it-swarm-eu.dev

Come bloccare o rilevare l'utente che configura il proprio AP wifi personale nella nostra LAN?

Recentemente, ho trovato un utente collegare una chiavetta USB WiFi sul suo desktop e impostare un AP senza password. Come possiamo rilevare o bloccare questo tramite le regole del firewall o altri approcci?

26
user15580

Qualcosa non detto, perché l'utente desidera un WiFi? Finché l'utente sente di avere un bisogno legittimo, continuerà a trovare soluzioni alternative a qualsiasi tentativo di bloccarlo.

Discutere con gli utenti cosa stanno cercando di realizzare. Forse crea una rete wifi ufficiale (usa tutti i metodi di sicurezza che desideri - sarà "tuo"). O meglio due - Guest e Corporate WAP.

Il WiFi non è qualcosa che deve essere bandito "solo perché", tuttavia ha bisogno di un'attenzione specifica, proprio come tutti gli altri aspetti della sicurezza.

45
Daniel

I firewall non possono dire da dove proviene il traffico in termini di rete fisica: vedono solo i dati forniti dal protocollo, come MAC/IP, che in questo caso non sono molto utili.

Penso che stai cadendo nella trappola della ricerca di una soluzione tecnica a un problema gestionale. Ricorda Immutable Law of Security # 10: la tecnologia non è una panacea. Mentre la tecnologia può fare cose sorprendenti, non può imporre il comportamento degli utenti.

Hai un utente che comporta rischi ingiustificati per l'organizzazione e che deve essere affrontato. La soluzione al tuo problema è politica , non tecnologia. Imposta una politica di sicurezza che dettaglia i comportamenti esplicitamente vietati e chiedi ai tuoi utenti di firmarla. Se violano tale politica, puoi andare dai tuoi superiori con prove della violazione e può essere applicata una sanzione.

14
Polynomial

Non esiste una regola firewall che ti possa aiutare: per costruzione, l'AP canaglia fornisce un percorso di rete che bypassa i tuoi firewall. Finché gli utenti hanno accesso fisico alle macchine che usano e alle loro porte USB (è difficile da evitare, a meno che non si versi la colla in tutte le porte USB ...) e che i sistemi operativi installati lo consentano (quindi di nuovo, difficile evitare se gli utenti sono "amministratori" sui loro sistemi, in particolare in BYOD contesti), quindi gli utenti possono imposta punti di accesso personalizzati che danno accesso, almeno, alla loro macchina.

Quello che puoi fare è usare un laptop, uno smartphone o un tablet per elencare un AP esistente e rintracciarlo, usando l'intensità del segnale come indizio della posizione fisica dell'AP. Tuttavia, in definitiva, questo è un problema politico: educare i tuoi utenti ai pericoli derivanti dall'impostazione di punti di accesso personalizzati; avvertirli che ciò è vietato dalle politiche di sicurezza locali e che saranno ritenuti responsabili (legalmente e finanziariamente) per ciò che potrebbe derivare da tale comportamento scorretto.

12
Thomas Pornin

Oltre alle risposte sul lato politico delle cose, ci sono un paio di approcci tecnici che possono aiutarti qui, a seconda di quanto sia strettamente controllato il tuo ambiente IT.

  1. Blocco della porta USB: nel tuo caso particolare l'utente ha utilizzato una chiavetta USB Wi-Fi per creare l'AP. Se disponi di un software in grado di bloccare le classi di dispositivi USB consentite (e i tuoi utenti non dispongono dei diritti di amministratore locale per disabilitarle), questa sarebbe un'opzione per limitare questo tipo di attività.
  2. Controllo dell'accesso alla rete: un altro modo per visualizzare access point non autorizzati sulla rete sarebbe per l'utente collegare un AP wireless standard a una porta Ethernet nella rete. Per aiutare a bloccare questo NAC potrebbe essere utilizzato per limitare l'accesso alla rete ai dispositivi approvati.
  3. Poiché @ thomas-pornin menziona sopra il rilevamento dell'AP può essere effettuato con uno scanner portatile, anche se si dispone di una rete wireless aziendale esistente, molti fornitori (ad esempio Cisco) forniranno un meccanismo di rilevamento del punto di accesso non autorizzato che utilizza il punti di accesso legittimi per rilevare i ladri.

Citerò che tutte queste misure possono essere ignorate da un aggressore determinato/esperto, tuttavia sarebbero probabilmente efficaci con gli utenti ordinari.

11
Rory McCune

In realtà sono piuttosto scioccato dal numero di persone che lo respingono come un problema politico o gestionale.

Sì, è necessario creare/applicare una politica in modo che sia possibile intraprendere azioni disciplinari appropriate se e quando un utente viene sorpreso a violare la politica.

Tuttavia, la politica da sola non impedisce che la tua rete/i tuoi dati vengano compromessi se un utente non segue la politica!

Se è nelle tue possibilità farlo, dovrebbe essere implementato un controllo tecnico.

Detto questo, se i tuoi utenti sono su Windows puoi dare un'occhiata a: http://www.wirelessautoswitch.com/about.aspx

È possibile implementare Criteri di gruppo per impedire ad altri utenti della rete di connettersi a AP non autorizzati: http://social.technet.Microsoft.com/Forums/en/w7itpronetworking/thread/7130f1a5-70fd-429f-8d41- 575085489bd1 tuttavia, ciò non impedisce ai cattivi di connettersi all'AP canaglia degli utenti.

Come menzionato da Rory, potresti disabilitare la porta USB ma questo non è sempre pratico a seconda della situazione.

10
k1DBLITZ

Informativa completa Lavoro per un grande partner della soluzione Cisco.

Come altri hanno già detto, un firewall non sarà di grande aiuto.

Esiste un'intera classe di prodotti chiamata sistema di rilevamento/prevenzione delle intrusioni wireless (WIDS/WIPS). Cisco, Aruba, Motorola Air Defense e Airtight Networks Spectraguard sono alcuni fornitori/prodotti in questa categoria. Non un elenco esaustivo. Per un piccolo cliente ho avuto la fortuna di implementare Airtight Networks perché hanno un modello ibrido on-premise/cloud che è economico e facile da avviare rapidamente. È anche molto efficace. Una delle caratteristiche era che poteva apprendere gli indirizzi MAC degli endpoint (laptop) della tua organizzazione e rilevare quando ne osservava uno che si collegava a una rete wireless non gestita dalla tua organizzazione. Potrebbe quindi avvisare l'utente e/o "bloccare" l'endpoint o l'AP (fare molta attenzione a non violare le leggi applicabili nella propria zona!)

Kismet è uno strumento wireless open source che può essere utilizzato (tra le altre cose) come sistema di rilevamento delle intrusioni wireless. Vedi http://www.kismetwireless.net/documentation.shtml

Camminare in giro con un laptop o un altro scanner portatile funziona sicuramente, ma solo quando si cammina :-) Ottimo per la risposta agli incidenti o la risoluzione dei problemi, ma non è una soluzione di monitoraggio wireless a lungo termine fattibile.

Un altro approccio tecnico è impedire ciò sul computer endpoint stesso. Altri hanno offerto buoni consigli su questo, quindi non lo ripeterò.

Naturalmente è molto importante anche creare politiche e fornire agli utenti un modo legittimo e sicuro per soddisfare le loro esigenze aziendali giustificate. Come per molti argomenti relativi alla sicurezza, per ottenere risultati positivi è necessaria una combinazione di controlli tecnici e amministrativi (politici).

Buona fortuna!

8
user15628

Se il punto di accesso non autorizzato funziona in modalità a ponte (quale sarà la maggior parte) vedrai gli indirizzi mac dei client wireless sulla porta dello switch del desktop.

È possibile bloccare questi indirizzi mac sconosciuti sulla maggior parte degli switch impostando il filtro dell'indirizzo della porta degli switch sulla modalità "impara e blocca": imparerà il primo indirizzo mac visualizzato e quindi bloccherà quelli nuovi. Lo switch potrebbe anche registrare quando bloccano un indirizzo mac sconosciuto.

Puoi anche farlo distribuendo 802.1x e autenticando ogni dispositivo sulla tua rete, anche se sarebbe più complicato da configurare.

8
JasperWallace

Sviluppa uno script che, in esecuzione su una macchina con hardware wireless, scansiona periodicamente l'ambiente wireless per la presenza di punti di accesso e li memorizza nella cache in un elenco persistente. Il programma può generare un allarme (ad es. E-mail agli amministratori) ogni volta che emerge un punto di accesso finora invisibile che viene aggiunto all'elenco. A quel punto è discrezione dell'amministratore se tale punto di accesso rientra nell'elenco persistente o deve essere cacciato e disabilitato.

Una risposta appropriata all'allarme potrebbe essere quella di inviare un'e-mail a tutto il personale dell'edificio:

Chiunque abbia avviato un punto di accesso con SSID "FooBar" ha 10 minuti per smontarlo e dimenticheremo tutto. Altrimenti puoi lasciare noi trovarlo. Non lo vuoi.

4
Kaz

Direi che è meglio se riesci a risolvere questo problema tra amministratori e utenti, poiché admin non è lì per bloccare "solo perché", ma piuttosto per supportare l'infrastruttura dell'organizzazione e aiutare gli utenti a svolgere il proprio lavoro più facilmente (non di più). Seguire la strada della misura rispetto alla contromisura per ogni politica rende solo più probabile che gli utenti siano meno propensi a considerare utile l'amministratore di rete e che il loro rispetto per l'amministratore possa farci impazzire. Detto questo, se il wifi è un grosso problema che è assolutamente necessario per ridurre (non solo perché è una politica, attenzione), allora puoi configurare 802.1x e far autenticare tutti i nodi che si connettono tramite wifi prima di ottenere l'accesso (anche questo tenere conto delle sessioni in modo che qualsiasi cosa accada debba essere monitorata). Inoltre, la sicurezza delle porte può essere implementata se il numero di nodi in una lan o vlan è noto, quindi il router non autorizzato può essere rilevato e neutralizzato. La sicurezza delle porte non è davvero un'ottima soluzione qui in quanto un semplice wifi wifi può aggirarlo (in questa situazione) ma può almeno soffocare l'attività dei router non autorizzati. La cosiddetta "guida di guerra" funziona bene e, se necessario e noto fondamentalmente dove potrebbero nascondersi gli AP, si sa che gli amministratori inviano tecnici per andare in giro con un laptop o un telefono alla ricerca in orari casuali per dare la caccia alle posizioni degli AP. Se non ti dispiace invadere la privacy, puoi regolare i privilegi su tutti i laptop controllati dall'organizzazione per monitorare l'attività e ricevere avvisi su qualsiasi tentativo di connessione ai punti wifi (e quindi AP non autorizzati).

2
stackuser

Mentre scrivo, ti sono state date un paio di risposte. Offro semplicemente un altro paio:

1.) Politica - ugh! Molti hanno menzionato la parolaccia, ma è vero. È necessario iniziare con una politica, che esiste come una dichiarazione aziendale che gli utenti devono seguire. Questa politica dovrebbe essere chiara nelle sue intenzioni e supportata da standard e linee di base.

2.) Non sono un fan di reinventare la ruota o di costruire un razzo quando una soluzione semplice funzionerà perfettamente. Per un po 'SANS ha avuto una serie di webcast in cui David Hoelzer ha insegnato vari trucchi rapidi per l'auditing. Uno di questi episodi ha discusso del rilevamento di AP ed è correlato alla tua domanda. Puoi vedere questo episodio qui: http://auditcasts.com/screencasts/4-can-you-hear-me-now

Pur non essendo completamente correlato, ho scoperto che la visione dell'episodio n. 3 è stata utile anche per comprendere la tecnologia wireless. http://auditcasts.com/screencasts/3-auditing-hacking-wpa-wpa2 (Non posso essere abbastanza chiaro qui, NON farlo senza autorizzazione esplicita).

Ho modificato un po 'la soluzione di David, ma l'ho applicata al mio ufficio ed è passata per la conformità PCI.

3.) Nessus offre un plug-in, in cui esegue la scansione dell'estremità cablata di un AP non autorizzato e segnala quando viene rilevato. Devi abbonarti al feed professionale di Nessus se lo utilizzerai in ufficio. È conveniente a $ 1.200,00 all'anno e ti consentirà di scansionare e supportare altre politiche come conformità delle patch, standard di costruzione, vulnerabilità.

Spero che ti dia una direzione, facci sapere cosa usi e come viene implementato.

cordiali saluti,

1
Awhitehatter

Diverse risposte precedenti (come Thomas Pornin ) hanno sottolineato la necessità di formazione degli utenti e applicazione delle politiche e hanno osservato che, se gli utenti hanno accesso come amministratore ai propri computer (o possono collegare i propri dispositivi alla rete cablata ), un determinato utente può sempre impostare un punto di accesso non autorizzato in modo da renderlo invisibile alla rete.

Tuttavia, direi che tale educazione sarebbe comunque più efficace se integrata con una soluzione tecnica che impedirebbe agli utenti di essere in grado di impostare punti di accesso non autorizzati semplicemente collegando una chiavetta USB. Certo, un utente con accesso come amministratore può sempre aggirarlo se lo desidera davvero e sa come farlo, ma almeno dovrà lavorarci e, si spera, non sarà in grado di farlo senza essere consapevole che stanno aggirando una misura di sicurezza.

È un po 'come proteggere la tua rete dai virus: per farlo in modo efficace, vuoi davvero entrambi educare i tuoi utenti e eseguono uno scanner antivirus. Entrambe le misure da sole non sono ottimali.


Per quanto riguarda come implementare una tale soluzione, un ovvio approccio sarebbe quello di impostare una regola firewall su tutte le workstation per rifiutare qualsiasi pacchetto IP che non provenga dall'host locale o che sia destinato a esso. Sui sistemi Linux, ad esempio, credo che la seguente politica iptables dovrebbe essere sufficiente:

iptables -F FORWARD
iptables -P FORWARD DROP

Ciò garantisce che tutti i pacchetti che entrano nella catena FORWARD (ovvero quelli che non sono generati localmente né destinati a socket locali) verranno eliminati incondizionatamente. Se vuoi essere gentile, puoi anche fargli generare un messaggio di rifiuto ICMP:

iptables -I FORWARD -j REJECT --reject-with icmp-Host-unreachable

Naturalmente, è necessario assicurarsi che queste regole vengano riapplicate ad ogni riavvio. In alternativa, puoi semplicemente disabilitare l'inoltro IPv4 nel kernel aggiungendo la seguente riga a /etc/sysctl.conf:

net.ipv4.ip_forward = 0

e in esecuzione sysctl -p per ricaricare il file (che avverrà automaticamente al riavvio).

Sfortunatamente, non ho abbastanza familiarità con l'amministrazione di rete di Windows da poter dire cosa potrebbe fare lo stesso trucco lì. (Inoltre, dovrei avvertire che non ho effettivamente testato che queste soluzioni funzionano nello scenario del PO. Si prega di fare i propri test prima di fare affidamento su di essi.)

1
Ilmari Karonen

Come è stato menzionato, il coinvolgimento degli utenti è la soluzione migliore qui. Tuttavia, va detto che in alcune situazioni potresti non voler assolutamente abilitare un wifi sulla tua rete.

Una possibile soluzione non menzionata qui. Se lavori in un ufficio di alta sicurezza per la cena. Dove il wifi è stato considerato ad alto rischio.

È possibile impostare un elenco di accesso limitato basato sugli indirizzi mac delle schede di rete dei dispositivi/stazioni di lavoro che consentono specificamente l'accesso su quella rete. Questo può essere un bel po 'di lavoro, dovendo ottenere l'indirizzo mac di ogni dispositivo che necessita dell'accesso al tuo sistema.

Ci sono ancora modi per aggirare questo problema spoofando l'indirizzo mac di qualche altra stazione di lavoro per consentire un dispositivo sconosciuto sulla rete. Richiede ancora un certo grado di abilità e know how. La maggior parte dei dispositivi Wifi non ha la possibilità di falsificare un indirizzo mac a meno che non si sappia come modificare il firmware dei dispositivi e non si abbia familiarità con la configurazione dei dispositivi a livello di riga di comando.

Le università assegnano un accesso alla rete per un indirizzo mac. Prima di poter accedere a Internet devi inserire l'indirizzo MAC del tuo computer su un sito di registrazione. Questo collega il tuo account utente di sistema con l'indirizzo mac del tuo computer. È necessario entrambi per poter accedere alla rete e a Internet. Questo link spiega come funziona. http://netreg.sourceforge.net/SysAdmin/

È possibile farlo a livello di DHCP, dove l'indirizzo IP è assegnato sulla rete. Nessun indirizzo IP nessun accesso sulla rete

http://www.yolinux.com/TUTORIALS/DHCP-Server.html

Puoi anche farlo a livello di firewall, che è molto più sicuro.

http://www.cyberciti.biz/tips/iptables-mac-address-filtering.html

Come ho affermato, questa non è una prova completa in quanto qualsiasi ente con tempo e sforzi sufficienti può superare qualsiasi tipo di sicurezza. In particolare tramite spoofing per mac.

0
nelaaro

La soluzione più drastica per mitigare questo tipo di rischio è di allontanare la rete dall'utente implementando VDI/Thin Client (Bentornato nell'era del mainframe :-)). Combinato con altre funzioni di sicurezza, dovrebbe relegare il problema all'accesso remoto.

Se ciò non è pratico, è preferibile disporre di un sistema che rilevi l'inserimento del tipo di dispositivo USB e invii silenziosamente un avviso al team di sicurezza piuttosto che bloccare il dispositivo USB poiché l'utente troverà altri mezzi per ottenere ciò di cui ha bisogno da cui potresti non essere protetto (es. porta il suo router wireless domestico e collegalo alla tua rete se non hai l'autenticazione).

0
Bowabos

Ecco una possibilità che aspetta solo che altri trovino buchi in esso:

  1. Fare in modo che tutte le connessioni di rete interne utilizzino la crittografia tra endpoint e router/switch centrali (set di). Potrebbe trattarsi di VPN o altre soluzioni.

  2. La personalizzazione della tecnologia di crittografia su ciascun endpoint che convalida tale endpoint non consente il routing/bridging attraverso di esso.

Ora tutto ciò che serve è un modo per confermare che la tecnologia di crittografia dell'endpoint è solo ciò che hai fornito e non violato.

Un esempio - NON UN APPROVAZIONE - delle soluzioni disponibili include http://juniper.net/us/en/solutions/enterprise/security-compliance/

0