangen.
Generalnetworkerror
Der AP-Containment-Modus im WLC funktioniert recht gut. Ich habe es auf ein paar Access Points gemacht, um Spaß am Arbeitsplatz zu haben, und ich saß buchstäblich direkt neben der Schurken-App mit meinem Laptop (etwa 10 cm entfernt) und konnte mich nicht mit dem Netzwerk verbinden. Ein Verbraucher-Schurke, mit dem ich es ausprobiert habe, konnte es nicht einmal ssid anzeigen. Wenn ich mich erinnere, wurde es auch nach ein paar Minuten neu gestartet
knotseh
6

Unter dem Gesichtspunkt der Überwachung könnten Sie ein Tool wie NetDisco ausführen , um Switchports mit mehr verbundenen MAC-Adressen als erwartet zu finden. Es würde nicht automatisch verhindern, dass ein betrügerischer WAP in das Netzwerk eingeführt wird, aber Sie könnten einen nachträglich finden.

Wenn zu erwarten ist, dass die an Ihren Switchports angeschlossenen Geräte statisch bleiben, kann die MAC-Adressbeschränkung (bei Verstößen, die so konfiguriert sind, dass der Switchport administrativ deaktiviert wird) verhindern, dass ein nicht autorisiertes Gerät (nicht nur WAPs) angeschlossen wird.

Vitisimus
quelle
1
mac address sticky ist eine echte Implementierung.
MDMoore313
4
  • Nur wenn sich der AP im Bridging-Modus befindet, können Sie ihn mit Port-Sicherheit abfangen.

  • Einschränkung Die Anzahl der MAC-Adressen hilft nicht, falls der Rouge-AP auch als "WLAN-Router" konfiguriert ist.

  • DHCP-Snooping ist hilfreich, da es den WLAN-Zugriffspunkt erkennt, der rückwärts verbunden ist, dh der LAN-Port der Rogeu-Geräte, für die DHCP aktiviert ist, ist mit Ihrem Netzwerk verbunden. DHCP-Snooping verringert den Datenverkehr.

  • Mit minimalem Budget ist DHCP-Snooping meine einzige Option, ich warte nur, bis ein Benutzer dumm genug ist, seinen AP rückwärts einzustecken ... dann gehe ich auf die Jagd :)

hyussuf
quelle
3

Wenn das Netzwerk zum größten Teil ein Cisco-Shop ist, bedeutet dies, dass zumindest Ihre Zugriffsebene mit Cisco-Switches eingerichtet wird. Ich würde Port-Sicherheit und DHCP-Snooping als einen Weg betrachten, um sich gegen diese Art von Problem zu schützen. Das Festlegen von maximal 1 MAC-Adresse an allen Access-Ports wäre extrem, würde jedoch sicherstellen, dass jeweils nur 1 Gerät an einem Switchport angezeigt wird. Ich würde auch festlegen, dass der Port heruntergefahren wird, wenn mehr als 1 MAC angezeigt wird. Wenn Sie mehr als 1 MAC zulassen, hilft DHCP-Snooping, da die meisten Consumer-Wireless-Router DHCP in das lokale Subnetz einführen, wenn der Endbenutzer das Gerät an den Switchport anschließt. An diesem Punkt würde die Port-Sicherheit den Switch-Port herunterfahren, sobald DHCP-Snooping feststellt, dass der Access Point DHCP anbietet.

infinisource
quelle
a) dhcp snooping erkennt sie nur, wenn sie die LAN-Seite des Routers, auf dem dhcp ausgeführt wird, mit dem Netzwerk verbinden. und b) dhcp-Snooping schließt den Port nicht; Der DHCP-Serververkehr wird einfach auf nicht vertrauenswürdigen Ports gelöscht. (Ich hatte noch nie einen Port durch DHCP-Snooping geschlossen)
Ricky Beam
Sie haben Recht, DHCP Snooping erkennt sie nur, wenn sie die LAN-Seite des Routers mit dem Netzwerk verbinden. Ich habe gesehen, wie Endbenutzer dies getan haben. Jetzt habe ich nicht gesagt, dass DHCP-Snooping den Port herunterfahren würde. Ich habe gesagt, dass Port Security ihn herunterfahren würde.
Infinisource
Sie sagten, " Punkt-Port-Sicherheit würde den Switch-Port herunterfahren, sobald DHCP-Snooping erkennt ..." DHCP-Snooping verhindert einfach, dass die Antworten in das Netzwerk gelangen und möglicherweise den normalen Betrieb stören (lesen Sie: Rogue DHCP-Server). lch beende den Port, sobald mehr als ein Gerät auf dem Port zu sehen ist. Es ist höchstwahrscheinlich eine DHCP DISCOVER-Übertragung, die sie auslöst, aber dies ist eine Client- Operation, die durch Snooping nicht blockiert wird. Das Gerät erhält eine Adresse vom AP und versucht, ins Netz zu gehen ...
Ricky Beam,
Ok ich stehe korrigiert. Denken Sie nach, bevor Sie in Zukunft schreiben. Leider habe ich gesehen, wo ein Endbenutzer unser Netzwerk mit seinem WLAN-Zugangspunkt auf der LAN-Seite seines Geräts überbrückt hat und Sie haben Recht, Port Security, nicht DHCP Snooping, hat den Port heruntergefahren.
Infinisource
Dumme Frage: "Port-Sicherheit" ist Port-als-in-Port-auf-einem-Switch, nicht Port-als-in-Port-80 [-oder was haben Sie], richtig?
Ruffin
2

Vergessen Sie nicht, dass Sie 802.1x auch an kabelgebundenen Ports ausführen können. 802.1x kann unbefugte Geräte verhindern, und die Port-Sicherheit verhindert, dass jemand einen Switch anschließt und den Port überwacht. Denken Sie daran, dass Sie auch mit den besten vorhandenen Netzwerkkontrollen Maßnahmen auf PC-Ebene ergreifen müssen, da die Benutzer sonst einfach NAT auf ihrem PC ausführen und Ihre Netzwerksicherheitsmaßnahmen umgehen können.

Anonym
quelle
1

Wie bereits erwähnt, ist in erster Linie die Politik von Bedeutung. Dies mag als seltsamer Ausgangspunkt erscheinen, aber aus unternehmerischer und rechtlicher Sicht können Sie nur dann etwas tun, wenn Sie die Richtlinie definieren und verbreiten, wenn jemand dagegen verstößt. Es macht keinen Sinn, die Tür zu sichern, wenn jemand einbricht und Sie nichts tun können, um ihn aufzuhalten.

Was ist mit 802.11X. Es ist Ihnen egal, welcher Access Point legal ist oder nicht, solange niemand auf die Ressourcen darunter zugreifen kann. Wenn Sie den Zugriffspunkt oder den Benutzer darüber hinaus dazu bringen können, 802.11X ohne Genehmigung zu unterstützen, erhalten sie Zugriff, können jedoch nichts tun.

Wir finden dies tatsächlich nützlich, da wir basierend darauf verschiedene VLANs zuweisen. Wenn Sie genehmigt wurden, erhalten Sie Zugriff auf das Unternehmens-VLAN. Andernfalls handelt es sich um das integrierte Werbenetzwerk. Möchten Sie den ganzen Tag unsere Werbevideos sehen, sind wir damit einverstanden.

user500123
quelle
Meinen Sie damit 802.1X? Es wurde nie eine IEEE 802.11X-Arbeitsgruppe erstellt.
Generalnetworkerror
0

Prävention ist schwer.

Sie können verkabelte Ethernet-Ports durch die Verwendung von WLAN für alle Geräte ersetzen, ohne dass Benutzer ihre eigenen APs einrichten müssen. 802.1X zur Authentifizierung und IPsec zur Sicherung der Verbindung.

Die Erkennung kann nur auf zuverlässige Weise erfolgen:

Drahtlose Verbindungen weisen einen hohen Paketverlust und wahrscheinlich erhebliche Verzögerungsschwankungen auf. Durch die Überwachung von Paketverlust und -verzögerung können Sie Verbindungen über Rouge Access Points erkennen.

Philcolbourn
quelle
0

Haben Sie darüber nachgedacht, Wireless Intrusion Prevention-Systeme (WIPS) zu überlagern?

Rogue-APs gibt es in vielen Formen und Größen (von USB / Soft-APs bis hin zu tatsächlichen physischen Rogue-APs). Sie benötigen ein System, das sowohl die Luft- als auch die Kabelseite überwacht und die Informationen von beiden Seiten des Netzwerks miteinander korreliert, um festzustellen, ob tatsächlich eine Bedrohung vorliegt. Es sollte in der Lage sein, 100s von AP zu kämmen und das zu finden, das an Ihr Netzwerk angeschlossen ist

Rogue Ap ist nur eine Art von WLAN-Bedrohung. Wie wäre es, wenn Ihre WLAN-Clients eine Verbindung zu externen APs herstellen, die von Ihrem Büro aus sichtbar sind? Ein verkabeltes IDS / IPS-System kann nicht vollständig vor solchen Bedrohungen schützen.

Bhupinder Misra
quelle