Comment empêchez-vous les points d'accès sans fil indésirables sur un réseau?

39

En fonction du type de trafic acheminé sur le réseau, il est souvent impossible qu'un employé apporte un routeur sans fil et l'installe sur votre réseau. En effet, souvent, ils ne sont pas ou mal sécurisés et présentent une porte dérobée dans le réseau. Que pouvez-vous faire pour empêcher l’introduction de points d’accès sans fil non autorisés dans votre réseau?

Lucas Kauffman
la source

Réponses:

29

La réponse de Lucas ci-dessus est un peu un point de départ. Il y a cependant deux ou trois autres choses à considérer. Celles-ci finissent par être un peu en dehors du domaine de l' ingénierie réseau , mais elles ont certainement des impacts sur l'ingénierie et la sécurité des réseaux.

  1. Vous voulez probablement un moyen d'empêcher que les cartes sans fil des ordinateurs portables de l'entreprise passent en mode ad hoc. En supposant que les ordinateurs portables fonctionnent sous Windows, vous souhaiterez probablement utiliser un objet de stratégie de groupe pour définir le mode infrastructure uniquement. Pour Linux, il est plus difficile de limiter totalement, mais il existe aussi des moyens de le faire.

  2. L'application de la sécurité IPSec est également une bonne idée, notamment avec une bonne gestion des clés et une application de confiance. Par exemple, si vous pouvez utiliser les certificats X509 pour la gestion des clés, cela peut empêcher les périphériques non autorisés de communiquer directement avec le reste de votre réseau. Envisagez la gestion des clés comme une partie essentielle de l’infrastructure. Si vous utilisez un serveur proxy, vous pourrez même empêcher des périphériques non autorisés d’accéder à Internet.

  3. Notez les limites de vos efforts. Aucune de ces solutions n'empêche une personne de configurer un point d'accès sans fil non sécurisé connecté à une carte réseau USB, uniquement à des fins de communication avec son ordinateur, en particulier si le SSID est masqué (c'est-à-dire qu'il n'est pas diffusé).

Vous ne savez pas comment limiter davantage les problèmes ou si la paranoïa est bien au-delà du seuil des retours insuffisants .....

Chris Travers
la source
3
+1 pour la désactivation du mode Ad-hoc, il est facile de rater le fait que vos propres périphériques gérés peuvent être transformés en points d'accès non autorisés.
MDMoore313
2
@ MDMoore313: Une STA Ad-Hoc n'est pas un AP.
BatchyX
@ BatchyX c'est vrai, mon erreur.
MDMoore313
Je ne pense pas qu'on puisse aussi exécuter un AP sous Windows. On peut sous Linux si la carte sans fil et le pilote le supportent bien. Voilà donc une dernière chose sur la liste de contrôle de Linux .....
Chris Travers
1
@ ChrisTravers: Oui, vous pouvez bien travailler aussi. Voir virtualrouter.codeplex.com , entre autres
erict le
14

Tout d'abord, vous devez créer une politique interdisant d'introduire dans le réseau des équipements de réseau qui ne sont ni la propriété ni approuvés par le service informatique de l'entreprise. Ensuite, appliquez la sécurité du port afin que les adresses mac inconnues ne puissent pas se connecter à votre réseau.

Troisièmement, configurez un réseau sans fil séparé sous votre contrôle (si vous leur donnez ce qu'ils veulent, ils sont moins susceptibles d'introduire des points d'accès indésirables) (si possible et réalisable) pour accéder à Internet avec leurs appareils (mobiles). Ces points d'accès doivent être sécurisés avec PEAP ou similaire et de préférence sur un réseau séparé.

Enfin, vous pouvez également effectuer des analyses de sécurité régulières à l'aide d'outils tels que netstumbler pour détecter et suivre les points d'accès non autorisés de votre réseau.

Il est également possible d'exécuter IPsec sur votre réseau afin que, si quelqu'un configure un point d'accès non autorisé, les «ondes» exposées ne seront pas lisibles si quelqu'un sniffe le réseau sans fil.

Lucas Kauffman
la source
2
En outre, des fournisseurs tels que Meraki ont intégré la détection ET la suppression des points d'accès non autorisés et enverront activement les déconnexions, forçant ainsi les utilisateurs associés à des points non autorisés à perdre la connexion et à se ré-associer.
SimonJGreen
@SimonJGreen: cette méthode ne fonctionnera pas avec les stations et les points d'accès compatibles 802.11w.
BatchyX
@SimonJGreen gardez à l'esprit que la FCC a infligé une grosse amende à quelqu'un qui l'a fait. Négliger délibérément avec les communications sans fil d'autres personnes n'est pas correct.
Peter Green
"Troisièmement, configurez un réseau sans fil séparé sous votre contrôle (si vous leur donnez ce qu'ils veulent, ils sont moins susceptibles d'introduire des points d'accès indésirables) (si possible et réalisable)" Exactement cela. personne ne fait des efforts et ne dépense pour la mise en place de son propre AP car il se contente de ce qui est déjà disponible. Répondez à leurs besoins correctement et vous n'aurez pas à vous inquiéter s'ils essaient de le faire de manière incorrecte.
Alexander - Réintégrer Monica
8

Jusqu'ici, toute mon expérience concerne les produits Cisco. C'est tout ce dont je peux vraiment parler.

Les points d'accès contrôlés par le WCS (légers et normaux) ont la capacité de détecter et d'indiquer quand des SSID non approuvés apparaissent et combien de clients y sont connectés. Si vous avez des cartes thermiques et un nombre décent de points d’accès, vous avez de bonnes chances de savoir où il se trouve à proximité de vos points d’accès. Le seul inconvénient, c’est que si vous êtes à proximité de bars / cafés / dortoirs universitaires / quartiers, attendez-vous à voir des pages de SSID "voyous" qui changent aussi souvent que les gens le font.

Le WCS peut également effectuer un suivi du switchport et vous alerter si des voleurs sont connectés à votre réseau. Je n'ai pas encore eu beaucoup de chance pour que cela fonctionne. Honnêtement, je n'ai pas eu beaucoup de temps pour jouer avec. Par défaut, du moins sur mon réseau, il semble y avoir plusieurs faux positifs avec le fonctionnement de la trace. Sans chercher à coup sûr, je pense qu’il ne s’agit que de l’OUI du MAC et s’il correspond, vous recevez une alerte concernant un voleur sur le réseau.

Enfin, le WCS peut également contenir des AP / SSID rouges. Cela se fait en utilisant deauth et en dissociant les messages à tous les clients connectés à ce point d'accès.

Mike
la source
2
+1 pour la détection des données non fiables par le WCS. J'ai travaillé avec Ruckus, Aerohive et Meraki, et chaque fournisseur a mis en place une détection des données non fiables. Il est particulièrement important de noter que nombre d'entre eux reconnaîtront également un périphérique non autorisé connecté au réseau, ceux que vous souhaitez aborder en premier.
Réseau Canuck
2
Gardez à l'esprit l'eau chaude légale dans laquelle vous pouvez vous trouver si vous activez ce confinement d'AP sur WCS / WLC, à moins que vous ne possédiez un campus suffisamment grand et que vous ne puissiez montrer légalement qu'aucun autre AP provenant de sociétés voisines soit présent et que vous ne conteniez que des AP apportés. dans votre environnement qui n'aurait aucun autre moyen d'y parvenir.
generalnetworkerror
Le mode de confinement des AP dans le WLC fonctionne assez bien. Je l’ai fait sur quelques points d’accès pour le plaisir sur mon lieu de travail et j’étais littéralement assis juste à côté de l’application malhonnête avec mon ordinateur portable (environ 10 cm) et j’ai été incapable de rejoindre le réseau. Une application client malhonnête que j'ai essayée ne pouvait même pas afficher son code ssid. Si je me souviens bien, il a aussi redémarré après quelques minutes
knotseh
6

Du point de vue de la surveillance, vous pouvez exécuter un outil tel que NetDisco pour rechercher des ports de commutation avec plus d’adresses MAC connectées que prévu. Cela n'empêcherait pas automatiquement l'introduction d'un réseau WAP non autorisé sur le réseau, mais vous permettrait d'en trouver un après coup.

Si les équipements connectés à vos switchports doivent rester statiques, la limitation des adresses MAC (avec des violations configurées pour administrer le switchport par voie administrative) peut empêcher la connexion de tout périphérique non autorisé (pas uniquement les WAP).

vitisimus
la source
1
l'adresse mac collante est une implémentation du monde réel.
MDMoore313
4
  • Ce n'est que si le point d'accès est en mode pontage que vous pouvez l'attraper avec la sécurité du port.

  • Limiter Le nombre d'adresses MAC ne vous aidera pas si le point d'accès rouge est également configuré en tant que "routeur sans fil"

  • La surveillance DHCP est utile car elle détecte le point d'accès sans fil connecté en arrière, c'est-à-dire que le port LAN des périphériques rogeu sur lesquels DHCP est activé est connecté à votre réseau. La surveillance DHCP supprime le trafic.

  • Avec un budget minimal, la surveillance DHCP est ma seule option, j'attends juste qu'un utilisateur soit assez bête pour brancher son AP en arrière ... puis je pars à la chasse :)

Hyussuf
la source
3

Personnellement, si le réseau est pour la plupart un magasin Cisco, cela signifie qu'au moins votre couche d'accès est configurée avec des commutateurs Cisco; Je considérerais la sécurité des ports et la surveillance DHCP comme un moyen de se protéger contre ce type de problème. La définition d'un maximum de 1 adresse MAC sur tous les ports d'accès serait extrême mais garantirait qu'un seul périphérique puisse s'afficher à la fois sur un switchport. Je voudrais également définir le port à l'arrêt si plus de 1 MAC apparaît. Si vous décidez d'autoriser plus d'un MAC, la surveillance DHCP vous aidera, car la plupart des routeurs sans fil grand public introduisent DHCP dans le sous-réseau local lorsque l'utilisateur final connecte le périphérique au switchport. À ce stade, la sécurité du port arrêterait le switchport une fois que la surveillance DHCP détecterait que le point d'accès offrait le protocole DHCP.

infinisource
la source
a) Le dhcp snooping ne les attrapera que s’ils branchent le côté réseau local du routeur exécutant dhcp sur le réseau. et b) le dhcp snooping ne fermera pas le port; il abandonne simplement le trafic du serveur DHCP sur des ports non fiables. (Je n'ai jamais eu un port fermé par le dhcp espionnant)
Ricky Beam
Vous avez raison, le DHCP Snooping ne les intercepte que s’ils connectent le côté réseau local du routeur au réseau. J'ai vu des utilisateurs finaux faire cela. Maintenant, ce que je n'ai pas dit, c'est que DHCP Snooping ferait fermer le port, j'ai dit que la sécurité des ports le ferait.
infinisource
Vous avez dit "la sécurité du port ponctuel arrêterait le switchport une fois que la surveillance DHCP détecte ..." La surveillance DHCP empêche simplement les réponses d'entrer dans le réseau et éventuellement de perturber les opérations normales (lire: serveur dhcp non autorisé). C'est la limite MAC de la sécurité du port qui ' Supprime le port une fois que plusieurs périphériques sont visibles sur le port. C'est probablement une diffusion DHCP DISCOVER qui la déclenchera, mais c'est un client que la surveillance ne bloquera pas. Le dispositif obtiendra une adresse de l'AP, et essayera d'aller sur le net ...
Ricky Beam
Ok je reste corrigé. Besoin de réfléchir avant d'écrire à l'avenir. Malheureusement, j'ai vu où un utilisateur final pontait notre réseau avec son point d'accès sans fil du côté réseau local de son appareil et vous avez raison, la sécurité du port, et non le DHCP Snooping, ferme le port.
infinisource
Question idiote: "Sécurité du port" est un port comme port sur un commutateur, et non pas un port comme port 80, [ou ce que vous avez], n'est-ce pas?
Ruffin
2

N'oubliez pas que vous pouvez également exécuter 802.1x sur des ports câblés. 802.1x peut empêcher les périphériques non autorisés et la sécurité des ports empêche toute personne de connecter un commutateur et de personnaliser le port. N'oubliez pas que même avec les meilleurs contrôles réseau en place, vous devez prendre des mesures au niveau du PC, sinon les utilisateurs pourront tout simplement exécuter NAT sur leur PC et contourner les mesures de sécurité de votre réseau.

Anonyme
la source
1

Comme indiqué précédemment, les politiques sont importantes. Cela peut sembler un point de départ étrange, mais d’un point de vue juridique et commercial, à moins que vous définissiez et distribuiez la stratégie, si vous la violez, vous ne pouvez rien faire. Inutile de sécuriser la porte si, quand quelqu'un s'introduit, vous ne pouvez rien faire pour l'arrêter.

Qu'en est-il de 802.11X. Vous ne vous souciez pas vraiment de ce qu'est le point d'accès, légal ou non, tant que personne n'a accès aux ressources situées en dessous. Si vous pouvez obtenir le point d'accès ou l'utilisateur au-delà, prendre en charge 802.11X, sans approbation, ils obtiendront l'accès, mais ils ne pourront rien faire.

En fait, nous trouvons cela utile, car nous affectons différents VLAN en fonction de celui-ci. Si vous êtes approuvé, vous avez accès au VLAN de l'entreprise. Sinon, il s'agit du réseau publicitaire en construction. Vous voulez regarder nos vidéos promotionnelles toute la journée, nous sommes d'accord avec ça.

utilisateur500123
la source
Voulez-vous dire 802.1X? Aucun groupe de travail IEEE 802.11X n'a ​​jamais été créé.
generalnetworkerror
0

La prévention est difficile.

Vous pouvez remplacer les ports Ethernet câblés en utilisant le Wi-Fi pour tous les périphériques, éliminant ainsi le besoin pour les utilisateurs de configurer leurs propres points d'accès. 802.1X pour s’authentifier et IPsec pour sécuriser la connexion.

La détection peut n'être qu'un moyen fiable:

Les liaisons sans fil ont une perte de paquets élevée et une variation de retard probablement importante. En surveillant la perte et le délai des paquets, vous pouvez détecter les connexions sur des points d'accès sans fil.

philcolbourn
la source
0

Avez-vous pensé à superposer des systèmes de prévention d'intrusion sans fil (WIPS)?

Les points d'accès Rogue se présentent sous de nombreuses formes et tailles (allant de l'AP usb / soft aux points d'accès Rogue physiques réels). Vous avez besoin d'un système capable de surveiller à la fois les côtés aérien et câblé et en corrélant les informations des deux côtés du réseau pour en déduire si une menace est réellement présente. Il devrait être capable de combiner des centaines d'Ap et trouver celui qui est branché sur votre réseau

Rogue Ap n'est qu'un type de menace wifi, que diriez-vous de vos clients wifi qui se connectent à des points d'accès externes visibles depuis votre bureau. Le système IDS / IPS câblé ne peut pas protéger complètement contre ce type de menaces.

Bhupinder Misra
la source