Recentemente, ho trovato un utente che collega una chiavetta Wi-Fi USB sul suo desktop e ha configurato un AP senza password. Come possiamo rilevarlo o bloccarlo tramite regole firewall o altro approccio?
Recentemente, ho trovato un utente che collega una chiavetta Wi-Fi USB sul suo desktop e ha configurato un AP senza password. Come possiamo rilevarlo o bloccarlo tramite regole firewall o altro approccio?
Qualcosa non detto, perché l'utente desidera un WiFi? Finché l'utente sente di avere una necessità legittima, continuerà a trovare soluzioni alternative a qualsiasi tentativo di bloccarlo.
Discuti con gli utenti cosa stanno cercando di realizzare. Forse crea una rete Wi-Fi ufficiale (usa tutti i metodi di sicurezza che desideri: sarà "tua"). O, meglio, due: WAP ospiti e aziendali.
Il WiFi non è qualcosa che deve essere bandito "solo perché", tuttavia richiede un'attenzione specifica, proprio come tutti gli altri aspetti della sicurezza.
I firewall non sono in grado di dire da dove proviene il traffico in termini di rete fisica: vedono solo i dati forniti dal protocollo, come MAC / IP, che in questo caso non sono molto utili.
Penso che tu stia cadendo nella trappola di cercare una soluzione tecnica a un problema gestionale. Ricorda la Immutable Law of Security # 10: la tecnologia non è una panacea. Sebbene la tecnologia possa fare cose sorprendenti, non può imporre il comportamento degli utenti.
Hai un utente che sta portando rischi indebiti per l'organizzazione e quel rischio deve essere affrontato. La soluzione al tuo problema è la politica , non la tecnologia. Imposta una politica di sicurezza che descriva in dettaglio i comportamenti esplicitamente non consentiti e chiedi ai tuoi utenti di firmarla. Se violano tale politica, puoi andare dai tuoi superiori con le prove della violazione e una sanzione può essere applicata.
Non esiste una regola del firewall che possa aiutarti: per costruzione, l'AP canaglia fornisce un percorso di rete che aggira i tuoi firewall. Finché gli utenti hanno accesso fisico alle macchine che usano e alle loro porte USB (è difficile da evitare, a meno che non si versi la colla in tutte le porte USB ...) e che i sistemi operativi installati lo consentano (poi di nuovo, difficile evitare se gli utenti sono "amministratori" sui loro sistemi, in particolare in contesti BYOD), gli utenti possono configurare punti di accesso personalizzati che danno accesso almeno alla loro macchina .
Quello che puoi fare è utilizzare un laptop, uno smartphone o un tablet per elencare gli AP esistenti e rintracciarli, utilizzando la potenza del segnale come indizio della posizione fisica dell'AP. Tuttavia, in ultima analisi, si tratta di una questione politica: educare i propri utenti ai pericoli derivanti dall'impostazione di punti di accesso personalizzati; avvertirli che ciò è vietato dalle politiche di sicurezza locali e che saranno ritenuti responsabili (legalmente e finanziariamente) di ciò che potrebbe derivare da tale comportamento scorretto.
Oltre alle risposte sul lato politico, ci sono un paio di approcci tecnici che possono aiutarti in questo caso, a seconda di quanto sia strettamente controllato il tuo ambiente IT.
Menzionerò che tutti le misure possono essere aggirate da un aggressore determinato / esperto, tuttavia potrebbero essere efficaci con gli utenti normali.
In realtà sono piuttosto scioccato dal numero di persone che lo considerano un problema politico o manageriale.
Sì, è necessario creare / applicare una norma in modo che possa essere intrapresa un'azione disciplinare appropriata se o quando un utente viene colto in violazione delle norme.
Tuttavia , la politica da sola non impedirà la compromissione della rete / dei dati se un utente non segue la politica!
Se è nelle tue capacità, è assolutamente necessario implementare un controllo tecnico.
Detto questo, se i tuoi utenti utilizzano Windows, puoi dare un'occhiata a : http://www.wirelessautoswitch.com/about.aspx
È possibile implementare Criteri di gruppo per impedire ad altri utenti sulla rete di connettersi ad AP non autorizzati: http : //social.technet.microsoft.com/Forums/en/w7itpronetworking/thread/7130f1a5-70fd-429f-8d41-575085489bd1, tuttavia, ciò non impedirà ai malintenzionati di connettersi all'AP non autorizzato degli utenti.
Come ha detto Rory, potresti scegliere la strada per disabilitare le porte USB, ma questo non è sempre pratico a seconda della tua situazione.
Divulgazione completa Lavoro per un grande partner di soluzioni Cisco.
Come altri hanno già detto, un firewall non sarà di grande aiuto.
Esiste un intera classe di prodotti denominata sistema di rilevamento / prevenzione delle intrusioni wireless (WIDS / WIPS). Cisco, Aruba, Motorola Air Defense e Airtight Networks Spectraguard sono alcuni fornitori / prodotti di questa categoria. Non è un elenco esaustivo. Per un piccolo cliente ho avuto la fortuna di implementare Airtight Networks perché hanno un modello ibrido on-premise / cloud che è poco costoso e facile da avviare rapidamente. È anche molto efficace. Una caratteristica che aveva era che poteva apprendere gli indirizzi MAC degli endpoint della tua organizzazione (laptop) e rilevare quando ne osservava uno che si unisce a una rete wireless non gestita dalla tua organizzazione. Potrebbe quindi avvisarti e / o "bloccare" l'endpoint o l'AP (fai molta attenzione a non infrangere le leggi applicabili nella tua zona!)
Kismet è uno strumento wireless open source che può essere utilizzato (tra i tanti altre cose) come sistema di rilevamento delle intrusioni wireless. Vedi http://www.kismetwireless.net/documentation.shtml
Andare in giro con un laptop o un altro scanner portatile funziona certamente, ma solo quando sei in giro: - ) Ottimo per la risposta agli incidenti o la risoluzione dei problemi, ma non è una soluzione di monitoraggio wireless fattibile a lungo termine.
Un altro approccio tecnico è impedire che ciò accada sul computer endpoint incriminato stesso. Altri hanno offerto buoni consigli in merito, quindi non lo ripeterò.
Ovviamente è anche molto importante creare criteri e fornire agli utenti un modo legittimo e sicuro per soddisfare le loro esigenze aziendali giustificate. Come per tanti argomenti sulla sicurezza, per avere successo è necessaria una combinazione di controlli tecnici e amministrativi (policy).
Buona fortuna!
Se il punto di accesso non autorizzato funziona in modalità bridged (quale sarà la maggior parte) vedrai gli indirizzi mac dei client wireless sulla porta dello switch del desktop.
Puoi blocca questi indirizzi mac sconosciuti sulla maggior parte degli switch impostando il filtro degli indirizzi della porta degli switch sulla modalità "apprendi e poi blocca": apprenderà il primo indirizzo mac visto e quindi ne bloccherà di nuovi. Lo switch potrebbe anche registrare quando blocca un indirizzo Mac sconosciuto.
Puoi farlo anche distribuendo 802.1x e autenticando ogni dispositivo sulla tua rete, anche se sarebbe più complicato da configurare.
Sviluppa uno script che, in esecuzione su una macchina con hardware wireless, scansiona periodicamente l'ambiente wireless per la presenza di punti di accesso e li memorizza nella cache in un elenco persistente. Il programma può lanciare un allarme (ad es. E-mail agli amministratori) ogni volta che un punto di accesso fino ad ora sconosciuto emerge e viene aggiunto all'elenco. A quel punto è discrezione dell'amministratore se quel punto di accesso va nell'elenco persistente o deve essere scovato e disabilitato.
Una risposta appropriata all'allarme potrebbe essere l'invio di un'e-mail a tutti personale nell'edificio:
Chiunque abbia avviato un punto di accesso con SSID "FooBar" ha 10 minuti per rimuoverlo e dimenticheremo tutto. Oppure puoi farci trovare da noi . Non lo vuoi.
Direi che è meglio se riesci a risolvere questo problema tra amministratori e utenti, poiché l'amministratore non è lì per bloccare "solo perché" ma piuttosto per supportare l'infrastruttura dell'organizzazione e aiutare gli utenti a svolgere il loro lavoro più facilmente (non più difficile ). Seguendo la strada della misura e della contromisura per ciascuna politica, è più probabile che gli utenti saranno meno inclini a vedere l'amministratore di rete come utile e il loro rispetto per l'amministratore potrebbe essere assalito. Detto questo, se il wifi è un grosso problema che è assolutamente necessario ridurre (non solo perché questa è la politica, intendiamoci), quindi puoi configurare 802.1x e fare in modo che tutti i nodi che si connettono tramite wifi si autenticino prima di ottenere l'accesso (anche questo terrà conto delle sessioni in modo che tutto ciò che accade dovrebbe essere monitorato ). Inoltre, la sicurezza della porta può essere implementata se il numero di nodi in una lan o vlan è noto, quindi il router canaglia può essere rilevato e neutralizzato. La sicurezza delle porte non è davvero un'ottima soluzione qui come un semplice wifi USB può aggirarlo (in questa situazione) ma può almeno soffocare l'attività dei router canaglia. La cosiddetta `` guida alla guerra '' funziona bene e, se necessario e noto fondamentalmente dove potrebbero nascondersi gli AP, gli amministratori sono stati conosciuti per inviare tecnici a camminare con un laptop o un telefono alla ricerca in momenti casuali per scovare le posizioni degli AP. Se non ti dispiace invadere la privacy, puoi regolare i privilegi su qualsiasi laptop controllato dall'organizzazione per monitorare l'attività e ricevere avvisi su qualsiasi tentativo di connessione a punti wifi (e quindi AP non autorizzati).
Diverse risposte precedenti (come Thomas Pornin) hanno enfatizzato la necessità di formazione degli utenti e l'applicazione delle policy e hanno notato che, se gli utenti hanno accesso come amministratore sui loro computer (o possono collegare i propri dispositivi a rete cablata), un determinato utente può sempre configurare un punto di accesso non autorizzato in modo da renderlo invisibile alla rete.
Tuttavia, direi che tale istruzione sarebbe comunque più efficace se integrata con una soluzione tecnica che impedirebbe agli utenti di impostare punti di accesso non autorizzati semplicemente collegando una chiavetta USB. Certo, un utente con accesso amministratore può sempre aggirarlo se lo desidera e sa come farlo, ma almeno dovrà lavorarci e, si spera, non sarà in grado di farlo senza esserne consapevole che stanno aggirando una misura di sicurezza.
È un po 'come proteggere la tua rete dai virus: per farlo in modo efficace, vuoi davvero entrambi istruire i tuoi utenti e eseguire uno scanner antivirus. Entrambe le misure da sole non sono ottimali.
Per quanto riguarda l'implementazione di una tale soluzione, un approccio ovvio sarebbe impostare una regola firewall su tutte le workstation per rifiutare i pacchetti IP che non provenire dall'host locale o essere destinato ad esso. Sui sistemi Linux, ad esempio, credo che la seguente policy iptables dovrebbe essere sufficiente:
iptables -F FORWARDiptables -P FORWARD DROP
Questo assicura che tutti i pacchetti che entrano nella catena FORWARD
(cioè quelli che non sono né generati localmente né destinati a socket locali) verranno eliminati incondizionatamente. Se vuoi essere gentile, puoi anche fargli generare un messaggio di rifiuto ICMP:
iptables -I FORWARD -j REJECT --reject-with icmp-host-unreachable
Ovviamente, devi assicurarti che queste regole vengano applicate nuovamente a ogni riavvio. In alternativa, puoi semplicemente disabilitare l'inoltro IPv4 nel kernel aggiungendo la seguente riga a /etc/sysctl.conf
:
net.ipv4.ip_forward = 0
ed eseguire sysctl -p
per ricaricare il file (cosa che avverrà automaticamente al riavvio).
Sfortunatamente, non ho abbastanza familiarità con Amministrazione di rete di Windows per poter dire cosa potrebbe fare lo stesso trucco lì. (Inoltre, dovrei avvertire che non ho effettivamente testato che queste soluzioni funzionano nello scenario dell'OP. Si prega di fare i propri test prima di fare affidamento su di loro.)
Mentre scrivo, ti sono state fornite un paio di risposte. Ne offro semplicemente un altro paio:
1.) Politica - ugh! Molti hanno menzionato la parolaccia, ma è vero. È necessario iniziare con una politica, che esiste come dichiarazione aziendale da seguire per gli utenti. Questa politica dovrebbe essere chiara nel suo intento e supportata da standard e linee di base.
2.) Non sono un fan di reinventare la ruota o di costruire un razzo quando una soluzione semplice funzionerà perfettamente. SANS ha tenuto una serie di webcast che andava forte per un po 'in cui David Hoelzer insegnava vari trucchi rapidi sull'auditing. Uno di questi episodi ha discusso il rilevamento degli AP ed è correlato alla tua domanda. Puoi visualizzare questo episodio qui: http://auditcasts.com/screencasts/4-can-you-hear-me-now
Anche se non completamente correlato, ho scoperto che la visione dell'episodio 3 è stata utile anche per comprendere la tecnologia wireless. http://auditcasts.com/screencasts/3-auditing-hacking-wpa-wpa2 (non posso essere abbastanza chiaro qui, NON farlo senza autorizzazione esplicita).
Ho modificato un po 'la soluzione di David, ma l'ho applicata al mio ufficio ed è passata per Conformità PCI.
3.) Nessus offre un plug-in, in cui esegue la scansione dell'estremità cablata di un AP Rogue e lo segnala quando viene rilevato. Dovrai iscriverti al feed professionale di Nessus se lo utilizzerai in ufficio. È conveniente a $ 1.200,00 all'anno e ti consentirà di scansionare e supportare altre politiche come la conformità delle patch, gli standard di creazione, le vulnerabilità.
Spero che questo ti dia una direzione, facci sapere cosa finisci per usare e come viene implementato.
cordiali saluti,
Ecco una possibilità che aspetta solo che altri trovino dei buchi in essa:
Fai in modo che tutte le connessioni di rete interne utilizzino la crittografia tra gli endpoint e un (insieme di) router / switch centrali. Potrebbe essere una VPN o altre soluzioni.
Personalizza la tecnologia di crittografia su ogni endpoint che convalida tale endpoint e non consente il routing / bridging attraverso di esso.
Ora tutto ciò che serve è un modo per convalidare che la tecnologia di crittografia dell'endpoint è solo ciò che hai fornito e non violato.
Un esempio - NON UN APPROVAZIONE - di disponibile le soluzioni includono http://juniper.net/us/en/solutions/enterprise/security-compliance/...
La soluzione più drastica per mitigare questo tipo di rischio è allontanare la rete dall'utente implementando VDI / Thin Client (Bentornati all'era del mainframe :-)). Combinato con altre funzioni di sicurezza, dovrebbe relegare il problema all'accesso remoto.
Se ciò non è pratico, è preferibile disporre di un sistema che rilevi l'inserimento del tipo di dispositivo USB e generi silenziosamente un avviso al team di sicurezza piuttosto che bloccarlo Dispositivo USB poiché l'utente troverà altri mezzi per ottenere ciò di cui ha bisogno da cui potresti non essere protetto (ad esempio, porta il suo router wireless di casa e collegalo alla tua rete se non hai l'autenticazione).
Come è stato detto, il coinvolgimento degli utenti è la soluzione migliore qui. Tuttavia, va detto che in alcune situazioni potresti non volere assolutamente un wifi abilitato sulla tua rete.
Una possibile soluzione non menzionata qui. Se stai lavorando in qualche ufficio di alta sicurezza per la cena. Dove il wifi è stato ritenuto ad alto rischio.
È possibile impostare un elenco di accesso limitato basato sugli indirizzi mac delle schede di rete dei dispositivi / postazioni di lavoro che consentono specificamente l'accesso su quella rete. Questo può essere un bel po 'di lavoro, dover ottenere l'indirizzo MAC di ogni dispositivo che deve accedere al tuo sistema.
Ci sono ancora modi per aggirare questo problema falsificando l'indirizzo MAC di qualche altra stazione di lavoro per consentire un dispositivo sconosciuto sulla rete. Richiede ancora un po 'di abilità e know how. La maggior parte dei dispositivi Wifi non ha la possibilità di falsificare un indirizzo MAC a meno che tu non sappia come modificare il firmware dei dispositivi e non ti senti a tuo agio con la configurazione dei dispositivi a livello di riga di comando.
Molte università hanno impostato un accesso alla rete per un indirizzo MAC. Prima di poter accedere a Internet, è necessario immettere l'indirizzo mac del computer in un sito di registrazione. Questo collega il tuo account utente di sistema con l'indirizzo mac del tuo computer. Sono necessari entrambi per poter accedere alla rete ea Internet. Questo collegamento spiega come funziona. http://netreg.sourceforge.net/SysAdmin/
Puoi farlo a livello DHCP, dove gli indirizzi ip sono assegnati sulla rete. Nessun indirizzo IP nessun accesso alla rete
http://www.yolinux.com/TUTORIALS/DHCP-Server.html
Puoi anche farlo questo a livello di firewall, che è molto più sicuro.
http://www.cyberciti.biz/tips/iptables-mac-address-filtering.html
Come ho affermato, questa non è una prova completa poiché qualsiasi ente con abbastanza tempo e impegno può aggirare qualsiasi tipo di sicurezza. In particolare tramite mac spoofing.
Immagino di avere una soluzione completamente diversa.
Una singola frase:
Accesso a Internet tramite una VPN che consente una sola sessione per utente.