Dependendo do tipo de tráfego que passa pela rede, muitas vezes não é possível que um funcionário traga um roteador sem fio e o configure na sua rede. Isso ocorre porque, frequentemente, eles não são ou estão mal protegidos e apresentam um backdoor na rede. O que você pode fazer para impedir que pontos de acesso sem fio não autorizados sejam introduzidos na sua rede?
Respostas:
A resposta de Lucas acima é um ponto de partida. No entanto, existem duas ou três outras coisas que devem ser consideradas. Elas acabam ficando um pouco fora do escopo da engenharia de redes , mas certamente têm impactos na engenharia e segurança de redes, então aqui estão elas.
Você provavelmente deseja alguma maneira de impedir que as placas sem fio nos laptops da empresa sejam trocadas para o modo ad hoc. Supondo que os laptops estejam executando o Windows, você provavelmente deseja usar um GPO para definir apenas o modo de infraestrutura. Para o Linux, é mais difícil restringir completamente, mas existem maneiras de fazer isso também.
Aplicar o IPSec também é uma boa ideia, principalmente com um bom gerenciamento de chaves e aplicação confiável. Por exemplo, se você pode acessar o X509 certs para gerenciamento de chaves, isso pode impedir que dispositivos não autorizados se comuniquem diretamente com o restante da sua rede. Considere o gerenciamento de chaves como parte essencial da infraestrutura aqui. Se você usa um servidor proxy, pode até bloquear dispositivos não autorizados de acessar a Internet.
Observe as limitações de seus esforços. Nada disso impede uma pessoa de configurar um ponto de acesso sem fio não seguro conectado a uma NIC USB, com o único objetivo de se comunicar com o computador, especialmente se o SSID estiver oculto (ou seja, não transmitido).
Não sabe ao certo como conter mais problemas ou se a paranóia adicional já ultrapassou o ponto de retornos insuficientes .....
Antes de tudo, é necessário criar uma política que proíba a introdução de equipamentos de rede na rede que não sejam de propriedade ou aprovados pelo departamento de TI da empresa. Em seguida, imponha a segurança da porta para que endereços MAC desconhecidos não possam se conectar à sua rede.
Terceiro, configure uma rede sem fio separada sob seu controle (se você der a eles o que eles desejam, é menos provável que eles introduzam um PA não autorizado) (se possível e possível) para acessar a Internet com seus dispositivos (móveis). Esses pontos de acesso devem ser protegidos com PEAP ou similar e, de preferência, executados em uma rede separada.
Por último, você também pode fazer verificações de segurança regulares usando ferramentas como o netstumbler para detectar e rastrear pontos de acesso não autorizados na sua rede.
Também existe a opção de executar IPsec na rede, para que, caso alguém configure um ponto de acesso não autorizado, as "ondas" expostas não serão facilmente legíveis no caso de alguém farejar a rede sem fio.
Até agora, toda a minha experiência foi com produtos da Cisco, e é com isso que realmente posso falar.
Os APs controlados pelo WCS (leves e normais) têm a capacidade de detectar e relatar quando SSIDs não confiáveis aparecem e quantos clientes estão conectados a ele. Se você possui mapas de calor configurados e um número razoável de pontos de acesso, tem uma boa chance de descobrir onde o ponto de acesso está próximo aos seus pontos de acesso. A única desvantagem disso é que, se você estiver próximo de bares / cafeterias / dormitórios / bairros, espere ver páginas dignas de SSIDs "desonestos" que mudam com a frequência das pessoas.
O WCS também tem a capacidade de rastrear a porta de comutação e alertá-lo se bandidos estiverem conectados à sua rede. Ainda tenho muita sorte em fazer isso funcionar. Sinceramente, não tive muito tempo para brincar com isso. Por padrão, pelo menos na minha rede, parece haver alguns falsos positivos na maneira como o rastreamento funciona. Sem ter certeza, acredito que apenas analise a OUI do MAC e, se corresponder, você receberá um alerta sobre um invasor na rede.
Por fim, o WCS também tem a capacidade de conter APs / SSIDs vermelhos. Faz isso usando deauth e desassociar mensagens para todos os clientes que estão conectados a esse ponto de acesso.
Do ponto de vista de monitoramento, você pode executar uma ferramenta como o NetDisco para encontrar portas de switch com mais endereços MAC conectados do que o esperado. Não impediria automaticamente que um WAP desonesto fosse apresentado à rede, mas permitiria que você encontrasse um após o fato.
Se for esperado que o equipamento conectado às suas portas de switch permaneça estático, a limitação de endereço MAC (com violações configuradas para reduzir a porta administrativamente) poderá impedir que qualquer dispositivo não autorizado (não apenas WAPs) seja conectado.
Somente se o AP estiver no modo de ponte, você poderá capturá-lo com segurança de porta.
Limitar O número de endereços MAC não ajudará, caso o ponto de acesso rouge também esteja configurado como um "roteador sem fio"
A espionagem DHCP é útil, pois ela captura o AP sem fio, conectado ao contrário, ou seja, a porta LAN dos dispositivos rogeu com DHCP ativado está conectada à sua rede, a espionagem DHCP reduzirá o tráfego.
Com um orçamento mínimo, a espionagem de DHCP é a minha única opção, apenas espero até que um usuário seja burro o suficiente para conectar o seu AP de trás para frente ... então eu vou caçar :)
Pessoalmente, se a rede é na maioria das vezes uma loja da Cisco, significa que pelo menos sua camada de acesso está configurada com os comutadores da Cisco; Eu consideraria a segurança da porta e o DHCP Snooping como uma maneira de proteger contra esse tipo de problema. Definir um máximo de 1 endereço MAC em todas as portas de acesso seria extremo, mas garantiria que apenas 1 dispositivo pudesse aparecer em uma porta de switch por vez. Eu também definiria a porta para desligar se aparecer mais de 1 MAC. Se você decidir permitir mais de 1 MAC, a espionagem DHCP ajudaria, pois a maioria dos roteadores sem fio de nível consumidor introduz o DHCP na sub-rede local quando o usuário final conecta o dispositivo à porta de switch. Nesse ponto, a segurança da porta desligaria a porta do switch assim que o espionagem do DHCP detectar que o ponto de acesso está oferecendo DHCP.
Não esqueça que você também pode executar o 802.1x em portas com fio. O 802.1x pode impedir dispositivos não autorizados e a segurança da porta ajuda a impedir que alguém conecte um switch e opere a porta. Lembre-se de que, mesmo com os melhores controles de rede, você deve tomar medidas no nível do PC ou os usuários simplesmente poderão executar o NAT no PC e ignorar as medidas de segurança da rede.
Como observado, em primeiro lugar, as políticas são importantes. Isso pode parecer um ponto de partida estranho, mas, do ponto de vista corporativo e jurídico, a menos que você defina e distribua a política, se alguém a infringir, pouco poderá fazer. Não adianta trancar a porta se, quando alguém arromba, você não pode fazer nada para detê-la.
E o 802.11X. Você realmente não se importa com o que é o ponto de acesso, legal ou não, desde que ninguém obtenha acesso aos recursos abaixo dele. Se você pode obter o ponto de acesso ou o usuário além dele, para suportar 802.11X, sem aprovação, eles obtêm acesso, mas não podem fazer nada.
Na verdade, achamos isso útil, pois atribuímos diferentes VLANs com base nela. Se você for aprovado, terá acesso à VLAN corporativa; caso contrário, é a rede de anúncios incorporada. Quer assistir aos nossos vídeos promocionais o dia todo, estamos bem com isso.
O Nessus possui um plug-in para detectar APs não autorizados - você pode criar um script para uma varredura periodicamente.
http://www.tenable.com/blog/using-nessus-to-discover-rogue-access-points
Prevenir é difícil.
Você pode substituir as portas Ethernet com fio usando o Wi-Fi para todos os dispositivos - eliminando a necessidade de as pessoas configurarem seus próprios pontos de acesso. 802.1X para autenticar e IPsec para proteger a conexão.
A detecção pode ser apenas uma maneira confiável:
Os links sem fio têm alta perda de pacotes e provavelmente variação significativa de atraso. Ao monitorar a perda e o atraso de pacotes, você pode detectar conexões através de pontos de acesso rouge.
Você pensou em sobrepor sistemas de prevenção de intrusões sem fio (WIPS)?
Os PAs invasores têm várias formas e tamanhos (variando de usb / soft AP aos reais PAs físicos). Você precisa que um sistema possa monitorar o lado aéreo e com fio e correlacionar as informações de ambos os lados da rede para deduzir se uma ameaça está realmente presente. Ele deve ser capaz de vasculhar 100s de Ap e encontrar o que está conectado à sua rede
O Rogue Ap é apenas um tipo de ameaça de wifi, que tal seus clientes de wifi se conectarem a APs externos visíveis no seu escritório. O sistema IDS / IPS com fio não pode proteger totalmente contra esse tipo de ameaça.