Wie erkennt man unerwünschte WIFI-Router in einem Netzwerk?

7

Mein Client hat kürzlich seine Netzwerkrichtlinie geändert, sodass jetzt alle WIFI-Router vom Netzwerk ausgeschlossen sind. Sie sagten, sie würden einige Scans durchführen und in der Lage sein, "unerwünschte" WIFI-Router im Netzwerk zu finden.

Wie könnten sie diese WIFI-Router und Access Points erkennen? Sie befinden sich entfernt von den über 100 Niederlassungen / Unternehmensbüros, es handelt sich also definitiv um ein Netzwerk-Tool, und sie laufen nicht mit WIFI-Detektoren oder Ähnlichem herum.

Nur neugierig, wie ich es interessant fand.

networking security wifi Sam Schutte
quelle

Antworten:

5

Wenn sie diese Richtlinie gerade erst implementieren, sagt mein Bauch, dass ihre Bedrohung durch einen Scan nur eine Schreckentaktik ist. Aber ich bin nur zynisch ...

Ein paar Methoden wären

  • Wenn das Gerät ein Router und nicht nur ein Zugangspunkt ist, können sie es in den Routing-Pfaden sehen
  • Hersteller von Netzwerkinfrastrukturgeräten haben Massenblöcke von MAC-Adressen zugewiesen, die sie für ihre Produkte verwenden können, sodass es ziemlich zuverlässig ist, einen Hersteller anhand der MAC-Adresse des Geräts zu bestimmen. Wenn plötzlich ein paar LinkSys oder D-Links auftauchen und die Administratoren wissen, dass sie diese Geräte nicht verwenden ...
  • Sie können in DHCP suchen. Dies ist besonders einfach, wenn das Netzwerk reservierte DHCP-Adressen für Clients verwendet. Alles, was nicht im reservierten Pool ist, ist verdächtig.
Squillman
quelle
4
Wenn sie NAT verwenden, wird dann nicht jeder außerhalb des Rogue-Routers alles innerhalb des Rogue-Routers als eine einzige gültige IP-Adresse sehen? Sie würden nicht einmal sagen können, dass es sich um einen Router handelt (allein per IP)
Tom Ritter
Wie wäre es mit einer gefälschten MAC-Adresse? Überprüfen Sie es über ESN?
Setzamora
1
Linksyses verwenden Mac-Adressen, die Cisco zugewiesen wurden. Es ist ziemlich unwahrscheinlich, dass sie diese nicht verwenden.
Fahad Sadah
7

Viele professionelle Accesspoints wie die von Cisco können nicht nur unerwünschte Accesspoints über die Management-Engines erkennen, mit denen sie verbunden sind. Sie können auch verhindern, dass jemand sie verwendet, indem sie sie mit Disassoziationspaketen und so weiter angreifen. Und natürlich melden Sie gefundene unerwünschte Zugangspunkte sofort und abhängig von der Anzahl der gültigen Zugangspunkte in der Region - führen Sie auch eine etwas nützliche Standorterkennung durch.

Wenn sie bereits eine unterstützte drahtlose Lösung verwenden, was Ihrer Meinung nach die Anzahl der Büros betrifft, würde ich vermuten, dass dies der Fall ist - es wäre nur eine Frage der Aktivierung der Option.


Die Funküberwachungsfunktion verwendet die Funkmessfunktionen von Cisco IOS-APs und Cisco Client-Adaptern, um neue 802.11-APs zu erkennen, die Beacons übertragen. Sowohl Clients als auch APs suchen auf allen Kanälen regelmäßig nach anderen 802.11-Beacon-Frames. Berichte über erkannte Beacons werden an den Radio Manager zurückgesendet, der diese Beacons anhand einer Liste von APs überprüft, von denen bekannt ist, dass sie zur Bereitstellung des drahtlosen Zugriffs berechtigt sind. Ein neu entdeckter AP, der nicht als bekannter autorisierter AP identifiziert werden kann, generiert eine Administratorwarnung.

Quelle

Oskar Duveborn
quelle
1
Interessant. Es gibt keine anderen WIFI-Zugangspunkte im Gebäude (professionelle), daher verwenden sie diese in diesem Fall nicht.
Sam Schutte
Das ist erstaunlich - was ist mit Menschen, die zum Beispiel Internet Sharing auf ihrem Handy verwenden und daraus ein lokales WLAN machen? Ich würde jede Nutzung dieser Nutzung - als Kunde oder Berater - als Eingriff in mein Recht zur Nutzung der Frequenz ohne Lizenz nehmen. Es gab ein Gerichtsverfahren dagegen. Bei MS ist dies so ziemlich erforderlich (Surface verfügt in den Pro-Versionen über keine integrierten SIM-Funktionen), dass eine Menge gültiger Nutzungsszenarien radikal beeinträchtigt werden. Und lassen Sie uns nicht über Dinge wie eine Kamera / Tablet-Verbindung sprechen (über High-End-DSL-Kameras wie die Nikon 7200)
TomTom
2

Ich vermute, dass sie die MAC-Adressen überprüfen, die mit drahtlosen Zugangspunkten verknüpft sind, wie im Blog-Beitrag dieser Jungs beschrieben.

http://barnson.org/node/611

Aaron
quelle
2

Sie könnten ARP-Tabellen überprüfen und sich die Anbieter ansehen oder 1x an allen Switch-Ports aktivieren.

Hält den Access Point nicht unbedingt davon ab, dort zu sein, aber es würde die Leute davon abhalten, das WLAN zu nutzen.

Cisco hat auch die Erkennung unerwünschter Zugriffspunkte in seine neuesten drahtlosen Lösungen integriert. (Ich würde annehmen, dass Aruba es auch tut).

Sclarson
quelle
1

Suchen Sie an Ihrem Router / Ihrer Firewall nach ausgehenden Paketen mit einer niedrigeren TTL als normal. Der Router-Teil des WLAN-Routers senkt den TTL-Wert eines Pakets, wenn es durch das Paket fließt.


quelle
1

Ich würde nur nach einer internen IP-Adresse suchen, die mehr http-Verbindungen hat, die leicht von einem einzelnen Menschen erklärt werden können. Das automatisierte Spiegeln einer Website sollte leicht herauszufiltern sein, da es viel Verkehr zu einer einzelnen Domain gibt. Das sollte einen offensichtlichen externen Zugang zum Unternehmensnetzwerk finden.

Shapr
quelle
0

Ich würde NMAP im intensiven Modus verwenden, um Geräte, die an das LAN angeschlossen sind, gut zu identifizieren. Tatsächlich habe ich dies kürzlich getan, um herauszufinden, wo unsere vorhandenen APs angeschlossen sind, da dies nicht ordnungsgemäß dokumentiert wurde.

Wenn ich kein NMAP verwenden würde, würde ich mich anmelden und die MAC-Adresstabellen der Edge-Switches überprüfen, um Edge-Ports mit mehr als 1 MAC-Adresse zu identifizieren, und dann herausfinden, was los ist.

Mitch Miller
quelle