Tergantung pada jenis lalu lintas apa yang melewati jaringan, seringkali tidak layak bahwa seorang karyawan membawa router nirkabel dan memasangnya di jaringan Anda. Ini karena seringkali, mereka tidak atau kurang diamankan dan menghadirkan backdoor ke dalam jaringan. Apa yang dapat Anda lakukan untuk mencegah titik akses nirkabel jahat diperkenalkan ke jaringan Anda?
Jawaban:
Jawaban Lucas di atas adalah sedikit titik awal. Namun ada dua atau tiga hal lain yang harus diperhatikan. Ini akhirnya menjadi agak di luar lingkup rekayasa jaringan , tetapi tentu saja memiliki dampak untuk rekayasa jaringan dan keamanan jadi begini.
Anda mungkin ingin beberapa cara mencegah kartu nirkabel di laptop perusahaan dari beralih ke mode ad hoc. Dengan asumsi laptop menjalankan Windows, Anda mungkin ingin menggunakan GPO untuk mengatur ke mode infrastruktur saja. Untuk Linux, lebih sulit untuk sepenuhnya membatasi, tetapi ada cara untuk melakukannya juga.
Menegakkan IPSec juga merupakan ide yang baik, terutama dengan manajemen kunci yang baik dan penegakan tepercaya. Misalnya, jika Anda dapat pergi ke sertifikat X509 untuk manajemen kunci, ini dapat menjaga perangkat yang tidak sah untuk berkomunikasi dengan seluruh jaringan Anda secara langsung. Pertimbangkan manajemen kunci sebagai bagian inti dari infrastruktur di sini. Jika Anda menggunakan server proxy, Anda bahkan dapat memblokir perangkat yang tidak sah dari mengakses internet.
Perhatikan keterbatasan upaya Anda. Tidak satu pun dari ini yang mencegah seseorang untuk mengatur titik akses nirkabel tanpa jaminan yang terhubung ke USB NIC, untuk tujuan komunikasi tunggal dengan komputer mereka, terutama jika SSID disembunyikan (mis. Tidak disiarkan).
Tidak yakin bagaimana cara mengatasi masalah lebih lanjut atau jika paranoia lanjut melewati titik pengembalian yang tidak mencukupi .....
Pertama-tama Anda perlu membuat kebijakan yang melarang memperkenalkan peralatan jaringan ke dalam jaringan yang tidak dimiliki atau disetujui oleh departemen TI perusahaan. Selanjutnya tegakkan keamanan port sehingga alamat mac yang tidak dikenal tidak dapat terhubung ke jaringan Anda.
Ketiga, buat jaringan nirkabel terpisah di bawah kendali Anda (jika Anda memberi mereka apa yang mereka inginkan, kecil kemungkinan mereka akan memperkenalkan AP nakal) (jika mungkin dan layak) untuk mengakses internet dengan perangkat (seluler) mereka. Jalur akses ini harus diamankan dengan PEAP atau serupa dan lebih disukai dijalankan pada jaringan yang terpisah.
Terakhir Anda juga dapat melakukan pemindaian keamanan rutin menggunakan alat seperti netstumbler untuk mendeteksi dan melacak titik akses jahat di jaringan Anda.
Ada juga opsi untuk melakukan IPsec melalui jaringan Anda sehingga jika seseorang membuat AP jahat, "gelombang" yang terekspos tidak akan mudah dibaca jika seseorang mengendus jaringan nirkabel.
Semua pengalaman saya sejauh ini adalah dengan produk-produk Cisco sehingga hanya itu yang bisa saya ajak bicara.
AP yang dikontrol WCS (ringan dan normal) memiliki kemampuan untuk mendeteksi dan melaporkan ketika SSID yang tidak tepercaya muncul dan berapa banyak klien yang terhubung dengannya. Jika Anda memiliki heatmap yang diatur dan sejumlah titik akses yang layak, Anda berpeluang cukup bagus untuk mengetahui di mana titik akses berada dekat dengan Titik Akses Anda. Satu-satunya sisi dari hal ini adalah bahwa jika Anda berada dekat dengan bar / kedai kopi / asrama perguruan tinggi / lingkungan mengharapkan untuk melihat halaman senilai "nakal" SSID yang berubah sesering orang bergerak.
WCS juga memiliki kemampuan untuk melakukan pelacakan switchport dan mengingatkan Anda jika bajingan dicolokkan ke jaringan Anda. Saya belum memiliki banyak keberuntungan untuk menjalankan ini. Sejujurnya aku tidak punya banyak waktu untuk bermain dengannya. Secara default, setidaknya di jaringan saya, tampaknya ada beberapa kesalahan positif dengan cara kerja jejak. Tanpa mencari dengan pasti, saya percaya itu hanya melihat OUI dari MAC dan jika cocok maka Anda mendapatkan peringatan tentang bajingan di jaringan.
Terakhir, WCS juga memiliki kemampuan untuk menahan pemadaman api AP / SSID. Itu dilakukan dengan menggunakan deauth dan memisahkan pesan ke klien yang terhubung ke AP itu.
Dari sudut pandang pemantauan, Anda bisa menjalankan alat seperti NetDisco untuk menemukan switchports dengan lebih banyak alamat MAC yang terhubung daripada yang Anda harapkan. Itu tidak akan secara otomatis mencegah WAP jahat dari diperkenalkan ke jaringan, tetapi itu akan membiarkan Anda menemukan satu setelah fakta.
Jika peralatan yang terhubung dengan switchports Anda dapat diperkirakan tetap statis, pembatasan alamat MAC (dengan pelanggaran yang dikonfigurasikan ke bawah switchport secara administratif) dapat mencegah perangkat jahat (bukan hanya WAP) agar tidak terhubung.
Hanya jika AP dalam mode bridging, Anda dapat menangkapnya dengan keamanan port.
Membatasi Jumlah alamat MAC tidak akan membantu, jika AP rouge juga dikonfigurasi sebagai "Router Nirkabel"
Pengintaian DHCP sangat membantu, karena ia akan menangkap Wireless AP, terhubung ke belakang yaitu port LAN dari perangkat rogeu yang memiliki DHCP diaktifkan terhubung ke jaringan Anda, pengintaian DHCP akan menjatuhkan lalu lintas.
Dengan anggaran minimal mengintai DHCP adalah satu-satunya pilihan saya, saya hanya menunggu sampai pengguna cukup bodoh untuk menyambungkan AP mereka ke belakang ... lalu saya pergi berburu :)
Secara pribadi, jika jaringan sebagian besar merupakan toko Cisco semua, berarti setidaknya lapisan akses Anda diatur dengan switch Cisco; Saya akan melihat keamanan port dan DHCP Snooping sebagai cara untuk menjaga terhadap masalah jenis ini. Mengatur maksimal 1 alamat MAC pada semua port Akses akan menjadi ekstrim tetapi akan memastikan bahwa hanya 1 perangkat yang dapat muncul di switchport pada suatu waktu. Saya juga akan mengatur port ke shutdown jika lebih dari 1 MAC muncul. Jika Anda memutuskan untuk mengizinkan lebih dari 1 MAC, pengintaian DHCP akan membantu karena sebagian besar Router Nirkabel kelas konsumen memperkenalkan DHCP di subnet lokal ketika pengguna akhir menghubungkan perangkat ke switchport. Pada titik itu, keamanan port akan mematikan switchport setelah DHCP mengintip mendeteksi bahwa Access Point menawarkan DHCP.
Jangan lupa bahwa Anda juga dapat menjalankan 802.1x pada port berkabel. 802.1x dapat mencegah perangkat yang tidak sah dan keamanan port membantu mencegah seseorang menghubungkan switch dan menyesuaikan port. Ingatlah bahwa bahkan dengan kontrol jaringan terbaik yang ada, Anda harus mengambil langkah-langkah di tingkat PC atau pengguna hanya akan dapat menjalankan NAT di PC mereka dan memotong langkah-langkah keamanan jaringan Anda.
Sebagaimana dicatat, pertama dan terpenting, kebijakan penting. Ini mungkin tampak seperti titik awal yang aneh, tetapi, dari sudut pandang korporat dan hukum, kecuali jika Anda mendefinisikan dan mendistribusikan kebijakan tersebut, jika seseorang melanggarnya, ada sedikit yang dapat Anda lakukan. Tidak ada gunanya mengamankan pintu jika, ketika seseorang mendobrak, Anda tidak dapat melakukan apa pun untuk menghentikannya.
Bagaimana dengan 802.11X. Anda tidak benar-benar peduli tentang apa jalur akses itu, legal atau tidak, asalkan tidak ada yang mendapatkan akses ke sumber daya di bawahnya. Jika Anda bisa mendapatkan titik akses atau pengguna di luar itu, untuk mendukung 802.11X, tanpa persetujuan, mereka mendapatkan akses, tetapi mereka tidak dapat melakukan apa pun.
Kami sebenarnya menemukan ini berguna karena kami menetapkan VLAN yang berbeda berdasarkan itu. Jika Anda disetujui, Anda mendapatkan akses ke VLAN perusahaan, jika tidak, itu adalah jaringan iklan dalam-bangunan. Ingin menonton video promo kami sepanjang hari, kami setuju dengan itu.
Nessus memiliki plugin untuk mendeteksi AP yang nakal - Anda dapat membuat skrip pemindaian agar terlihat secara berkala.
http://www.tenable.com/blog/using-nessus-to-discover-rogue-access-points
Pencegahan sulit.
Anda bisa mengganti port Ethernet kabel dengan menggunakan WiFi untuk semua perangkat - menghilangkan kebutuhan orang untuk mengatur AP mereka sendiri. 802.1X untuk mengotentikasi dan IPsec untuk mengamankan koneksi.
Deteksi mungkin hanya cara yang andal:
Tautan nirkabel memiliki kehilangan paket yang tinggi dan mungkin variasi penundaan yang signifikan. Dengan memantau kehilangan dan penundaan paket, Anda dapat mendeteksi koneksi melalui titik akses pemerah.
Pernahkah Anda berpikir untuk melapisi WIPS?
Rogue AP datang dalam berbagai bentuk bentuk dan ukuran (mulai dari usb / soft AP ke Rogue AP fisik yang sebenarnya). Anda memerlukan suatu sistem yang dapat memonitor udara dan sisi kabel dan menghubungkan informasi dari kedua sisi jaringan untuk menyimpulkan jika ancaman benar-benar ada. Seharusnya dapat menyisir melalui 100-an Ap dan menemukan yang terhubung ke jaringan Anda
Rogue Ap hanya 1 jenis ancaman wifi, bagaimana dengan klien wifi Anda yang terhubung ke AP eksternal yang terlihat dari kantor Anda. Sistem IDS / IPS berkabel tidak dapat sepenuhnya melindungi dari ancaman semacam ini.