Bagaimana Anda mencegah jalur akses nirkabel jahat di jaringan?

39

Tergantung pada jenis lalu lintas apa yang melewati jaringan, seringkali tidak layak bahwa seorang karyawan membawa router nirkabel dan memasangnya di jaringan Anda. Ini karena seringkali, mereka tidak atau kurang diamankan dan menghadirkan backdoor ke dalam jaringan. Apa yang dapat Anda lakukan untuk mencegah titik akses nirkabel jahat diperkenalkan ke jaringan Anda?

security wireless rogue Lucas Kauffman
sumber

Jawaban:

29

Jawaban Lucas di atas adalah sedikit titik awal. Namun ada dua atau tiga hal lain yang harus diperhatikan. Ini akhirnya menjadi agak di luar lingkup rekayasa jaringan , tetapi tentu saja memiliki dampak untuk rekayasa jaringan dan keamanan jadi begini.

  1. Anda mungkin ingin beberapa cara mencegah kartu nirkabel di laptop perusahaan dari beralih ke mode ad hoc. Dengan asumsi laptop menjalankan Windows, Anda mungkin ingin menggunakan GPO untuk mengatur ke mode infrastruktur saja. Untuk Linux, lebih sulit untuk sepenuhnya membatasi, tetapi ada cara untuk melakukannya juga.

  2. Menegakkan IPSec juga merupakan ide yang baik, terutama dengan manajemen kunci yang baik dan penegakan tepercaya. Misalnya, jika Anda dapat pergi ke sertifikat X509 untuk manajemen kunci, ini dapat menjaga perangkat yang tidak sah untuk berkomunikasi dengan seluruh jaringan Anda secara langsung. Pertimbangkan manajemen kunci sebagai bagian inti dari infrastruktur di sini. Jika Anda menggunakan server proxy, Anda bahkan dapat memblokir perangkat yang tidak sah dari mengakses internet.

  3. Perhatikan keterbatasan upaya Anda. Tidak satu pun dari ini yang mencegah seseorang untuk mengatur titik akses nirkabel tanpa jaminan yang terhubung ke USB NIC, untuk tujuan komunikasi tunggal dengan komputer mereka, terutama jika SSID disembunyikan (mis. Tidak disiarkan).

Tidak yakin bagaimana cara mengatasi masalah lebih lanjut atau jika paranoia lanjut melewati titik pengembalian yang tidak mencukupi .....

Chris Travers
sumber
3
+1 untuk menonaktifkan mode Ad-hoc, mudah untuk dilewatkan bahwa perangkat Anda yang dikelola sendiri dapat berubah menjadi AP yang nakal.
MDMoore313
2
@ MDMoore313: Ad-Hoc STA bukan AP.
BatchyX
@ BatchyX itu benar, kesalahan saya.
MDMoore313
Saya tidak berpikir seseorang dapat menjalankan AP pada Windows juga. Satu dapat di Linux jika kartu nirkabel dan driver mendukungnya. Jadi itu satu hal lagi dalam daftar periksa Linux .....
Chris Travers
1
@ ChrisTravers: Ya, Anda bisa, bekerja dengan baik juga. Lihat virtualrouter.codeplex.com , antara lain
erict
14

Pertama-tama Anda perlu membuat kebijakan yang melarang memperkenalkan peralatan jaringan ke dalam jaringan yang tidak dimiliki atau disetujui oleh departemen TI perusahaan. Selanjutnya tegakkan keamanan port sehingga alamat mac yang tidak dikenal tidak dapat terhubung ke jaringan Anda.

Ketiga, buat jaringan nirkabel terpisah di bawah kendali Anda (jika Anda memberi mereka apa yang mereka inginkan, kecil kemungkinan mereka akan memperkenalkan AP nakal) (jika mungkin dan layak) untuk mengakses internet dengan perangkat (seluler) mereka. Jalur akses ini harus diamankan dengan PEAP atau serupa dan lebih disukai dijalankan pada jaringan yang terpisah.

Terakhir Anda juga dapat melakukan pemindaian keamanan rutin menggunakan alat seperti netstumbler untuk mendeteksi dan melacak titik akses jahat di jaringan Anda.

Ada juga opsi untuk melakukan IPsec melalui jaringan Anda sehingga jika seseorang membuat AP jahat, "gelombang" yang terekspos tidak akan mudah dibaca jika seseorang mengendus jaringan nirkabel.

Lucas Kauffman
sumber
2
Selain itu, vendor seperti Meraki telah membangun deteksi AP penindasan DAN penindasan dan akan secara aktif mengirim pemutusan yang memaksa pengguna yang terkait dengan titik nakal kehilangan koneksi dan bergabung kembali.
SimonJGreen
@SimonJGreen: Metode ini tidak akan berfungsi dengan stasiun dan AP berkemampuan 802.11w.
BatchyX
@SimonJGreen ingat bahwa FCC telah memberikan denda besar kepada seseorang yang melakukan itu. Sengaja mengotak-atik komunikasi nirkabel orang lain tidaklah ok.
Peter Green
"Ketiga, tentukan jaringan nirkabel terpisah di bawah kendali Anda (jika Anda memberi mereka apa yang mereka inginkan, mereka lebih kecil kemungkinannya untuk memperkenalkan AP nakal) (jika mungkin dan layak)" Tepat seperti ini. tidak ada yang mau mengeluarkan biaya untuk membuat AP mereka sendiri karena mereka puas dengan apa yang sudah tersedia bagi mereka. Penuhi kebutuhan mereka dengan benar, dan Anda tidak perlu khawatir tentang mereka yang mencoba melakukannya dengan salah.
Alexander - Pasang kembali Monica
8

Semua pengalaman saya sejauh ini adalah dengan produk-produk Cisco sehingga hanya itu yang bisa saya ajak bicara.

AP yang dikontrol WCS (ringan dan normal) memiliki kemampuan untuk mendeteksi dan melaporkan ketika SSID yang tidak tepercaya muncul dan berapa banyak klien yang terhubung dengannya. Jika Anda memiliki heatmap yang diatur dan sejumlah titik akses yang layak, Anda berpeluang cukup bagus untuk mengetahui di mana titik akses berada dekat dengan Titik Akses Anda. Satu-satunya sisi dari hal ini adalah bahwa jika Anda berada dekat dengan bar / kedai kopi / asrama perguruan tinggi / lingkungan mengharapkan untuk melihat halaman senilai "nakal" SSID yang berubah sesering orang bergerak.

WCS juga memiliki kemampuan untuk melakukan pelacakan switchport dan mengingatkan Anda jika bajingan dicolokkan ke jaringan Anda. Saya belum memiliki banyak keberuntungan untuk menjalankan ini. Sejujurnya aku tidak punya banyak waktu untuk bermain dengannya. Secara default, setidaknya di jaringan saya, tampaknya ada beberapa kesalahan positif dengan cara kerja jejak. Tanpa mencari dengan pasti, saya percaya itu hanya melihat OUI dari MAC dan jika cocok maka Anda mendapatkan peringatan tentang bajingan di jaringan.

Terakhir, WCS juga memiliki kemampuan untuk menahan pemadaman api AP / SSID. Itu dilakukan dengan menggunakan deauth dan memisahkan pesan ke klien yang terhubung ke AP itu.

Mike
sumber
2
+1 untuk deteksi jahat WCS. Saya telah melakukan beberapa pekerjaan dengan Ruckus, Aerohive dan Meraki, dan masing-masing vendor memiliki deteksi jahat di tempat. Sangat penting untuk dicatat bahwa banyak dari ini juga akan mengenali perangkat jahat yang juga ada di kabel, yang mana Anda ingin alamat terlebih dahulu.
Network Canuck
2
Ingatlah air panas legal yang dapat Anda temukan jika Anda mengaktifkan penahanan AP di WCS / WLC kecuali Anda memiliki kampus yang cukup besar dan secara hukum tidak dapat menunjukkan AP yang lain dari perusahaan tetangga yang ada di sana dan Anda hanya berisi AP yang dibawa ke lingkungan Anda yang tidak memiliki cara lain untuk mencapai sana.
generalnetworkerror
Mode penahanan AP di WLC tidak bekerja dengan baik. Saya telah melakukannya pada beberapa titik akses untuk bersenang-senang di tempat kerja dan saya benar-benar duduk tepat di sebelah ap nakal dengan laptop saya (seperti 10cm) jauhnya dan saya tidak dapat bergabung dengan jaringan. Ap konsumen nakal yang saya coba bahkan tidak bisa menampilkan itu ssid. Jika saya ingat itu reboot juga setelah beberapa menit
knotseh
6

Dari sudut pandang pemantauan, Anda bisa menjalankan alat seperti NetDisco untuk menemukan switchports dengan lebih banyak alamat MAC yang terhubung daripada yang Anda harapkan. Itu tidak akan secara otomatis mencegah WAP jahat dari diperkenalkan ke jaringan, tetapi itu akan membiarkan Anda menemukan satu setelah fakta.

Jika peralatan yang terhubung dengan switchports Anda dapat diperkirakan tetap statis, pembatasan alamat MAC (dengan pelanggaran yang dikonfigurasikan ke bawah switchport secara administratif) dapat mencegah perangkat jahat (bukan hanya WAP) agar tidak terhubung.

vitisimus
sumber
1
alamat mac sticky adalah implementasi dunia nyata.
MDMoore313
4

  • Hanya jika AP dalam mode bridging, Anda dapat menangkapnya dengan keamanan port.

  • Membatasi Jumlah alamat MAC tidak akan membantu, jika AP rouge juga dikonfigurasi sebagai "Router Nirkabel"

  • Pengintaian DHCP sangat membantu, karena ia akan menangkap Wireless AP, terhubung ke belakang yaitu port LAN dari perangkat rogeu yang memiliki DHCP diaktifkan terhubung ke jaringan Anda, pengintaian DHCP akan menjatuhkan lalu lintas.

  • Dengan anggaran minimal mengintai DHCP adalah satu-satunya pilihan saya, saya hanya menunggu sampai pengguna cukup bodoh untuk menyambungkan AP mereka ke belakang ... lalu saya pergi berburu :)

hyussuf
sumber
3

Secara pribadi, jika jaringan sebagian besar merupakan toko Cisco semua, berarti setidaknya lapisan akses Anda diatur dengan switch Cisco; Saya akan melihat keamanan port dan DHCP Snooping sebagai cara untuk menjaga terhadap masalah jenis ini. Mengatur maksimal 1 alamat MAC pada semua port Akses akan menjadi ekstrim tetapi akan memastikan bahwa hanya 1 perangkat yang dapat muncul di switchport pada suatu waktu. Saya juga akan mengatur port ke shutdown jika lebih dari 1 MAC muncul. Jika Anda memutuskan untuk mengizinkan lebih dari 1 MAC, pengintaian DHCP akan membantu karena sebagian besar Router Nirkabel kelas konsumen memperkenalkan DHCP di subnet lokal ketika pengguna akhir menghubungkan perangkat ke switchport. Pada titik itu, keamanan port akan mematikan switchport setelah DHCP mengintip mendeteksi bahwa Access Point menawarkan DHCP.

sumber daya
sumber
a) dhcp snooping hanya akan menangkap mereka jika mereka mencolokkan sisi router yang menjalankan dhcp ke jaringan. dan b) mengintai dhcp tidak akan menutup port; itu hanya menjatuhkan lalu lintas server dhcp pada port yang tidak terpercaya. (Saya tidak pernah memiliki port yang ditutup oleh dhcp mengintip)
Ricky Beam
Anda benar, DHCP Snooping hanya akan menangkap mereka jika mereka mencolokkan sisi router ke jaringan. Saya telah melihat pengguna akhir melakukan ini. Sekarang yang tidak saya katakan adalah DHCP Snooping akan menutup port, saya mengatakan bahwa Port Security akan mematikannya.
infinisource
Anda mengatakan " keamanan port point akan mematikan switchport setelah DHCP mengintip mendeteksi ..." DHCP mengintip hanya akan menghentikan jawaban memasuki jaringan, dan mungkin mengganggu operasi normal (baca: server dhcp nakal) Ini batas keamanan port MAC ' akan membunuh port begitu lebih dari satu perangkat terlihat di port. Kemungkinan besar siaran DHCP DISCOVER yang akan memicunya, tapi itu adalah klien yang tidak akan memblokir pengintaian. Perangkat akan mendapatkan alamat dari AP, dan mencoba untuk terhubung ke internet ...
Ricky Beam
Ok saya berdiri dikoreksi. Perlu berpikir sebelum menulis di masa depan. Sayangnya saya telah melihat di mana pengguna akhir menjembatani jaringan kami dengan Wireless AP-nya di Sisi LAN perangkatnya dan Anda benar Keamanan Pelabuhan, bukan DHCP Mengintai menutup port.
infinisource
Pertanyaan bodoh: "Keamanan pelabuhan" adalah port-as-in-port-on-a-switch, bukan port-as-in-port-80 [-atau apa yang Anda miliki], bukan?
ruffin
2

Jangan lupa bahwa Anda juga dapat menjalankan 802.1x pada port berkabel. 802.1x dapat mencegah perangkat yang tidak sah dan keamanan port membantu mencegah seseorang menghubungkan switch dan menyesuaikan port. Ingatlah bahwa bahkan dengan kontrol jaringan terbaik yang ada, Anda harus mengambil langkah-langkah di tingkat PC atau pengguna hanya akan dapat menjalankan NAT di PC mereka dan memotong langkah-langkah keamanan jaringan Anda.

Anonim
sumber
1

Sebagaimana dicatat, pertama dan terpenting, kebijakan penting. Ini mungkin tampak seperti titik awal yang aneh, tetapi, dari sudut pandang korporat dan hukum, kecuali jika Anda mendefinisikan dan mendistribusikan kebijakan tersebut, jika seseorang melanggarnya, ada sedikit yang dapat Anda lakukan. Tidak ada gunanya mengamankan pintu jika, ketika seseorang mendobrak, Anda tidak dapat melakukan apa pun untuk menghentikannya.

Bagaimana dengan 802.11X. Anda tidak benar-benar peduli tentang apa jalur akses itu, legal atau tidak, asalkan tidak ada yang mendapatkan akses ke sumber daya di bawahnya. Jika Anda bisa mendapatkan titik akses atau pengguna di luar itu, untuk mendukung 802.11X, tanpa persetujuan, mereka mendapatkan akses, tetapi mereka tidak dapat melakukan apa pun.

Kami sebenarnya menemukan ini berguna karena kami menetapkan VLAN yang berbeda berdasarkan itu. Jika Anda disetujui, Anda mendapatkan akses ke VLAN perusahaan, jika tidak, itu adalah jaringan iklan dalam-bangunan. Ingin menonton video promo kami sepanjang hari, kami setuju dengan itu.

pengguna500123
sumber
Apakah maksud Anda 802.1X? Tidak pernah ada Kelompok Kerja IEEE 802.11X dibuat.
generalnetworkerror
0

Pencegahan sulit.

Anda bisa mengganti port Ethernet kabel dengan menggunakan WiFi untuk semua perangkat - menghilangkan kebutuhan orang untuk mengatur AP mereka sendiri. 802.1X untuk mengotentikasi dan IPsec untuk mengamankan koneksi.

Deteksi mungkin hanya cara yang andal:

Tautan nirkabel memiliki kehilangan paket yang tinggi dan mungkin variasi penundaan yang signifikan. Dengan memantau kehilangan dan penundaan paket, Anda dapat mendeteksi koneksi melalui titik akses pemerah.

philcolbourn
sumber
0

Pernahkah Anda berpikir untuk melapisi WIPS?

Rogue AP datang dalam berbagai bentuk bentuk dan ukuran (mulai dari usb / soft AP ke Rogue AP fisik yang sebenarnya). Anda memerlukan suatu sistem yang dapat memonitor udara dan sisi kabel dan menghubungkan informasi dari kedua sisi jaringan untuk menyimpulkan jika ancaman benar-benar ada. Seharusnya dapat menyisir melalui 100-an Ap dan menemukan yang terhubung ke jaringan Anda

Rogue Ap hanya 1 jenis ancaman wifi, bagaimana dengan klien wifi Anda yang terhubung ke AP eksternal yang terlihat dari kantor Anda. Sistem IDS / IPS berkabel tidak dapat sepenuhnya melindungi dari ancaman semacam ini.

Bhupinder Misra
sumber