คุณจะป้องกันจุดเชื่อมต่อไร้สายปลอมบนเครือข่ายได้อย่างไร


39

ขึ้นอยู่กับประเภทของการรับส่งข้อมูลที่เกิดขึ้นบนเครือข่ายมักจะไม่เป็นไปได้ที่พนักงานจะนำเราเตอร์ไร้สายมาติดตั้งในเครือข่ายของคุณ เนื่องจากบ่อยครั้งที่พวกเขาไม่ปลอดภัยหรือไม่ดีและนำเสนอแบ็คดอร์เข้าสู่เครือข่าย คุณสามารถทำอะไรได้บ้างเพื่อป้องกันไม่ให้มีการเปิดใช้งานจุดเชื่อมต่อไร้สายปลอมในเครือข่ายของคุณ

คำตอบ:


29

คำตอบของลูคัสข้างต้นเป็นจุดเริ่มต้นเล็กน้อย อย่างไรก็ตามมีสองหรือสามสิ่งอื่น ๆ ที่ต้องพิจารณา ท้ายนี้ค่อนข้างจะอยู่นอกขอบเขตของวิศวกรรมเครือข่ายแต่แน่นอนว่ามีผลกระทบต่อวิศวกรรมเครือข่ายและความปลอดภัยดังนั้นพวกเขาจึงไปที่นี่

  1. คุณอาจต้องการวิธีป้องกันการ์ดไร้สายในแล็ปท็อปของ บริษัท ไม่ให้เปลี่ยนเป็นโหมดเฉพาะกิจ สมมติว่าแล็ปท็อปกำลังเรียกใช้ Windows คุณอาจต้องการใช้ GPO เพื่อตั้งค่าเป็นโหมดโครงสร้างพื้นฐานเท่านั้น สำหรับ Linux มันยากที่จะ จำกัด อย่างเต็มที่ แต่ก็มีวิธีการเช่นกัน

  2. การบังคับใช้ IPSec เป็นความคิดที่ดีโดยเฉพาะอย่างยิ่งกับการจัดการคีย์ที่ดีและการบังคับใช้ที่เชื่อถือได้ ตัวอย่างเช่นหากคุณสามารถไปที่ X509 certs สำหรับการจัดการคีย์สิ่งนี้สามารถป้องกันไม่ให้อุปกรณ์ที่ไม่ได้รับอนุญาตสื่อสารกับส่วนที่เหลือของเครือข่ายของคุณโดยตรง พิจารณาการจัดการที่สำคัญเป็นส่วนสำคัญของโครงสร้างพื้นฐานที่นี่ หากคุณใช้พร็อกซีเซิร์ฟเวอร์คุณอาจบล็อกอุปกรณ์ที่ไม่ได้รับอนุญาตไม่ให้เข้าถึงอินเทอร์เน็ตได้

  3. จดบันทึกข้อ จำกัด ของความพยายามของคุณ สิ่งเหล่านี้ไม่มีการป้องกันบุคคลจากการตั้งค่าจุดเชื่อมต่อไร้สายที่ไม่ปลอดภัยที่เชื่อมต่อกับ USB NIC เพื่อจุดประสงค์ในการสื่อสารกับคอมพิวเตอร์ของพวกเขาโดยเฉพาะอย่างยิ่งโดยเฉพาะอย่างยิ่งถ้า SSID ถูกซ่อนอยู่ (เช่นไม่ออกอากาศ)

ไม่แน่ใจว่าจะมีปัญหาเพิ่มเติมได้อย่างไรหรือหากมีอาการหวาดระแวงต่อไปจะผ่านจุดที่มีผลตอบแทนไม่เพียงพอ .....


3
+1 สำหรับการปิดใช้งานโหมด Ad-hoc มันง่ายที่จะพลาดว่าอุปกรณ์ที่มีการจัดการของคุณสามารถเปลี่ยนเป็น AP อันธพาลได้
MDMoore313

2
@ MDMoore313: Ad-Hoc STA ไม่ใช่ AP
BatchyX

@BatchyX มันเป็นความผิดพลาดของฉัน
MDMoore313

ฉันไม่คิดว่าจะมีใครสามารถเรียกใช้ AP บน Windows ได้เช่นกัน หนึ่งสามารถบน Linux ถ้าการ์ดไร้สายและไดรเวอร์รองรับมันแม้ว่า เพื่อให้เป็นอีกหนึ่งสิ่งในรายการตรวจสอบลินุกซ์ .....
คริสทราเวอร์

1
@ChrisTravers: ใช่คุณทำได้ดีเกินไป ดูvirtualrouter.codeplex.comและอื่น ๆ
ลบ

14

ก่อนอื่นคุณต้องสร้างนโยบายที่ห้ามนำอุปกรณ์เครือข่ายเข้าสู่เครือข่ายที่ไม่ได้เป็นเจ้าของหรือได้รับอนุมัติจากแผนกไอทีของ บริษัท ถัดไปบังคับใช้การรักษาความปลอดภัยพอร์ตเพื่อให้ที่อยู่ Mac ที่ไม่รู้จักไม่สามารถเชื่อมต่อกับเครือข่ายของคุณ

สามตั้งค่าเครือข่ายไร้สายแยกต่างหากภายใต้การควบคุมของคุณ (ถ้าคุณให้สิ่งที่พวกเขาต้องการพวกเขามีโอกาสน้อยที่จะแนะนำตัวโกง AP) (ถ้าเป็นไปได้และเป็นไปได้) สำหรับการเข้าถึงอินเทอร์เน็ตด้วยอุปกรณ์ (มือถือ) จุดเชื่อมต่อเหล่านี้ควรได้รับการรักษาความปลอดภัยด้วย PEAP หรือที่คล้ายกันและควรรันบนเครือข่ายแยกต่างหาก

สุดท้ายคุณก็สามารถสแกนความปลอดภัยเป็นประจำโดยใช้เครื่องมือเช่น netstumbler เพื่อตรวจจับและติดตามจุดเชื่อมต่ออันธพาลในเครือข่ายของคุณ

นอกจากนี้ยังมีตัวเลือกในการดำเนินการ IPsec ผ่านเครือข่ายของคุณเพื่อให้ในกรณีที่มีคนตั้งค่า AP อันธพาล "คลื่น" ที่เปิดเผยจะไม่สามารถอ่านได้แบบธรรมดาในกรณีที่มีใครบางคนกำลังสูดดมเครือข่ายไร้สาย


2
นอกจากนี้ผู้ขายเช่น Meraki ได้สร้างในการตรวจจับและปราบปราม AP อันธพาลและจะส่งการยกเลิกการเชื่อมต่อแบบบังคับให้ผู้ใช้ที่เชื่อมโยงกับจุดโกงเพื่อทำการเชื่อมต่อและเชื่อมโยงอีกครั้ง
SimonJGreen

@SimonJGreen: วิธีนี้จะไม่ทำงานกับสถานีที่มี 802.11w และ AP
BatchyX

@SimonJGreen จำไว้ว่า FCC ได้ส่งผลดีต่อคนที่ทำเช่นนั้น การจงใจล้อเล่นกับ comms ไร้สายของคนอื่นนั้นไม่เป็นไร
Peter Green

"สามตั้งค่าเครือข่ายไร้สายแยกต่างหากภายใต้การควบคุมของคุณ (ถ้าคุณให้สิ่งที่พวกเขาต้องการพวกเขามีโอกาสน้อยที่จะแนะนำ AP อันธพาล) (ถ้าเป็นไปได้และเป็นไปได้)" สิ่งนี้แน่นอน ไม่มีใครพยายามและเสียค่าใช้จ่ายในการตั้งค่า AP ของตัวเองเพราะพวกเขาพอใจกับสิ่งที่พวกเขามีอยู่แล้ว เติมเต็มความต้องการของพวกเขาให้ถูกต้องและคุณไม่ต้องกังวลเกี่ยวกับพวกเขาที่พยายามทำผิด
Alexander

8

จากประสบการณ์ทั้งหมดที่ฉันได้รับจากผลิตภัณฑ์ของซิสโก้นั่นคือทั้งหมดที่ฉันสามารถพูดได้

AP ที่ควบคุม WCS (เบาและปกติ) มีความสามารถในการตรวจจับและรายงานเมื่อ SSID ที่ไม่น่าเชื่อถือปรากฏขึ้นและจำนวนลูกค้าที่เชื่อมต่อกับมัน หากคุณมีการตั้งค่า heatmaps และจำนวน access point ที่เหมาะสมคุณจะมีโอกาสที่ดีที่จะทราบว่าจุดเชื่อมต่อนั้นอยู่ใกล้กับ AP ของคุณหรือไม่ ข้อเสียเพียงอย่างเดียวคือถ้าคุณอยู่ใกล้กับบาร์ / ร้านกาแฟ / หอพักวิทยาลัย / ละแวกใกล้เคียงคาดหวังที่จะเห็นหน้าเว็บที่มีค่า "โกง" SSIDs ที่เปลี่ยนได้บ่อยเมื่อผู้คนเคลื่อนไหว

WCS ยังมีความสามารถในการติดตามสวิตช์พอร์ตและแจ้งเตือนคุณหากมีการเสียบปลั๊กเข้ากับเครือข่ายของคุณ ฉันยังไม่ได้มีโชคมากในการทำงานนี้ ฉันไม่ได้มีเวลามากมายที่จะเล่นกับมัน ตามค่าเริ่มต้นอย่างน้อยในเครือข่ายของฉันดูเหมือนจะมีข้อผิดพลาดบางประการเกี่ยวกับวิธีการทำงานของการติดตาม ฉันไม่เชื่อว่ามันจะดูที่ OUI ของ MAC และถ้ามันตรงกันคุณก็จะได้รับการแจ้งเตือนเกี่ยวกับตัวโกงในเครือข่าย

สุดท้าย WCS ยังมีความสามารถในการบรรจุ APs / SSID ของ rouge มันทำได้ด้วยการใช้ deauth และยกเลิกการเชื่อมโยงข้อความกับลูกค้าที่เชื่อมต่อกับ AP นั้น


2
+1 สำหรับการตรวจจับปลอม WCS ฉันทำงานกับ Ruckus, Aerohive และ Meraki แล้วและผู้ขายแต่ละรายมีการตรวจจับคนร้าย เป็นสิ่งสำคัญโดยเฉพาะอย่างยิ่งที่จะต้องทราบว่าสิ่งเหล่านี้จำนวนมากจะรู้จักอุปกรณ์โกงที่อยู่ในสายซึ่งเป็นสิ่งที่คุณต้องการที่จะอยู่ก่อน
เครือข่าย Canuck

2
โปรดจำไว้ว่าน้ำร้อนที่ถูกกฎหมายที่คุณสามารถหาได้ด้วยตัวคุณเองถ้าคุณเปิดใช้งานการบรรจุ AP บน WCS / WLC ยกเว้นว่าคุณเป็นเจ้าของมหาวิทยาลัยที่มีขนาดใหญ่พอและสามารถแสดง AP ที่ถูกกฎหมายจาก บริษัท ใกล้เคียงไม่ได้ ในสภาพแวดล้อมของคุณที่จะไม่มีวิธีอื่นเข้าถึง
Generalnetworkerror

โหมดการบรรจุ AP ใน WLC ทำงานได้ค่อนข้างดี ฉันทำมันบนจุดเชื่อมต่อสองสามอันเพื่อความสนุกในที่ทำงานและฉันนั่งอยู่ถัดจากตัวโกงด้วยแล็ปท็อปของฉัน (เช่น 10 ซม.) และฉันไม่สามารถเข้าร่วมเครือข่ายได้ อันธพาลของผู้บริโภคที่ฉันพยายามด้วยไม่สามารถแม้แต่จะแสดงว่ามันเป็น s ถ้าฉันจำได้ว่ามันรี
บูท

6

จากมุมมองการตรวจสอบคุณสามารถเรียกใช้เครื่องมือเช่นNetDiscoเพื่อค้นหา switchports ที่มีที่อยู่ MAC ที่เชื่อมต่อมากกว่าที่คุณคาดหวัง มันจะไม่ป้องกัน WAP อันธพาลไม่ให้ถูกนำเข้าสู่เครือข่ายโดยอัตโนมัติ แต่มันจะช่วยให้คุณสามารถค้นหาเจอได้ในภายหลัง

หากอุปกรณ์ที่เชื่อมต่อกับ switchports ของคุณคาดว่าจะยังคงอยู่การ จำกัด ที่อยู่ MAC (ด้วยการละเมิดที่กำหนดค่าให้ดำเนินการลง switchport) สามารถป้องกันอุปกรณ์โกงใด ๆ (ไม่ใช่แค่ WAP) จากการเชื่อมต่อ


1
mac address stickyเป็นการใช้งานจริง
MDMoore313

4
  • เฉพาะถ้า AP อยู่ในโหมดเชื่อมต่อคุณสามารถตรวจจับได้ด้วยการรักษาความปลอดภัยพอร์ต

  • การ จำกัด จำนวนที่อยู่ MAC จะไม่ช่วยในกรณีที่เราเตอร์ AP ถูกกำหนดค่าเป็น "เราเตอร์ไร้สาย"

  • การสอดแนม DHCP มีประโยชน์ในการที่จะจับ Wireless AP ที่เชื่อมต่ออยู่ด้านหลังนั่นคือพอร์ต LAN ของอุปกรณ์ rogeu ที่เปิดใช้งาน DHCP เชื่อมต่อกับเครือข่ายของคุณการดักฟัง DHCP จะลดทราฟฟิก

  • ด้วยงบประมาณที่น้อยที่สุดการสอดแนม DHCP เป็นตัวเลือกเดียวของฉันฉันแค่รอจนกว่าผู้ใช้จะโง่พอที่จะเสียบ AP ของพวกเขาในด้านหลัง ... จากนั้นฉันไปล่าสัตว์ :)


3

โดยส่วนตัวถ้าเครือข่ายส่วนใหญ่เป็นร้านค้าของ Cisco ทั้งหมดหมายความว่าอย่างน้อยเลเยอร์การเข้าถึงของคุณจะถูกติดตั้งด้วยสวิตช์ของ Cisco ฉันจะดูที่การรักษาความปลอดภัยพอร์ตและ DHCP Snooping เป็นวิธีป้องกันปัญหาประเภทนี้ การตั้งค่าที่อยู่ MAC สูงสุด 1 รายการในพอร์ตการเข้าถึงทั้งหมดจะรุนแรง แต่จะตรวจสอบให้แน่ใจว่ามีเพียง 1 อุปกรณ์เท่านั้นที่สามารถแสดงผลบนสวิตช์ได้ในแต่ละครั้ง ฉันจะตั้งค่าพอร์ตเป็นปิดเครื่องหากมีมากกว่า 1 MAC ปรากฏขึ้น หากคุณตัดสินใจอนุญาตมากกว่า 1 MAC การดักฟัง DHCP จะช่วยได้เนื่องจากเราเตอร์ไร้สายระดับผู้บริโภคส่วนใหญ่แนะนำ DHCP ในซับเน็ตท้องถิ่นเมื่อผู้ใช้ปลายทางเสียบอุปกรณ์เข้ากับสวิตช์พอร์ต ณ จุดนั้นการรักษาความปลอดภัยพอร์ตจะปิดสวิตช์ลงเมื่อการดักฟัง DHCP ตรวจพบว่าจุดเข้าใช้งานนั้นเสนอ DHCP


ก) การสอดแนม dhcp จะจับพวกเขาเฉพาะเมื่อพวกเขาเสียบด้าน LAN ของเราเตอร์ที่รัน dhcp เข้ากับเครือข่าย และ b) การสอดแนม dhcp จะไม่ปิดพอร์ต; มันจะลดทราฟฟิกเซิร์ฟเวอร์ dhcp บนพอร์ตที่ไม่น่าเชื่อถือ (ฉันไม่เคยปิดพอร์ตโดยการสอดแนม dhcp)
Ricky Beam

คุณพูดถูก DHCP Snooping จะจับพวกมันเฉพาะเมื่อพวกเขาเสียบด้าน LAN ของเราเตอร์เข้ากับเครือข่าย ฉันเห็นผู้ใช้ทำสิ่งนี้แล้ว ตอนนี้สิ่งที่ฉันไม่ได้พูดคือ DHCP Snooping จะปิดพอร์ตลงฉันบอกว่า Port Security จะปิดลง
infinisource

คุณบอกว่า "การรักษาความปลอดภัยจุดพอร์ตจะปิดสวิตช์ลงเมื่อตรวจจับการดักฟัง DHCP ... " การดักฟัง DHCP เพียงแค่หยุดคำตอบจากการเข้าสู่เครือข่ายและอาจขัดขวางการทำงานปกติ (อ่าน: เซิร์ฟเวอร์ rogue dhcp) มันเป็นข้อ จำกัด ของ MAC จะฆ่าพอร์ตอีกครั้งเมื่อมีอุปกรณ์มากกว่าหนึ่งรายการปรากฏบนพอร์ต เป็นไปได้มากที่สุดว่าการออกอากาศ DHCP DISCOVER นั้นจะทริกเกอร์ แต่นั่นเป็นตัวเลือกไคลเอ็นต์ที่การสอดแนมจะไม่บล็อก อุปกรณ์จะได้รับที่อยู่จาก AP และลองไปที่เน็ต ...
Ricky Beam

ตกลงฉันยืนแก้ไข ต้องคิดก่อนเขียนในอนาคต น่าเสียดายที่ฉันเห็นว่าผู้ใช้ปลายทางเชื่อมต่อเครือข่ายของเรากับ Wireless AP ของเขาที่ด้าน LAN ของอุปกรณ์ของคุณและคุณมีความปลอดภัยของพอร์ตที่เหมาะสมไม่ใช่ DHCP Snooping ปิดพอร์ตลง
infinisource

คำถามโง่: "ความปลอดภัยของพอร์ต" เป็นพอร์ตแบบพอร์ตเข้า - บน - บน - สวิทช์ไม่ใช่พอร์ต - พอร์ตแบบในพอร์ต 80 [- หรืออะไรที่คุณ] ใช่ไหม?
ruffin

2

อย่าลืมว่าคุณยังสามารถรัน 802.1x บนพอร์ตแบบมีสายได้ 802.1x สามารถป้องกันอุปกรณ์ที่ไม่ได้รับอนุญาตและการรักษาความปลอดภัยพอร์ตช่วยป้องกันไม่ให้ใครบางคนเชื่อมต่อสวิตช์และ tailgating พอร์ต โปรดจำไว้ว่าแม้จะมีการควบคุมเครือข่ายที่ดีที่สุดคุณต้องดำเนินมาตรการในระดับพีซีมิฉะนั้นผู้ใช้จะสามารถเรียกใช้ NAT บนพีซีของตนและข้ามมาตรการรักษาความปลอดภัยเครือข่ายของคุณได้


1

อย่างแรกและสำคัญที่สุดนโยบายมีความสำคัญ สิ่งนี้อาจดูเหมือนเป็นจุดเริ่มต้นที่แปลก แต่จากจุดยืนขององค์กรและกฎหมายถ้าคุณไม่กำหนดและแจกจ่ายนโยบายหากมีคนทำผิดกฎหมายคุณก็สามารถทำได้เพียงเล็กน้อย ไม่มีประเด็นในการรักษาความปลอดภัยประตูถ้าเมื่อมีคนเข้ามาคุณไม่สามารถทำอะไรเพื่อหยุดพวกเขาได้

แล้ว 802.11X ล่ะ คุณไม่สนใจว่าจุดเชื่อมต่อนั้นถูกกฎหมายหรือไม่ตราบใดที่ไม่มีใครสามารถเข้าถึงทรัพยากรด้านล่างได้ หากคุณสามารถรับจุดเข้าใช้งานหรือผู้ใช้เกินกว่านั้นเพื่อรองรับ 802.11X โดยไม่ได้รับอนุญาตพวกเขาจะเข้าถึง แต่พวกเขาไม่สามารถทำอะไรได้

เราพบว่ามีประโยชน์จริง ๆ เมื่อเรากำหนด VLANs ที่แตกต่างกันขึ้นอยู่กับมัน หากคุณได้รับการอนุมัติคุณจะสามารถเข้าถึง VLAN ขององค์กรได้มิฉะนั้นจะเป็นเครือข่ายโฆษณาที่กำลังสร้าง ต้องการดูวิดีโอโปรโมตของเราทุกวันเรายินดีกับสิ่งนั้น


คุณหมายถึง 802.1X หรือเปล่า ไม่เคยมีการสร้างคณะทำงาน IEEE 802.11X
Generalnetworkerror


0

การป้องกันเป็นเรื่องยาก

คุณสามารถแทนที่พอร์ต Ethernet แบบมีสายได้โดยใช้ WiFi สำหรับอุปกรณ์ทั้งหมด - ไม่จำเป็นต้องให้ผู้คนตั้งค่า AP ของตนเอง 802.1X เพื่อรับรองความถูกต้องและ IPsec เพื่อความปลอดภัยในการเชื่อมต่อ

การตรวจจับอาจเป็นวิธีที่เชื่อถือได้เท่านั้น:

ลิงก์ไร้สายมีการสูญเสียแพ็คเก็ตสูงและอาจมีความล่าช้าอย่างมาก โดยการตรวจสอบการสูญหายของแพ็คเก็ตและความล่าช้าคุณสามารถตรวจสอบการเชื่อมต่อผ่านจุดเชื่อมต่อของเราท์เตอร์


0

คุณคิดจะวางซ้อนระบบป้องกันการบุกรุกแบบไร้สาย (WIPS) หรือไม่?

Rogue APs มีรูปร่างและขนาดหลายรูปแบบ (ตั้งแต่ usb / soft AP ไปจนถึง Rogue AP จริง) คุณต้องมีระบบที่สามารถตรวจสอบทั้งอากาศและแบบใช้สายและเชื่อมโยงข้อมูลจากทั้งสองด้านของเครือข่ายเพื่ออนุมานได้ว่ามีภัยคุกคามเกิดขึ้นจริงหรือไม่ มันควรจะสามารถรวม 100 Ap และค้นหาหนึ่งที่เสียบเข้ากับเครือข่ายของคุณ

Rogue Ap เป็นเพียงหนึ่งในภัยคุกคามอินเตอร์เน็ตไร้สายวิธีการเกี่ยวกับลูกค้า wifi ของคุณเชื่อมต่อกับ AP ภายนอกที่มองเห็นได้จากสำนักงานของคุณ ระบบ Wired IDS / IPS ไม่สามารถป้องกันภัยคุกคามประเภทนี้ได้อย่างเต็มที่

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.