Recentemente, ho trovato un utente collegare una chiavetta USB WiFi sul suo desktop e impostare un AP senza password. Come possiamo rilevare o bloccare questo tramite regole del firewall o altro approccio?
Qualcosa non detto, perché l'utente vuole un WiFi? Finché l'utente sente di avere una necessità legittima, continuerà a trovare soluzioni alternative per qualsiasi tentativo di blocco.
Discutere con gli utenti cosa stanno cercando di realizzare. Magari crea una rete wifi ufficiale (usa tutti i metodi di sicurezza che desideri - sarà "tua"). O, meglio, due - Guest e Corporate WAP.
Il WiFi non è qualcosa che deve essere bannato "solo perché", tuttavia ha bisogno di attenzioni specifiche, proprio come tutti gli altri aspetti della sicurezza.
I firewall non sono in grado di stabilire da dove viene il traffico in termini di rete fisica: vedono solo i dati forniti dal protocollo, come MAC / IP, che in questo caso non sono molto utili.
Penso che stai cadendo nella trappola di cercare una soluzione tecnica per un problema gestionale. Ricorda Legge immutabile sulla sicurezza # 10: la tecnologia non è una panacea. Anche se la tecnologia può fare cose incredibili, non può imporre il comportamento degli utenti.
Hai un utente che sta comportando un rischio indebito per l'organizzazione e che il rischio deve essere affrontato. La soluzione al tuo problema è policy , non la tecnologia. Configura una politica di sicurezza che dettagli i comportamenti esplicitamente non consentiti e chiedi ai tuoi utenti di firmarla. Se violano questa politica, puoi andare dai tuoi superiori con la prova della violazione e applicare una penalità.
Non esiste una regola firewall che possa aiutarti: per costruzione, l'AP non autorizzato fornisce un percorso di rete che ignora i tuoi firewall. Finché gli utenti hanno accesso fisico alle macchine che usano e alle loro porte USB (è difficile da evitare, a meno che non si cola la colla in tutte le porte USB ...) e che i sistemi operativi installati lo permettano (quindi, ancora una volta, difficile evitare se gli utenti sono "amministratori" nei loro sistemi, in particolare nei BYOD contesti), quindi gli utenti possono imposta i punti di accesso personalizzati che danno accesso, almeno, alla loro macchina.
Quello che puoi fare è usare un laptop, uno smartphone o un tablet per elencare gli AP esistenti e rintracciarli, usando la forza del segnale come indizio per la posizione fisica di AP. Tuttavia, in definitiva, si tratta di un problema politico: educare i propri utenti ai pericoli legati all'impostazione di punti di accesso personalizzati; avvisali che ciò è vietato dalle politiche di sicurezza locali e che saranno ritenute responsabili (legalmente e finanziariamente) per ciò che potrebbe derivare da tale comportamento scorretto.
Oltre alle risposte sul lato delle policy ci sono un paio di approcci tecnici che possono aiutarti, a seconda di quanto sia strettamente controllato il tuo ambiente IT.
Citerò che tutte queste misure possono essere aggirate da un attaccante determinato / esperto, tuttavia potrebbero essere efficaci con gli utenti ordinari.
In realtà sono piuttosto sconvolto dal numero di persone che hanno liquidato questo problema come una politica o un problema gestionale.
Sì, è necessario creare / applicare un criterio in modo da poter adottare azioni disciplinari appropriate se o quando un utente viene sorpreso a violare le norme.
Tuttavia, la sola politica non impedirà che la rete / i dati vengano compromessi se un utente non segue la policy!
Se è nella tua capacità di farlo, dovrebbe essere implementato un controllo tecnico.
Detto questo, se i tuoi utenti sono su Windows puoi dare un'occhiata a: link
È possibile implementare Criteri di gruppo per impedire agli altri utenti della rete di connettersi agli AP non autorizzati: link tuttavia, questo non impedirà ai cattivi di connettersi agli AP canaglia degli utenti.
Come accennato da Rory, potresti passare alla disattivazione delle porte USB, ma questo non è sempre pratico a seconda della situazione.
Informativa completa Lavoro per un grande partner di soluzioni Cisco.
Come altri hanno già detto, un firewall non sarà di grande aiuto.
Esiste un'intera classe di prodotti denominata sistema di rilevamento / prevenzione delle intrusioni wireless (WIDS / WIPS). Cisco, Aruba, Motorola Air Defence e Airtight Networks Spectraguard sono alcuni fornitori / prodotti in questa categoria. Non una lista esaustiva. Per un piccolo cliente ho avuto la fortuna di implementare Airtight Networks perché hanno un modello ibrido on-premise / cloud che è economico e facile da utilizzare rapidamente. È anche molto efficace. Una caratteristica era che poteva imparare gli indirizzi MAC degli endpoint della tua organizzazione (computer portatili) e rilevare quando osservava uno che entra in una rete wireless non gestita dalla tua organizzazione. Potrebbe quindi avvertirti e / o "bloccare" l'endpoint o l'AP (stai molto attento a non violare le leggi applicabili nella tua zona!)
Kismet è uno strumento wireless open source che può essere utilizzato (tra le altre cose) come un sistema di rilevamento delle intrusioni wireless. Vedi link
Viaggiare con un laptop o un altro scanner portatile funziona sicuramente, ma solo quando si cammina :-) Ottimo per la risposta agli incidenti o per la risoluzione dei problemi ma non per una soluzione di monitoraggio wireless a lungo termine possibile.
Un altro approccio tecnico è quello di prevenirli sul computer dell'endpoint in questione. Altri hanno offerto buoni consigli su questo, quindi non ripeterò.
Naturalmente, anche la creazione di una politica e la fornitura agli utenti di un modo legittimo e sicuro per soddisfare le loro esigenze aziendali giustificate è molto importante. Come con tanti argomenti in sicurezza, ci vuole una combinazione di controlli tecnici e amministrativi (policy) per avere successo.
Buona fortuna!
Se il rogue access point funziona in modalità bridge (che sarà la maggior parte) vedrai gli indirizzi mac dei client wireless sulla porta switch del desktop.
Puoi bloccare questi indirizzi mac sconosciuti sulla maggior parte degli interruttori impostando il filtro degli indirizzi della porta degli switch sulla modalità "impara poi il blocco": imparerà il primo indirizzo mac visto e poi ne bloccherà di nuovi. Lo switch potrebbe anche accedere quando blocca un indirizzo mac sconosciuto.
Puoi farlo anche distribuendo 802.1x e autentificando ogni dispositivo sulla tua rete che sarebbe più complicato da configurare.
Sviluppa uno script che, eseguito su una macchina con hardware wireless, analizza periodicamente l'ambiente wireless per la presenza di punti di accesso e li memorizza nella cache in un elenco permanente. Il programma può generare un allarme (ad es. E-mail agli amministratori) ogni volta che emerge un punto di accesso fino a quel momento invisibile che viene aggiunto all'elenco. A quel punto è la discrezione dell'amministratore se quel punto di accesso entra nell'elenco permanente, o deve essere ricercato e disabilitato.
Una risposta appropriata all'allarme potrebbe essere quella di inviare una e-mail a tutto il personale dell'edificio:
Chi ha aperto un punto di accesso con SSID "FooBar" ha 10 minuti per farlo e noi dimenticheremo l'intera faccenda. Oppure puoi consentire a noi di trovarlo. Non vuoi quello.
Direi che è meglio se riesci a risolverlo tra amministratori e utenti, dal momento che l'amministratore non è lì per bloccare "solo perché", ma piuttosto per supportare l'infrastruttura dell'organizzazione e aiutare gli utenti a svolgere il loro lavoro più facilmente (non più difficile ). Andando lungo la strada della misura e della contromisura per ogni politica, è più probabile che gli utenti siano meno inclini a vedere l'amministratore di rete come utile e il loro rispetto per l'amministratore possa essere un punto di svolta. Detto questo, se il wifi è un problema molto grande che è assolutamente necessario da ridimensionare (non solo perché questa è la tua idea), puoi configurare 802.1x e avere tutti i nodi che si connettono tramite WiFi prima di ottenere l'accesso (anche questo tenere conto delle sessioni in modo che tutto ciò che accade debba essere monitorato). Inoltre, la sicurezza della porta può essere implementata se il numero di nodi in una lan o vlan è noto, quindi il router canaglia può essere rilevato e neutralizzato. La sicurezza del porto in realtà non è una grande soluzione qui come un semplice wifi usb può aggirare il problema (in questa situazione) ma può almeno soffocare l'attività dei router canaglia. Il cosiddetto "war-driving" funziona bene e, se necessario e noto in pratica dove potrebbero nascondersi gli AP, è noto che gli amministratori inviano tecnici per andare in giro con un laptop o un telefono che cerca in momenti casuali per dare la caccia ai luoghi dell'AP. Se non ti dispiace invadere la privacy, puoi regolare i privilegi su qualsiasi laptop controllato dall'organizzazione per monitorare le attività e ricevere avvisi su qualsiasi tentativo di connessione ai punti wifi (e quindi agli AP non autorizzati).
Diverse risposte precedenti (come Thomas Pornin's ) hanno sottolineato la necessità di educare gli utenti e l'applicazione delle norme, e ha notato che , se gli utenti hanno accesso di amministratore sui loro computer (o possono collegare i propri dispositivi alla rete cablata), un utente determinato può sempre impostare un punto di accesso non autorizzato in un modo che lo rende invisibile alla rete.
Tuttavia, direi che tale formazione sarebbe comunque più efficace se integrata con una soluzione tecnica che impedirebbe agli utenti di creare punti di accesso non autorizzati semplicemente collegando una chiavetta USB. Certo, un utente con accesso amministratore può sempre eluderlo se lo desidera e sa come farlo, ma almeno dovrà lavorarci sopra, e si spera che non sarà in grado di farlo senza essere consapevoli che stanno aggirando una misura di sicurezza.
È un po 'come proteggere la tua rete dai virus: per farlo in modo efficace, vuoi davvero entrambi educare i tuoi e utenti a eseguire uno scanner antivirus. O una misura da sola non è ottimale.
Per quanto riguarda come implementare una soluzione del genere, un approccio ovvio sarebbe quello di impostare una regola firewall su tutte le workstation per rifiutare eventuali pacchetti IP che non hanno origine sull'host locale o che sono destinati ad esso. Sui sistemi Linux, ad esempio, credo che la seguente iptables politica dovrebbe essere sufficiente:
iptables -F FORWARD
iptables -P FORWARD DROP
Questo garantisce che tutti i pacchetti che entrano nella catena di FORWARD
(cioè quelli che non sono né generati localmente né destinati a socket locali) verranno abbandonati incondizionatamente. Se vuoi essere gentile, puoi anche farli generare un messaggio di rifiuto ICMP:
iptables -I FORWARD -j REJECT --reject-with icmp-host-unreachable
Ovviamente, devi assicurarti che queste regole vengano applicate di nuovo ad ogni riavvio. In alternativa, puoi semplicemente disabilitare l'inoltro IPv4 nel kernel aggiungendo la seguente riga a /etc/sysctl.conf
:
net.ipv4.ip_forward = 0
e in esecuzione sysctl -p
per ricaricare il file (che avverrà automaticamente al riavvio).
Purtroppo, non conosco abbastanza bene l'amministrazione di rete di Windows per poter dire che cosa potrebbe fare lo stesso trucco lì. (Inoltre, dovrei avvertire che non ho ancora provato che queste soluzioni funzionino nello scenario dell'OP. Si prega di fare i propri test prima di fare affidamento su di essi.)
Mentre scrivo questo, ti hanno dato un paio di risposte. Offro semplicemente un altro paio:
1.) Politica - ugh! Molti hanno menzionato la parolaccia, ma è vero. È necessario iniziare con una politica, che esiste come dichiarazione aziendale per gli utenti da seguire. Questa politica dovrebbe essere chiara nel suo intento e supportata da standard e linee di base.
2.) Non sono un fan di re-inventare la ruota, o di costruire una nave spaziale quando una soluzione semplice funzionerà bene. SANS ha avuto una serie di webcast che andava strong per un po ', dove David Hoelzer ha insegnato vari trucchi rapidi sull'auditing. Uno di questi episodi ha discusso il rilevamento dell'AP ed è correlato alla tua domanda. Puoi visualizzare questo episodio qui: link
Pur non essendo completamente correlato, ho trovato che la visione dell'episodio n. 3 era anche utile per comprendere la tecnologia wireless. link (Non posso essere abbastanza chiaro qui, NON farlo senza un permesso esplicito).
Ho modificato la soluzione di David un po ', ma l'ho applicata al mio ufficio ed è passata per la conformità PCI.
3.) Nessus offre un plug-in, dove esegue la scansione dell'estremità cablata di un AP Rogue e segnala su di esso quando rilevato. Dovrai iscriverti al feed professionale di Nessus se lo utilizzerai in ufficio. È accessibile a $ 1,200.00 all'anno e ti consentirà di scansionare e supportare altre politiche come la conformità alle patch, gli standard di compilazione, le vulnerabilità.
Spero che ti dia qualche indicazione, facci sapere che cosa usi e come è implementato.
Cordiali saluti,
La soluzione più drastica per mitigare questo tipo di rischio è spostare la rete lontano dall'utente implementando VDI / Thin Client (Bentornato all'era del mainframe :-)). In combinazione con altre funzioni di sicurezza dovrebbe relegare il problema all'accesso remoto.
Se ciò non è pratico, è preferibile disporre di un sistema che rilevi l'inserimento del tipo di dispositivo USB e avvisare silenziosamente il team di sicurezza anziché bloccare il dispositivo USB poiché l'utente troverà altri mezzi per ottenere ciò di cui ha bisogno essere protetto contro (es. portare il suo router wireless di casa e collegarlo alla rete se non si dispone dell'autenticazione).
Come è stato menzionato, il coinvolgimento degli utenti è la soluzione migliore qui. Tuttavia, va detto che in alcune situazioni potresti non voler assolutamente abilitare un wifi sulla tua rete.
Una possibile soluzione non menzionata qui. Se stai lavorando in un ufficio di alta sicurezza per la cena. Dove il wifi è stato ritenuto ad alto rischio.
È possibile impostare un elenco di accesso limitato in base agli indirizzi mac delle schede di rete dei dispositivi / workstation che consentono specificamente l'accesso a tale rete. Questo può essere un bel po 'di lavoro, dovendo ottenere l'indirizzo mac di ogni dispositivo che ha bisogno di accedere al tuo sistema.
Ci sono ancora dei modi per aggirare questo problema spoofando l'indirizzo mac di qualche altra stazione di lavoro per consentire a un dispositivo sconosciuto sulla rete. Richiede ancora una certa misura di abilità e know how. La maggior parte del dispositivo Wifi non ha la possibilità di spoofare un indirizzo mac a meno che non si sappia come cambiare il firmware del dispositivo e si ha familiarità con il funzionamento della configurazione dei dispositivi a livello di riga di comando.
Il numero di università imposta un accesso di rete per un indirizzo mac. Prima di poter accedere a Internet, è necessario inserire l'indirizzo MAC del computer su un sito di registrazione. Questo collega l'account utente del sistema con l'indirizzo mac del computer. È necessario che entrambi siano in grado di accedere alla rete e a Internet. Questo link spiega come funziona. link
È possibile farlo a livello DHCP, dove l'indirizzo IP è assegnato alla rete. Nessun indirizzo IP nessun accesso sulla rete
Puoi farlo anche a livello di firewall, che è molto più sicuro.
Come ho affermato, questo non è una prova completa, poiché qualsiasi organismo con un tempo e uno sforzo sufficienti può passare qualsiasi tipo di sicurezza. Specificamente tramite mac spoofing.
Ecco una possibilità che aspetta solo che gli altri trovino dei buchi:
Tutte le connessioni di rete interne utilizzano la crittografia tra endpoint e router / switch centrali (set di). Questo potrebbe essere VPN o altre soluzioni.
Avere la personalizzazione della tecnologia di crittografia su ciascun endpoint che convalida che l'endpoint non consente il routing / il bridging attraverso di esso.
Ora tutto ciò che serve è un modo per convalidare che la tecnologia di crittografia dell'endpoint è solo ciò che hai fornito e non violato.
Un esempio - NON UN APPROVAZIONE - delle soluzioni disponibili include link ...
Suppongo di avere una soluzione completamente diversa.
Una singola frase:
Accesso a Internet tramite una VPN che consente solo una sessione per utente.
Leggi altre domande sui tag wifi