La respuesta de Lucas anterior es un punto de partida. Sin embargo, hay otras dos o tres cosas que deben considerarse. Estos terminan estando algo fuera del alcance de la ingeniería de redes , pero ciertamente tienen impactos para la ingeniería de redes y la seguridad, así que aquí van.
Probablemente desee alguna forma de evitar que las tarjetas inalámbricas en las computadoras portátiles de la compañía se cambien al modo ad hoc. Suponiendo que las computadoras portátiles ejecutan Windows, probablemente desee usar un GPO para configurar solo el modo de infraestructura. Para Linux, es más difícil restringirlo por completo, pero también hay formas de hacerlo.
Hacer cumplir IPSec también es una buena idea, particularmente con una buena administración de claves y una aplicación confiable. Por ejemplo, si puede ir a los certificados X509 para la administración de claves, esto puede evitar que los dispositivos no autorizados se comuniquen directamente con el resto de su red. Considere la administración de claves como una parte central de la infraestructura aquí. Si utiliza un servidor proxy, incluso puede bloquear el acceso a Internet de dispositivos no autorizados.
Tenga en cuenta las limitaciones de sus esfuerzos. Ninguno de estos impide que una persona configure un punto de acceso inalámbrico no seguro conectado a una NIC USB, con el único propósito de comunicarse con su computadora, especialmente si el SSID está oculto (es decir, no se transmite).
No estoy seguro de cómo contener aún más los problemas o si la paranoia más allá del punto de retorno insuficiente ...
En primer lugar, debe crear una política que prohíba la introducción de equipos de red en la red que no sea propiedad ni esté aprobada por el departamento de TI de la empresa. A continuación, aplique la seguridad del puerto para que direcciones MAC desconocidas no puedan conectarse a su red.
En tercer lugar, configure una red inalámbrica separada bajo su control (si les da lo que quieren, es menos probable que introduzcan AP corruptos) (si es posible y factible) para acceder a Internet con sus dispositivos (móviles). Estos puntos de acceso deben asegurarse con PEAP o similar y, preferiblemente, ejecutarse en una red separada.
Por último, también puede realizar exploraciones de seguridad periódicas utilizando herramientas como netstumbler para detectar y rastrear puntos de acceso no autorizados en su red.
También existe la opción de realizar IPsec a través de su red para que, en caso de que alguien configure un AP no autorizado, las "ondas" expuestas no sean legibles en caso de que alguien detecte la red inalámbrica.
fuente
Toda mi experiencia hasta ahora ha sido con productos de Cisco, así que eso es todo con lo que realmente puedo hablar.
Los AP controlados por WCS (ligeros y normales) tienen la capacidad de detectar e informar cuándo aparecen SSID no confiables y cuántos clientes están conectados a él. Si tiene configurados mapas de calor y un número decente de puntos de acceso, tiene una muy buena posibilidad de poder descubrir dónde está el punto de acceso cerca de sus puntos de acceso. El único inconveniente de esto es que si está cerca de bares / cafeterías / residencias universitarias / vecindarios, espere ver páginas con SSID "corruptos" que cambian con tanta frecuencia como la gente se mueve.
El WCS también tiene la capacidad de hacer un seguimiento del puerto de conmutación y alertarlo si los delincuentes están conectados a su red. Todavía tengo mucha suerte para que esto funcione. Sinceramente, no he tenido mucho tiempo para jugar. Por defecto, al menos en mi red, parece haber bastantes falsos positivos con la forma en que funciona el rastreo. Sin estar seguro, creo que solo mira OUI del MAC y si coincide, recibirá una alerta sobre un pícaro en la red.
Por último, el WCS también tiene la capacidad de contener AP / SSID de rouge. Lo hace mediante el uso de mensajes de deauth y disociación a cualquier cliente que esté conectado a ese AP.
fuente
Desde el punto de vista de la supervisión, puede ejecutar una herramienta como NetDisco para buscar puertos de conmutación con más direcciones MAC conectadas de lo que esperaría. No evitaría automáticamente que se introduzca un WAP falso en la red, pero le permitirá encontrar uno después del hecho.
Si se puede esperar que el equipo conectado a sus puertos de conmutación permanezca estático, la limitación de la dirección MAC (con violaciones configuradas para desactivar administrativamente el puerto de conmutación) podría evitar que se conecte cualquier dispositivo no autorizado (no solo WAP).
fuente
Solo si el AP está en modo puente puede atraparlo con la seguridad del puerto.
Limitación El número de direcciones MAC no ayudará, en el caso de que el AP Rouge también esté configurado como un "Enrutador inalámbrico"
La inspección DHCP es útil, ya que capturará el AP inalámbrico, conectado hacia atrás, es decir, el puerto LAN de los dispositivos rogeu que tiene DHCP habilitado está conectado a su red, la inspección DHCP disminuirá el tráfico.
Con un presupuesto mínimo, la inspección de DHCP es mi única opción, solo espero hasta que un usuario sea lo suficientemente tonto como para conectar su AP al revés ... y luego voy a cazar :)
fuente
Personalmente, si la red es en su mayor parte una tienda de Cisco, lo que significa que al menos su capa de acceso está configurada con conmutadores Cisco; Consideraría la seguridad portuaria y el DHCP Snooping como una forma de protegerse contra este tipo de problema. Establecer un máximo de 1 dirección MAC en todos los puertos de acceso sería extremo, pero garantizaría que solo un dispositivo pudiera aparecer en un puerto de conmutación a la vez. También configuraría el puerto para que se apague si aparece más de 1 MAC. Si decide permitir más de 1 MAC, la indagación DHCP ayudaría, ya que la mayoría de los enrutadores inalámbricos de grado de consumidor introducen DHCP en la subred local cuando el usuario final conecta el dispositivo al puerto del conmutador. En ese punto, la seguridad del puerto cerraría el puerto de conmutación una vez que la inspección DHCP detecte que el punto de acceso está ofreciendo DHCP.
fuente
No olvide que también puede ejecutar 802.1x en puertos con cable. 802.1x puede evitar dispositivos no autorizados y la seguridad del puerto ayuda a evitar que alguien conecte un conmutador y siga el puerto. Recuerde que incluso con los mejores controles de red establecidos, debe tomar medidas a nivel de PC o los usuarios simplemente podrán ejecutar NAT en su PC y eludir las medidas de seguridad de su red.
fuente
Como se señaló, en primer lugar, las políticas son importantes. Esto puede parecer un punto de partida extraño, pero, desde un punto de vista corporativo y legal, a menos que defina y distribuya la política, si alguien la rompe, hay poco que pueda hacer. No tiene sentido asegurar la puerta si, cuando alguien entra, no puedes hacer nada para detenerlo.
¿Qué pasa con 802.11X? Realmente no le importa cuál es el punto de acceso, legal o no, siempre y cuando nadie tenga acceso a los recursos que se encuentran debajo. Si puede obtener el punto de acceso o el usuario más allá, para admitir 802.11X, sin aprobación, obtienen acceso, pero no pueden hacer nada.
De hecho, esto nos resulta útil, ya que asignamos diferentes VLAN en función de ello. Si lo aprueban, obtiene acceso a la VLAN corporativa, de lo contrario, es la red de anuncios incorporada. Queremos ver nuestros videos promocionales todo el día, estamos de acuerdo con eso.
fuente
Nessus tiene un complemento para detectar puntos de acceso no autorizados: puede realizar una secuencia de comandos de escaneo para ver periódicamente.
http://www.tenable.com/blog/using-nessus-to-discover-rogue-access-points
fuente
La prevención es difícil.
Puede reemplazar los puertos Ethernet cableados mediante el uso de WiFi para todos los dispositivos, eliminando la necesidad de que las personas configuren sus propios AP. 802.1X para autenticar e IPsec para asegurar la conexión.
La detección puede ser solo de manera confiable:
Los enlaces inalámbricos tienen una alta pérdida de paquetes y probablemente una variación significativa de retraso. Al monitorear la pérdida y el retraso de paquetes, puede detectar conexiones a través de puntos de acceso de rouge.
fuente
¿Has pensado en superponer los sistemas inalámbricos de prevención de intrusiones (WIPS)?
Los AP Rogue vienen en muchas formas, formas y tamaños (que van desde AP usb / soft a AP Rogue físicos reales). Necesita un sistema que pueda monitorear tanto el lado del aire como el cableado y correlacionar la información de ambos lados de la red para deducir si realmente existe una amenaza. Debería poder peinar hasta 100s de Ap y encontrar el que está conectado a su red
Rogue Ap es solo 1 tipo de amenaza wifi, ¿qué tal si sus clientes wifi se conectan a puntos de acceso externos visibles desde su oficina? El sistema IDS / IPS con cable no puede proteger completamente contra este tipo de amenazas.
fuente