ขึ้นอยู่กับประเภทของการรับส่งข้อมูลที่เกิดขึ้นบนเครือข่ายมักจะไม่เป็นไปได้ที่พนักงานจะนำเราเตอร์ไร้สายมาติดตั้งในเครือข่ายของคุณ เนื่องจากบ่อยครั้งที่พวกเขาไม่ปลอดภัยหรือไม่ดีและนำเสนอแบ็คดอร์เข้าสู่เครือข่าย คุณสามารถทำอะไรได้บ้างเพื่อป้องกันไม่ให้มีการเปิดใช้งานจุดเชื่อมต่อไร้สายปลอมในเครือข่ายของคุณ
คำตอบ:
คำตอบของลูคัสข้างต้นเป็นจุดเริ่มต้นเล็กน้อย อย่างไรก็ตามมีสองหรือสามสิ่งอื่น ๆ ที่ต้องพิจารณา ท้ายนี้ค่อนข้างจะอยู่นอกขอบเขตของวิศวกรรมเครือข่ายแต่แน่นอนว่ามีผลกระทบต่อวิศวกรรมเครือข่ายและความปลอดภัยดังนั้นพวกเขาจึงไปที่นี่
คุณอาจต้องการวิธีป้องกันการ์ดไร้สายในแล็ปท็อปของ บริษัท ไม่ให้เปลี่ยนเป็นโหมดเฉพาะกิจ สมมติว่าแล็ปท็อปกำลังเรียกใช้ Windows คุณอาจต้องการใช้ GPO เพื่อตั้งค่าเป็นโหมดโครงสร้างพื้นฐานเท่านั้น สำหรับ Linux มันยากที่จะ จำกัด อย่างเต็มที่ แต่ก็มีวิธีการเช่นกัน
การบังคับใช้ IPSec เป็นความคิดที่ดีโดยเฉพาะอย่างยิ่งกับการจัดการคีย์ที่ดีและการบังคับใช้ที่เชื่อถือได้ ตัวอย่างเช่นหากคุณสามารถไปที่ X509 certs สำหรับการจัดการคีย์สิ่งนี้สามารถป้องกันไม่ให้อุปกรณ์ที่ไม่ได้รับอนุญาตสื่อสารกับส่วนที่เหลือของเครือข่ายของคุณโดยตรง พิจารณาการจัดการที่สำคัญเป็นส่วนสำคัญของโครงสร้างพื้นฐานที่นี่ หากคุณใช้พร็อกซีเซิร์ฟเวอร์คุณอาจบล็อกอุปกรณ์ที่ไม่ได้รับอนุญาตไม่ให้เข้าถึงอินเทอร์เน็ตได้
จดบันทึกข้อ จำกัด ของความพยายามของคุณ สิ่งเหล่านี้ไม่มีการป้องกันบุคคลจากการตั้งค่าจุดเชื่อมต่อไร้สายที่ไม่ปลอดภัยที่เชื่อมต่อกับ USB NIC เพื่อจุดประสงค์ในการสื่อสารกับคอมพิวเตอร์ของพวกเขาโดยเฉพาะอย่างยิ่งโดยเฉพาะอย่างยิ่งถ้า SSID ถูกซ่อนอยู่ (เช่นไม่ออกอากาศ)
ไม่แน่ใจว่าจะมีปัญหาเพิ่มเติมได้อย่างไรหรือหากมีอาการหวาดระแวงต่อไปจะผ่านจุดที่มีผลตอบแทนไม่เพียงพอ .....
ก่อนอื่นคุณต้องสร้างนโยบายที่ห้ามนำอุปกรณ์เครือข่ายเข้าสู่เครือข่ายที่ไม่ได้เป็นเจ้าของหรือได้รับอนุมัติจากแผนกไอทีของ บริษัท ถัดไปบังคับใช้การรักษาความปลอดภัยพอร์ตเพื่อให้ที่อยู่ Mac ที่ไม่รู้จักไม่สามารถเชื่อมต่อกับเครือข่ายของคุณ
สามตั้งค่าเครือข่ายไร้สายแยกต่างหากภายใต้การควบคุมของคุณ (ถ้าคุณให้สิ่งที่พวกเขาต้องการพวกเขามีโอกาสน้อยที่จะแนะนำตัวโกง AP) (ถ้าเป็นไปได้และเป็นไปได้) สำหรับการเข้าถึงอินเทอร์เน็ตด้วยอุปกรณ์ (มือถือ) จุดเชื่อมต่อเหล่านี้ควรได้รับการรักษาความปลอดภัยด้วย PEAP หรือที่คล้ายกันและควรรันบนเครือข่ายแยกต่างหาก
สุดท้ายคุณก็สามารถสแกนความปลอดภัยเป็นประจำโดยใช้เครื่องมือเช่น netstumbler เพื่อตรวจจับและติดตามจุดเชื่อมต่ออันธพาลในเครือข่ายของคุณ
นอกจากนี้ยังมีตัวเลือกในการดำเนินการ IPsec ผ่านเครือข่ายของคุณเพื่อให้ในกรณีที่มีคนตั้งค่า AP อันธพาล "คลื่น" ที่เปิดเผยจะไม่สามารถอ่านได้แบบธรรมดาในกรณีที่มีใครบางคนกำลังสูดดมเครือข่ายไร้สาย
จากประสบการณ์ทั้งหมดที่ฉันได้รับจากผลิตภัณฑ์ของซิสโก้นั่นคือทั้งหมดที่ฉันสามารถพูดได้
AP ที่ควบคุม WCS (เบาและปกติ) มีความสามารถในการตรวจจับและรายงานเมื่อ SSID ที่ไม่น่าเชื่อถือปรากฏขึ้นและจำนวนลูกค้าที่เชื่อมต่อกับมัน หากคุณมีการตั้งค่า heatmaps และจำนวน access point ที่เหมาะสมคุณจะมีโอกาสที่ดีที่จะทราบว่าจุดเชื่อมต่อนั้นอยู่ใกล้กับ AP ของคุณหรือไม่ ข้อเสียเพียงอย่างเดียวคือถ้าคุณอยู่ใกล้กับบาร์ / ร้านกาแฟ / หอพักวิทยาลัย / ละแวกใกล้เคียงคาดหวังที่จะเห็นหน้าเว็บที่มีค่า "โกง" SSIDs ที่เปลี่ยนได้บ่อยเมื่อผู้คนเคลื่อนไหว
WCS ยังมีความสามารถในการติดตามสวิตช์พอร์ตและแจ้งเตือนคุณหากมีการเสียบปลั๊กเข้ากับเครือข่ายของคุณ ฉันยังไม่ได้มีโชคมากในการทำงานนี้ ฉันไม่ได้มีเวลามากมายที่จะเล่นกับมัน ตามค่าเริ่มต้นอย่างน้อยในเครือข่ายของฉันดูเหมือนจะมีข้อผิดพลาดบางประการเกี่ยวกับวิธีการทำงานของการติดตาม ฉันไม่เชื่อว่ามันจะดูที่ OUI ของ MAC และถ้ามันตรงกันคุณก็จะได้รับการแจ้งเตือนเกี่ยวกับตัวโกงในเครือข่าย
สุดท้าย WCS ยังมีความสามารถในการบรรจุ APs / SSID ของ rouge มันทำได้ด้วยการใช้ deauth และยกเลิกการเชื่อมโยงข้อความกับลูกค้าที่เชื่อมต่อกับ AP นั้น
จากมุมมองการตรวจสอบคุณสามารถเรียกใช้เครื่องมือเช่นNetDiscoเพื่อค้นหา switchports ที่มีที่อยู่ MAC ที่เชื่อมต่อมากกว่าที่คุณคาดหวัง มันจะไม่ป้องกัน WAP อันธพาลไม่ให้ถูกนำเข้าสู่เครือข่ายโดยอัตโนมัติ แต่มันจะช่วยให้คุณสามารถค้นหาเจอได้ในภายหลัง
หากอุปกรณ์ที่เชื่อมต่อกับ switchports ของคุณคาดว่าจะยังคงอยู่การ จำกัด ที่อยู่ MAC (ด้วยการละเมิดที่กำหนดค่าให้ดำเนินการลง switchport) สามารถป้องกันอุปกรณ์โกงใด ๆ (ไม่ใช่แค่ WAP) จากการเชื่อมต่อ
เฉพาะถ้า AP อยู่ในโหมดเชื่อมต่อคุณสามารถตรวจจับได้ด้วยการรักษาความปลอดภัยพอร์ต
การ จำกัด จำนวนที่อยู่ MAC จะไม่ช่วยในกรณีที่เราเตอร์ AP ถูกกำหนดค่าเป็น "เราเตอร์ไร้สาย"
การสอดแนม DHCP มีประโยชน์ในการที่จะจับ Wireless AP ที่เชื่อมต่ออยู่ด้านหลังนั่นคือพอร์ต LAN ของอุปกรณ์ rogeu ที่เปิดใช้งาน DHCP เชื่อมต่อกับเครือข่ายของคุณการดักฟัง DHCP จะลดทราฟฟิก
ด้วยงบประมาณที่น้อยที่สุดการสอดแนม DHCP เป็นตัวเลือกเดียวของฉันฉันแค่รอจนกว่าผู้ใช้จะโง่พอที่จะเสียบ AP ของพวกเขาในด้านหลัง ... จากนั้นฉันไปล่าสัตว์ :)
โดยส่วนตัวถ้าเครือข่ายส่วนใหญ่เป็นร้านค้าของ Cisco ทั้งหมดหมายความว่าอย่างน้อยเลเยอร์การเข้าถึงของคุณจะถูกติดตั้งด้วยสวิตช์ของ Cisco ฉันจะดูที่การรักษาความปลอดภัยพอร์ตและ DHCP Snooping เป็นวิธีป้องกันปัญหาประเภทนี้ การตั้งค่าที่อยู่ MAC สูงสุด 1 รายการในพอร์ตการเข้าถึงทั้งหมดจะรุนแรง แต่จะตรวจสอบให้แน่ใจว่ามีเพียง 1 อุปกรณ์เท่านั้นที่สามารถแสดงผลบนสวิตช์ได้ในแต่ละครั้ง ฉันจะตั้งค่าพอร์ตเป็นปิดเครื่องหากมีมากกว่า 1 MAC ปรากฏขึ้น หากคุณตัดสินใจอนุญาตมากกว่า 1 MAC การดักฟัง DHCP จะช่วยได้เนื่องจากเราเตอร์ไร้สายระดับผู้บริโภคส่วนใหญ่แนะนำ DHCP ในซับเน็ตท้องถิ่นเมื่อผู้ใช้ปลายทางเสียบอุปกรณ์เข้ากับสวิตช์พอร์ต ณ จุดนั้นการรักษาความปลอดภัยพอร์ตจะปิดสวิตช์ลงเมื่อการดักฟัง DHCP ตรวจพบว่าจุดเข้าใช้งานนั้นเสนอ DHCP
อย่าลืมว่าคุณยังสามารถรัน 802.1x บนพอร์ตแบบมีสายได้ 802.1x สามารถป้องกันอุปกรณ์ที่ไม่ได้รับอนุญาตและการรักษาความปลอดภัยพอร์ตช่วยป้องกันไม่ให้ใครบางคนเชื่อมต่อสวิตช์และ tailgating พอร์ต โปรดจำไว้ว่าแม้จะมีการควบคุมเครือข่ายที่ดีที่สุดคุณต้องดำเนินมาตรการในระดับพีซีมิฉะนั้นผู้ใช้จะสามารถเรียกใช้ NAT บนพีซีของตนและข้ามมาตรการรักษาความปลอดภัยเครือข่ายของคุณได้
อย่างแรกและสำคัญที่สุดนโยบายมีความสำคัญ สิ่งนี้อาจดูเหมือนเป็นจุดเริ่มต้นที่แปลก แต่จากจุดยืนขององค์กรและกฎหมายถ้าคุณไม่กำหนดและแจกจ่ายนโยบายหากมีคนทำผิดกฎหมายคุณก็สามารถทำได้เพียงเล็กน้อย ไม่มีประเด็นในการรักษาความปลอดภัยประตูถ้าเมื่อมีคนเข้ามาคุณไม่สามารถทำอะไรเพื่อหยุดพวกเขาได้
แล้ว 802.11X ล่ะ คุณไม่สนใจว่าจุดเชื่อมต่อนั้นถูกกฎหมายหรือไม่ตราบใดที่ไม่มีใครสามารถเข้าถึงทรัพยากรด้านล่างได้ หากคุณสามารถรับจุดเข้าใช้งานหรือผู้ใช้เกินกว่านั้นเพื่อรองรับ 802.11X โดยไม่ได้รับอนุญาตพวกเขาจะเข้าถึง แต่พวกเขาไม่สามารถทำอะไรได้
เราพบว่ามีประโยชน์จริง ๆ เมื่อเรากำหนด VLANs ที่แตกต่างกันขึ้นอยู่กับมัน หากคุณได้รับการอนุมัติคุณจะสามารถเข้าถึง VLAN ขององค์กรได้มิฉะนั้นจะเป็นเครือข่ายโฆษณาที่กำลังสร้าง ต้องการดูวิดีโอโปรโมตของเราทุกวันเรายินดีกับสิ่งนั้น
Nessus มีปลั๊กอินสำหรับตรวจจับ AP ปลอมแปลง - คุณสามารถสคริปต์สแกนเพื่อดูเป็นระยะ
http://www.tenable.com/blog/using-nessus-to-discover-rogue-access-points
การป้องกันเป็นเรื่องยาก
คุณสามารถแทนที่พอร์ต Ethernet แบบมีสายได้โดยใช้ WiFi สำหรับอุปกรณ์ทั้งหมด - ไม่จำเป็นต้องให้ผู้คนตั้งค่า AP ของตนเอง 802.1X เพื่อรับรองความถูกต้องและ IPsec เพื่อความปลอดภัยในการเชื่อมต่อ
การตรวจจับอาจเป็นวิธีที่เชื่อถือได้เท่านั้น:
ลิงก์ไร้สายมีการสูญเสียแพ็คเก็ตสูงและอาจมีความล่าช้าอย่างมาก โดยการตรวจสอบการสูญหายของแพ็คเก็ตและความล่าช้าคุณสามารถตรวจสอบการเชื่อมต่อผ่านจุดเชื่อมต่อของเราท์เตอร์
คุณคิดจะวางซ้อนระบบป้องกันการบุกรุกแบบไร้สาย (WIPS) หรือไม่?
Rogue APs มีรูปร่างและขนาดหลายรูปแบบ (ตั้งแต่ usb / soft AP ไปจนถึง Rogue AP จริง) คุณต้องมีระบบที่สามารถตรวจสอบทั้งอากาศและแบบใช้สายและเชื่อมโยงข้อมูลจากทั้งสองด้านของเครือข่ายเพื่ออนุมานได้ว่ามีภัยคุกคามเกิดขึ้นจริงหรือไม่ มันควรจะสามารถรวม 100 Ap และค้นหาหนึ่งที่เสียบเข้ากับเครือข่ายของคุณ
Rogue Ap เป็นเพียงหนึ่งในภัยคุกคามอินเตอร์เน็ตไร้สายวิธีการเกี่ยวกับลูกค้า wifi ของคุณเชื่อมต่อกับ AP ภายนอกที่มองเห็นได้จากสำนักงานของคุณ ระบบ Wired IDS / IPS ไม่สามารถป้องกันภัยคุกคามประเภทนี้ได้อย่างเต็มที่