根据网络上传输的流量类型,员工携带无线路由器并将其设置到您的网络中通常是不可行的。这是因为它们通常没有安全保护或安全保护欠佳,并为网络提供了后门。如何防止流氓无线接入点引入网络?

#1 楼

卢卡斯的上述回答只是一个起点。但是,还必须考虑其他两三件事。这些最终超出了网络工程的范围,但是肯定会对网络工程和安全性产生影响,因此请放心使用。


您可能想要某种防止公司笔记本电脑中无线网卡的方法从切换到临时模式。假设笔记本电脑运行的是Windows,您可能只想使用GPO设置为基础架构模式。对于Linux,很难完全限制,但也有一些方法可以做到这一点。
实施IPSec也是一个好主意,尤其是在具有良好的密钥管理和受信任的实施的情况下。例如,如果您可以使用X509证书进行密钥管理,则可以防止未经授权的设备直接与网络的其余部分进行通信。在这里,将密钥管理视为基础结构的核心部分。如果您使用代理服务器,甚至可以阻止未经授权的设备访问Internet。
请注意您所做工作的局限性。所有这些都不能阻止一个人建立与USB NIC连接的不安全的无线访问点,其唯一目的是与他们的计算机进行通信,尤其是在SSID被隐藏(即不广播)的情况下。确定如何进一步控制问题,或者进一步的偏执是否已经远远超过了回报不足的程度.....

评论


+1用于禁用Ad-hoc模式,很容易错过您自己的托管设备可以变成恶意AP的情况。

– MDMoore313
13年5月8日在14:58

@ MDMoore313:临时STA不是AP。

–BatchyX
13年5月19日在9:16

@BatchyX是的,我的错。

– MDMoore313
13年5月20日在0:06

我认为没有人也可以在Windows上运行AP。如果无线卡和驱动程序支持,则可以在Linux上使用。这是Linux检查清单上的另一件事。

–克里斯·特拉弗斯(Chris Travers)
13年5月20日在1:22

@ChrisTravers:是的,您也可以很好地工作。参见virtualrouter.codeplex.com等

– ecret
2013年9月5日19:40

#2 楼

首先,您需要制定一个策略,禁止将未经公司IT部门拥有或批准的网络设备引入网络。接下来实施端口安全性,以使未知的Mac地址无法连接到您的网络。

在您的控制下第三步设置一个单独的无线网络(如果您给他们他们想要的东西,则它们不太可能引入恶意AP) (如果可能和可行的话),以使用其(移动)设备访问互联网。这些访问点应使用PEAP或类似的方法来保护,并且最好在单独的网络上运行。

还可以选择在您的网络上执行IPsec,这样,如果有人确实设置了恶意AP,则在有人嗅探无线网络的情况下,暴露的“电波”将无法被清晰地读取。

评论


除此之外,Meraki等供应商还内置了恶意AP检测和抑制功能,并将主动发送断开连接,从而迫使与恶意点关联的用户断开连接并重新关联。

–SimonJGreen
13年5月8日在12:56

@SimonJGreen:此方法不适用于支持802.11w的站点和AP。

–BatchyX
13年5月19日在9:15

@SimonJGreen请记住,FCC已向这样做的人处以巨额罚款。故意弄乱别人的无线通讯是不行的。

– Peter Green
16年3月26日在20:10

“第三步在您的控制下建立一个单独的无线网络(如果您给他们他们想要的东西,那么他们不太可能引入恶意AP)(如果可能和可行的话)”正是这样。没有人会为建立自己的AP付出努力和花费,因为他们对已经可以使用的内容感到满意。正确满足他们的需求,您不必担心他们会错误地做到这一点。

–亚历山大
19年5月28日在4:36

#3 楼

到目前为止,我的所有经验都是有关Cisco产品的,所以我只能说真正的话。弹出并显示有多少个客户端连接。
如果设置了热图,并且有相当数量的接入点,那么您很有可能能够确定接入点在您的AP附近的位置。 。唯一的缺点是,如果您紧邻酒吧/咖啡厅/大学宿舍/社区,那么您期望看到的“流氓” SSID页面会随着人们的移动而频繁变化。

WCS还可以进行一些切换端口跟踪,并在流氓被插入到您的网络中时提醒您。要使它正常工作,我还没有很大的运气。老实说,我没有太多时间玩它。默认情况下,至少在我的网络上,跟踪的工作方式似乎存在很多错误肯定的提示。不确定,我相信它只会查看MAC的OUI,如果匹配,则您会收到有关网络上的恶意的警报。 AP / SSID。它通过使用取消身份验证和取消将消息与连接到该AP的任何客户端的关联来实现。

评论


+1用于WCS恶意检测。我已经与Ruckus,Aerohive和Meraki进行了一些合作,并且每个供应商都已配备了恶意检测工具。特别要注意的是,其中许多还可以识别在线上也存在的恶意设备,这是您首先要解决的设备。

– Network Canuck
2013年5月9日14:59

请记住,如果在WCS / WLC上启用了AP容纳,您将发现自己处于合法困境,除非您拥有足够大的校园,并且不能合法地表明附近没有其他AP可以存在,并且您仅包含已带来的AP进入您的环境,再没有其他方法可以到达那里。

–generalnetworkerror
2013年6月1日18:18

WLC中的AP遏制模式效果很好。我已经在工作场所中的几个接入点上做到了这一点,使我在工作中很有趣,实际上我正坐在我的笔记本电脑(例如10厘米)旁边的流氓ap旁边,无法加入网络。我尝试过的一个消费者流氓ap甚至无法显示它的ssid。如果我记得几分钟后它也重新启动

–knotseh
2013年6月5日4:33

#4 楼

从监视的角度来看,您可以运行NetDisco之类的工具来查找连接了比预期更多的MAC地址的交换机端口。它不会自动阻止将恶意WAP引入网络,但是可以让您在事后找到一个。

如果可以期望与交换机端口连接的设备保持静态,则MAC地址限制(将违规行为配置为在管理上关闭交换机端口)可能会阻止连接任何恶意设备(而不仅仅是WAP)。

评论


mac address sticky是真实的实现。

– MDMoore313
13年5月8日在15:00

#5 楼


仅当AP处于桥接模式时,您才能使用端口安全性捕获它。 。
DHCP侦听很有用,因为它将捕获反向连接的无线AP,即,如果启用了DHCP的恶意设备的LAN端口连接到您的网络,则DHCP侦听将丢弃流量。
用最小的预算,DHCP监听是我唯一的选择,我只是等到用户愚蠢到足以将他们的AP反向插入...然后我开始狩猎:)


#6 楼

就个人而言,如果网络大部分是整个思科商店,则意味着至少您的访问层已安装了思科交换机;我将端口安全性和DHCP侦听作为防范此类问题的一种方式。在所有访问端口上最多设置1个MAC地址是极端的做法,但可以确保一次只能在交换机端口上显示1个设备。如果显示1个以上的MAC地址,我还将端口设置为关闭。如果您决定允许超过1个MAC,则DHCP侦听将有所帮助,因为当最终用户将设备插入交换端口时,大多数消费者级无线路由器都会在本地子网中引入DHCP。到那时,一旦DHCP侦听检测到访问点正在提供DHCP,端口安全性就会关闭交换机端口。

评论


a)dhcp监听只会在它们将运行dhcp的路由器的lan插入网络时捕获它们。 b)dhcp监听不会关闭端口;它只是将dhcp服务器流量丢弃在不受信任的端口上。 (我从来没有通过dhcp snooping关闭端口)

–瑞奇
2013年6月4日19:13

没错,DHCP侦听仅在它们将路由器的局域网侧插入网络时才会捕获它们。我已经看到最终用户可以这样做。现在我没有说DHCP监听会关闭端口,我确实说过端口安全会关闭它。

– infinisource
2013年6月4日19:18

您说过:“一旦DHCP侦听检测到,点端口安全将关闭交换机端口。” DHCP侦听将仅阻止答案进入网络,并可能破坏正常操作(请参阅:rogue dhcp服务器)。端口安全的MAC限制就是一旦在端口上看到多个设备,将杀死该端口。很有可能是DHCP DISCOVER广播会触发该广播,但这是监听不会阻塞的客户端操作。设备将从AP获取地址,然后尝试上网。

–瑞奇
2013年6月4日19:34

好的,我纠正了。以后写之前需要思考。不幸的是,我已经看到最终用户在其设备的LAN端通过无线AP在我们的网络上架起了桥梁,而您是正确的端口安全,而不是DHCP侦听将端口关闭。

– infinisource
2013年6月4日19:42

愚蠢的问题:“端口安全性”是作为交换机上的端口作为端口,而不是作为端口80上的端口[或您有什么],对吗?

–松饼
2014年10月6日17:55

#7 楼

不要忘记,您也可以在有线端口上运行802.1x。 802.1x可以防止未经授权的设备,并且端口安全性可以防止某人钩挂交换机并尾随端口。请记住,即使有了最佳的网络控制,您也必须在PC级别采取措施,否则用户将只能在其PC上运行NAT并绕过网络安全措施。

#8 楼

如前所述,政策至关重要。这似乎是一个奇怪的起点,但是,从公司和法律的角度来看,除非您定义和分发该政策,否则如果有人违反了该政策,您将无能为力。如果有人闯入时,您无能为力,那就没办法关上门。

802.11X怎么样?只要没有人能够访问该访问点下面的资源,您就不会真正在乎访问点是否合法。如果您可以让接入点或超出该接入点的用户获得802.11X的支持,而无需批准,他们就可以访问,但他们无能为力。

我们实际上发现了这一点,因为我们基于它分配了不同的VLAN。如果获得批准,则可以访问公司VLAN,否则,它就是内置广告网络。想要整天观看促销视频,我们可以接受。

评论


您是说802.1X吗?从来没有创建过IEEE 802.11X工作组。

–generalnetworkerror
2013年6月1日18:11

#9 楼

Nessus有一个用于检测恶意AP的插件-您可以编写一个扫描脚本,以定期查看。点数

#10 楼

预防很难。使用802.1X进行身份验证,使用IPsec进行安全连接。检测可能是唯一可靠的方法:无线链路丢包率很高,延迟变化可能很大。通过监视数据包丢失和延迟,您可以检测到大量访问点上的连接。

#11 楼

您是否对覆盖无线入侵防御系统(WIPS)有任何想法?您需要一个系统可以同时监视空中和有线一侧并关联来自网络两侧的信息,以推断是否确实存在威胁。它应该能够梳理出数百个Ap,并找到插入到您的网络中的那个办公室。
有线IDS / IPS系统不能完全防御此类威胁。