¿Cómo se previenen los puntos de acceso inalámbrico no autorizados en una red?

39

Según el tipo de tráfico que circula por la red, a menudo no es factible que un empleado traiga un enrutador inalámbrico y lo configure en su red. Esto se debe a que a menudo no están o están mal asegurados y presentan una puerta trasera en la red. ¿Qué puede hacer para evitar que se introduzcan puntos de acceso inalámbrico no autorizados en su red?

Lucas Kauffman
fuente

Respuestas:

29

La respuesta de Lucas anterior es un punto de partida. Sin embargo, hay otras dos o tres cosas que deben considerarse. Estos terminan estando algo fuera del alcance de la ingeniería de redes , pero ciertamente tienen impactos para la ingeniería de redes y la seguridad, así que aquí van.

  1. Probablemente desee alguna forma de evitar que las tarjetas inalámbricas en las computadoras portátiles de la compañía se cambien al modo ad hoc. Suponiendo que las computadoras portátiles ejecutan Windows, probablemente desee usar un GPO para configurar solo el modo de infraestructura. Para Linux, es más difícil restringirlo por completo, pero también hay formas de hacerlo.

  2. Hacer cumplir IPSec también es una buena idea, particularmente con una buena administración de claves y una aplicación confiable. Por ejemplo, si puede ir a los certificados X509 para la administración de claves, esto puede evitar que los dispositivos no autorizados se comuniquen directamente con el resto de su red. Considere la administración de claves como una parte central de la infraestructura aquí. Si utiliza un servidor proxy, incluso puede bloquear el acceso a Internet de dispositivos no autorizados.

  3. Tenga en cuenta las limitaciones de sus esfuerzos. Ninguno de estos impide que una persona configure un punto de acceso inalámbrico no seguro conectado a una NIC USB, con el único propósito de comunicarse con su computadora, especialmente si el SSID está oculto (es decir, no se transmite).

No estoy seguro de cómo contener aún más los problemas o si la paranoia más allá del punto de retorno insuficiente ...

Chris Travers
fuente
3
+1 para deshabilitar el modo Ad-hoc, es fácil pasar por alto que sus propios dispositivos administrados pueden convertirse en AP corruptos.
MDMoore313
2
@ MDMoore313: Un STA Ad-Hoc no es un AP.
BatchyX
@BatchyX es cierto, mi error.
MDMoore313
No creo que se pueda ejecutar un AP en Windows también. Sin embargo, se puede en Linux si la tarjeta inalámbrica y el controlador lo admiten. Así que eso es una cosa más en la lista de verificación de Linux .....
Chris Travers
1
@ChrisTravers: Sí, puedes, también funciona bien. Ver virtualrouter.codeplex.com , entre otros
erict
14

En primer lugar, debe crear una política que prohíba la introducción de equipos de red en la red que no sea propiedad ni esté aprobada por el departamento de TI de la empresa. A continuación, aplique la seguridad del puerto para que direcciones MAC desconocidas no puedan conectarse a su red.

En tercer lugar, configure una red inalámbrica separada bajo su control (si les da lo que quieren, es menos probable que introduzcan AP corruptos) (si es posible y factible) para acceder a Internet con sus dispositivos (móviles). Estos puntos de acceso deben asegurarse con PEAP o similar y, preferiblemente, ejecutarse en una red separada.

Por último, también puede realizar exploraciones de seguridad periódicas utilizando herramientas como netstumbler para detectar y rastrear puntos de acceso no autorizados en su red.

También existe la opción de realizar IPsec a través de su red para que, en caso de que alguien configure un AP no autorizado, las "ondas" expuestas no sean legibles en caso de que alguien detecte la red inalámbrica.

Lucas Kauffman
fuente
2
Además de esto, los proveedores como Meraki han incorporado la detección y supresión de puntos de acceso no autorizados y enviarán activamente desconexiones forzando a los usuarios asociados con puntos no autorizados a perder la conexión y volver a asociarse.
SimonJGreen
@SimonJGreen: este método no funcionará con estaciones y AP con capacidad 802.11w.
BatchyX
@SimonJGreen tenga en cuenta que la FCC ha entregado una gran multa a alguien que hizo eso. No está bien meterse deliberadamente con las comunicaciones inalámbricas de otras personas.
Peter Green
"En tercer lugar, configure una red inalámbrica separada bajo su control (si les da lo que quieren, es menos probable que introduzcan AP corruptos) (si es posible y factible)" Exactamente esto. nadie se va a esforzar y gastar en configurar su propio AP porque están contentos con lo que ya está disponible para ellos. Satisfaga sus necesidades correctamente y no tendrá que preocuparse de que intenten hacerlo incorrectamente.
Alexander - Restablece a Mónica
8

Toda mi experiencia hasta ahora ha sido con productos de Cisco, así que eso es todo con lo que realmente puedo hablar.

Los AP controlados por WCS (ligeros y normales) tienen la capacidad de detectar e informar cuándo aparecen SSID no confiables y cuántos clientes están conectados a él. Si tiene configurados mapas de calor y un número decente de puntos de acceso, tiene una muy buena posibilidad de poder descubrir dónde está el punto de acceso cerca de sus puntos de acceso. El único inconveniente de esto es que si está cerca de bares / cafeterías / residencias universitarias / vecindarios, espere ver páginas con SSID "corruptos" que cambian con tanta frecuencia como la gente se mueve.

El WCS también tiene la capacidad de hacer un seguimiento del puerto de conmutación y alertarlo si los delincuentes están conectados a su red. Todavía tengo mucha suerte para que esto funcione. Sinceramente, no he tenido mucho tiempo para jugar. Por defecto, al menos en mi red, parece haber bastantes falsos positivos con la forma en que funciona el rastreo. Sin estar seguro, creo que solo mira OUI del MAC y si coincide, recibirá una alerta sobre un pícaro en la red.

Por último, el WCS también tiene la capacidad de contener AP / SSID de rouge. Lo hace mediante el uso de mensajes de deauth y disociación a cualquier cliente que esté conectado a ese AP.

Micro
fuente
2
+1 para detección de pícaro WCS. He trabajado un poco con Ruckus, Aerohive y Meraki, y cada proveedor tiene una detección no autorizada. Es especialmente importante tener en cuenta que muchos de estos también reconocerán un dispositivo malicioso que también está en el cable, que son los que desea abordar primero.
Red Canuck
2
Tenga en cuenta el agua caliente legal en la que puede encontrarse si habilita esa contención de AP en WCS / WLC a menos que tenga un campus lo suficientemente grande y pueda mostrar legalmente que no podría haber otros AP de compañías vecinas y solo contiene AP traídos en su entorno que no tendría otra forma de llegar allí.
generalnetworkerror 01 de
El modo de contención AP en el WLC funciona bastante bien. Lo hice en algunos puntos de acceso para divertirme en el lugar de trabajo y estaba literalmente sentado justo al lado del ap rogue con mi computadora portátil (como a 10 cm) de distancia y no pude unirme a la red. Un consumidor deshonesto con el que lo probé ni siquiera podía mostrar su ssid. Si recuerdo, también se reinició después de unos minutos
knotseh
6

Desde el punto de vista de la supervisión, puede ejecutar una herramienta como NetDisco para buscar puertos de conmutación con más direcciones MAC conectadas de lo que esperaría. No evitaría automáticamente que se introduzca un WAP falso en la red, pero le permitirá encontrar uno después del hecho.

Si se puede esperar que el equipo conectado a sus puertos de conmutación permanezca estático, la limitación de la dirección MAC (con violaciones configuradas para desactivar administrativamente el puerto de conmutación) podría evitar que se conecte cualquier dispositivo no autorizado (no solo WAP).

vitisimus
fuente
1
MAC Address Sticky es una implementación del mundo real.
MDMoore313
4
  • Solo si el AP está en modo puente puede atraparlo con la seguridad del puerto.

  • Limitación El número de direcciones MAC no ayudará, en el caso de que el AP Rouge también esté configurado como un "Enrutador inalámbrico"

  • La inspección DHCP es útil, ya que capturará el AP inalámbrico, conectado hacia atrás, es decir, el puerto LAN de los dispositivos rogeu que tiene DHCP habilitado está conectado a su red, la inspección DHCP disminuirá el tráfico.

  • Con un presupuesto mínimo, la inspección de DHCP es mi única opción, solo espero hasta que un usuario sea lo suficientemente tonto como para conectar su AP al revés ... y luego voy a cazar :)

hyussuf
fuente
3

Personalmente, si la red es en su mayor parte una tienda de Cisco, lo que significa que al menos su capa de acceso está configurada con conmutadores Cisco; Consideraría la seguridad portuaria y el DHCP Snooping como una forma de protegerse contra este tipo de problema. Establecer un máximo de 1 dirección MAC en todos los puertos de acceso sería extremo, pero garantizaría que solo un dispositivo pudiera aparecer en un puerto de conmutación a la vez. También configuraría el puerto para que se apague si aparece más de 1 MAC. Si decide permitir más de 1 MAC, la indagación DHCP ayudaría, ya que la mayoría de los enrutadores inalámbricos de grado de consumidor introducen DHCP en la subred local cuando el usuario final conecta el dispositivo al puerto del conmutador. En ese punto, la seguridad del puerto cerraría el puerto de conmutación una vez que la inspección DHCP detecte que el punto de acceso está ofreciendo DHCP.

infinisource
fuente
a) dhcp snooping solo los detectará si conectan el lado LAN del enrutador que ejecuta dhcp en la red. y b) dhcp snooping no cerrará el puerto; simplemente elimina el tráfico del servidor dhcp en puertos no confiables. (Nunca tuve un puerto cerrado por dhcp husmeando)
Ricky Beam
Tienes razón, DHCP Snooping solo los detectará si conectan el lado LAN del enrutador a la red. He visto a usuarios finales hacer esto. Ahora, lo que no dije fue que DHCP Snooping cerraría el puerto, dije que Port Security lo cerraría.
infinisource
Dijiste "la seguridad de puerto puntual cerraría el puerto de conmutación una vez que DHCP detecte detecte ..." La inspección DHCP simplemente evitará que las respuestas ingresen a la red y posiblemente interrumpa las operaciones normales (léase: servidor dhcp falso). matará el puerto una vez que se vea más de un dispositivo en el puerto. Lo más probable es que sea una transmisión de DHCP DISCOVER que lo active, pero esa es una operación del cliente que el espionaje no bloqueará. El dispositivo obtendrá una dirección del AP e intentará conectarse a la red ...
Ricky Beam
Ok, estoy corregido. Necesito pensar antes de escribir en el futuro. Desafortunadamente, he visto dónde un usuario final conectó nuestra red con su AP inalámbrico en el lado de LAN de su dispositivo y tiene razón Port Security, no DHCP Snooping cerró el puerto.
infinisource
Pregunta tonta: "Seguridad de puerto" es port-as-in-port-on-a-switch, no port-as-in-port-80 [-o qué tienes], ¿verdad?
ruffin
2

No olvide que también puede ejecutar 802.1x en puertos con cable. 802.1x puede evitar dispositivos no autorizados y la seguridad del puerto ayuda a evitar que alguien conecte un conmutador y siga el puerto. Recuerde que incluso con los mejores controles de red establecidos, debe tomar medidas a nivel de PC o los usuarios simplemente podrán ejecutar NAT en su PC y eludir las medidas de seguridad de su red.

Anónimo
fuente
1

Como se señaló, en primer lugar, las políticas son importantes. Esto puede parecer un punto de partida extraño, pero, desde un punto de vista corporativo y legal, a menos que defina y distribuya la política, si alguien la rompe, hay poco que pueda hacer. No tiene sentido asegurar la puerta si, cuando alguien entra, no puedes hacer nada para detenerlo.

¿Qué pasa con 802.11X? Realmente no le importa cuál es el punto de acceso, legal o no, siempre y cuando nadie tenga acceso a los recursos que se encuentran debajo. Si puede obtener el punto de acceso o el usuario más allá, para admitir 802.11X, sin aprobación, obtienen acceso, pero no pueden hacer nada.

De hecho, esto nos resulta útil, ya que asignamos diferentes VLAN en función de ello. Si lo aprueban, obtiene acceso a la VLAN corporativa, de lo contrario, es la red de anuncios incorporada. Queremos ver nuestros videos promocionales todo el día, estamos de acuerdo con eso.

user500123
fuente
¿Te refieres a 802.1X? Nunca se creó un grupo de trabajo IEEE 802.11X.
generalnetworkerror 01 de
0

La prevención es difícil.

Puede reemplazar los puertos Ethernet cableados mediante el uso de WiFi para todos los dispositivos, eliminando la necesidad de que las personas configuren sus propios AP. 802.1X para autenticar e IPsec para asegurar la conexión.

La detección puede ser solo de manera confiable:

Los enlaces inalámbricos tienen una alta pérdida de paquetes y probablemente una variación significativa de retraso. Al monitorear la pérdida y el retraso de paquetes, puede detectar conexiones a través de puntos de acceso de rouge.

philcolbourn
fuente
0

¿Has pensado en superponer los sistemas inalámbricos de prevención de intrusiones (WIPS)?

Los AP Rogue vienen en muchas formas, formas y tamaños (que van desde AP usb / soft a AP Rogue físicos reales). Necesita un sistema que pueda monitorear tanto el lado del aire como el cableado y correlacionar la información de ambos lados de la red para deducir si realmente existe una amenaza. Debería poder peinar hasta 100s de Ap y encontrar el que está conectado a su red

Rogue Ap es solo 1 tipo de amenaza wifi, ¿qué tal si sus clientes wifi se conectan a puntos de acceso externos visibles desde su oficina? El sistema IDS / IPS con cable no puede proteger completamente contra este tipo de amenazas.

Bhupinder Misra
fuente