Comment empêchez-vous les points d'accès sans fil indésirables sur un réseau?

En fonction du type de trafic acheminé sur le réseau, il est souvent impossible qu'un employé apporte un routeur sans fil et l'installe sur votre réseau. En effet, souvent, ils ne sont pas ou mal sécurisés et présentent une porte dérobée dans le réseau. Que pouvez-vous faire pour empêcher l’introduction de points d’accès sans fil non autorisés dans votre réseau?

La réponse de Lucas ci-dessus est un peu un point de départ. Il y a cependant deux ou trois autres choses à considérer. Celles-ci finissent par être un peu en dehors du domaine de l' ingénierie réseau , mais elles ont certainement des impacts sur l'ingénierie et la sécurité des réseaux.

1. Vous voulez probablement un moyen d'empêcher que les cartes sans fil des ordinateurs portables de l'entreprise passent en mode ad hoc. En supposant que les ordinateurs portables fonctionnent sous Windows, vous souhaiterez probablement utiliser un objet de stratégie de groupe pour définir le mode infrastructure uniquement. Pour Linux, il est plus difficile de limiter totalement, mais il existe aussi des moyens de le faire.

2. L'application de la sécurité IPSec est également une bonne idée, notamment avec une bonne gestion des clés et une application de confiance. Par exemple, si vous pouvez utiliser les certificats X509 pour la gestion des clés, cela peut empêcher les périphériques non autorisés de communiquer directement avec le reste de votre réseau. Envisagez la gestion des clés comme une partie essentielle de l’infrastructure. Si vous utilisez un serveur proxy, vous pourrez même empêcher des périphériques non autorisés d’accéder à Internet.

3. Notez les limites de vos efforts. Aucune de ces solutions n'empêche une personne de configurer un point d'accès sans fil non sécurisé connecté à une carte réseau USB, uniquement à des fins de communication avec son ordinateur, en particulier si le SSID est masqué (c'est-à-dire qu'il n'est pas diffusé).

Vous ne savez pas comment limiter davantage les problèmes ou si la paranoïa est bien au-delà du seuil des retours insuffisants .....

Tout d'abord, vous devez créer une politique interdisant d'introduire dans le réseau des équipements de réseau qui ne sont ni la propriété ni approuvés par le service informatique de l'entreprise. Ensuite, appliquez la sécurité du port afin que les adresses mac inconnues ne puissent pas se connecter à votre réseau.

Troisièmement, configurez un réseau sans fil séparé sous votre contrôle (si vous leur donnez ce qu'ils veulent, ils sont moins susceptibles d'introduire des points d'accès indésirables) (si possible et réalisable) pour accéder à Internet avec leurs appareils (mobiles). Ces points d'accès doivent être sécurisés avec PEAP ou similaire et de préférence sur un réseau séparé.

Enfin, vous pouvez également effectuer des analyses de sécurité régulières à l'aide d'outils tels que netstumbler pour détecter et suivre les points d'accès non autorisés de votre réseau.

Il est également possible d'exécuter IPsec sur votre réseau afin que, si quelqu'un configure un point d'accès non autorisé, les «ondes» exposées ne seront pas lisibles si quelqu'un sniffe le réseau sans fil.

Jusqu'ici, toute mon expérience concerne les produits Cisco. C'est tout ce dont je peux vraiment parler.

Les points d'accès contrôlés par le WCS (légers et normaux) ont la capacité de détecter et d'indiquer quand des SSID non approuvés apparaissent et combien de clients y sont connectés. Si vous avez des cartes thermiques et un nombre décent de points d’accès, vous avez de bonnes chances de savoir où il se trouve à proximité de vos points d’accès. Le seul inconvénient, c’est que si vous êtes à proximité de bars / cafés / dortoirs universitaires / quartiers, attendez-vous à voir des pages de SSID "voyous" qui changent aussi souvent que les gens le font.

Le WCS peut également effectuer un suivi du switchport et vous alerter si des voleurs sont connectés à votre réseau. Je n'ai pas encore eu beaucoup de chance pour que cela fonctionne. Honnêtement, je n'ai pas eu beaucoup de temps pour jouer avec. Par défaut, du moins sur mon réseau, il semble y avoir plusieurs faux positifs avec le fonctionnement de la trace. Sans chercher à coup sûr, je pense qu’il ne s’agit que de l’OUI du MAC et s’il correspond, vous recevez une alerte concernant un voleur sur le réseau.

Enfin, le WCS peut également contenir des AP / SSID rouges. Cela se fait en utilisant deauth et en dissociant les messages à tous les clients connectés à ce point d'accès.

Du point de vue de la surveillance, vous pouvez exécuter un outil tel que NetDisco pour rechercher des ports de commutation avec plus d’adresses MAC connectées que prévu. Cela n'empêcherait pas automatiquement l'introduction d'un réseau WAP non autorisé sur le réseau, mais vous permettrait d'en trouver un après coup.

Si les équipements connectés à vos switchports doivent rester statiques, la limitation des adresses MAC (avec des violations configurées pour administrer le switchport par voie administrative) peut empêcher la connexion de tout périphérique non autorisé (pas uniquement les WAP).

• Ce n'est que si le point d'accès est en mode pontage que vous pouvez l'attraper avec la sécurité du port.

• Limiter Le nombre d'adresses MAC ne vous aidera pas si le point d'accès rouge est également configuré en tant que "routeur sans fil"

• La surveillance DHCP est utile car elle détecte le point d'accès sans fil connecté en arrière, c'est-à-dire que le port LAN des périphériques rogeu sur lesquels DHCP est activé est connecté à votre réseau. La surveillance DHCP supprime le trafic.

• Avec un budget minimal, la surveillance DHCP est ma seule option, j'attends juste qu'un utilisateur soit assez bête pour brancher son AP en arrière ... puis je pars à la chasse :)

Personnellement, si le réseau est pour la plupart un magasin Cisco, cela signifie qu'au moins votre couche d'accès est configurée avec des commutateurs Cisco; Je considérerais la sécurité des ports et la surveillance DHCP comme un moyen de se protéger contre ce type de problème. La définition d'un maximum de 1 adresse MAC sur tous les ports d'accès serait extrême mais garantirait qu'un seul périphérique puisse s'afficher à la fois sur un switchport. Je voudrais également définir le port à l'arrêt si plus de 1 MAC apparaît. Si vous décidez d'autoriser plus d'un MAC, la surveillance DHCP vous aidera, car la plupart des routeurs sans fil grand public introduisent DHCP dans le sous-réseau local lorsque l'utilisateur final connecte le périphérique au switchport. À ce stade, la sécurité du port arrêterait le switchport une fois que la surveillance DHCP détecterait que le point d'accès offrait le protocole DHCP.

N'oubliez pas que vous pouvez également exécuter 802.1x sur des ports câblés. 802.1x peut empêcher les périphériques non autorisés et la sécurité des ports empêche toute personne de connecter un commutateur et de personnaliser le port. N'oubliez pas que même avec les meilleurs contrôles réseau en place, vous devez prendre des mesures au niveau du PC, sinon les utilisateurs pourront tout simplement exécuter NAT sur leur PC et contourner les mesures de sécurité de votre réseau.

Comme indiqué précédemment, les politiques sont importantes. Cela peut sembler un point de départ étrange, mais d’un point de vue juridique et commercial, à moins que vous définissiez et distribuiez la stratégie, si vous la violez, vous ne pouvez rien faire. Inutile de sécuriser la porte si, quand quelqu'un s'introduit, vous ne pouvez rien faire pour l'arrêter.

Qu'en est-il de 802.11X. Vous ne vous souciez pas vraiment de ce qu'est le point d'accès, légal ou non, tant que personne n'a accès aux ressources situées en dessous. Si vous pouvez obtenir le point d'accès ou l'utilisateur au-delà, prendre en charge 802.11X, sans approbation, ils obtiendront l'accès, mais ils ne pourront rien faire.

En fait, nous trouvons cela utile, car nous affectons différents VLAN en fonction de celui-ci. Si vous êtes approuvé, vous avez accès au VLAN de l'entreprise. Sinon, il s'agit du réseau publicitaire en construction. Vous voulez regarder nos vidéos promotionnelles toute la journée, nous sommes d'accord avec ça.

Nessus a un plugin pour détecter les points d'accès non autorisés - vous pouvez créer un script pour une analyse périodique.

http://www.tenable.com/blog/using-nessus-to-discover-rogue-access-points

La prévention est difficile.

Vous pouvez remplacer les ports Ethernet câblés en utilisant le Wi-Fi pour tous les périphériques, éliminant ainsi le besoin pour les utilisateurs de configurer leurs propres points d'accès. 802.1X pour s’authentifier et IPsec pour sécuriser la connexion.

La détection peut n'être qu'un moyen fiable:

Les liaisons sans fil ont une perte de paquets élevée et une variation de retard probablement importante. En surveillant la perte et le délai des paquets, vous pouvez détecter les connexions sur des points d'accès sans fil.

Avez-vous pensé à superposer des systèmes de prévention d'intrusion sans fil (WIPS)?

Les points d'accès Rogue se présentent sous de nombreuses formes et tailles (allant de l'AP usb / soft aux points d'accès Rogue physiques réels). Vous avez besoin d'un système capable de surveiller à la fois les côtés aérien et câblé et en corrélant les informations des deux côtés du réseau pour en déduire si une menace est réellement présente. Il devrait être capable de combiner des centaines d'Ap et trouver celui qui est branché sur votre réseau

Rogue Ap n'est qu'un type de menace wifi, que diriez-vous de vos clients wifi qui se connectent à des points d'accès externes visibles depuis votre bureau. Le système IDS / IPS câblé ne peut pas protéger complètement contre ce type de menaces.