ネットワークを通過するトラフィックの種類によっては、従業員がワイヤレスルーターを持ち込んでネットワークにセットアップするのは現実的ではありません。これは、多くの場合、セキュリティが確保されていないか不十分であり、ネットワークへのバックドアを提供するためです。不正なワイヤレスアクセスポイントがネットワークに導入されるのを防ぐにはどうすればよいですか?
ネットワークを通過するトラフィックの種類によっては、従業員がワイヤレスルーターを持ち込んでネットワークにセットアップするのは現実的ではありません。これは、多くの場合、セキュリティが確保されていないか不十分であり、ネットワークへのバックドアを提供するためです。不正なワイヤレスアクセスポイントがネットワークに導入されるのを防ぐにはどうすればよいですか?
回答:
上記のルーカスの答えは、出発点の少しです。ただし、考慮する必要がある他の2つまたは3つのことがあります。これらは最終的にネットワークエンジニアリングの範囲外になりますが、確かにネットワークエンジニアリングとセキュリティに影響を与えるため、ここで説明します。
おそらく、会社のラップトップのワイヤレスカードがアドホックモードに切り替わらないようにする何らかの方法が必要でしょう。ラップトップがWindowsを実行していると仮定すると、おそらくGPOを使用してインフラストラクチャモードのみに設定する必要があります。Linuxの場合、完全に制限することは困難ですが、これを行う方法もあります。
IPSecを強制することも、特に適切なキー管理と信頼された強制を行う場合には良い考えです。たとえば、キー管理のためにX509証明書にアクセスできる場合、これにより、許可されていないデバイスがネットワークの残りの部分と直接通信するのを防ぐことができます。ここでは、インフラストラクチャのコア部分としてキー管理を検討してください。プロキシサーバーを使用している場合は、許可されていないデバイスがインターネットにアクセスするのをブロックすることもできます。
努力の限界に注意してください。これらはどれも、特にSSIDが隠されている(つまり、ブロードキャストされていない)場合に、コンピュータとの通信のみを目的として、USB NICに接続されたセキュリティ保護されていないワイヤレスアクセスポイントのセットアップを妨げません。
さらに問題をどのように封じ込めるか、または更なるパラノイアが不十分なリターンのポイントをかなり過ぎているかどうかはわかりません.....
まず、企業のIT部門が所有または承認していないネットワーク機器をネットワークに導入することを禁止するポリシーを作成する必要があります。次に、未知のMACアドレスがネットワークに接続できないようにポートセキュリティを実施します。
3番目に、(モバイル)デバイスを使用してインターネットにアクセスするために、(可能な場合は実行可能な)不正なAPを導入する可能性が低い(自分が望むものを提供する場合)制御下に別のワイヤレスネットワークをセットアップします。これらのアクセスポイントはPEAPなどで保護し、できれば別のネットワークで実行する必要があります。
最後に、netstumblerなどのツールを使用して定期的なセキュリティスキャンを実行し、ネットワーク内の不正なアクセスポイントを検出および追跡することもできます。
ネットワーク上でIPsecを実行するオプションもあります。これにより、誰かが不正なAPをセットアップした場合に、誰かがワイヤレスネットワークをスニッフィングした場合に、露出された「波」が判読できなくなります。
これまでの私の経験はすべてシスコ製品に関するものであったため、実際に話すことができるのはこれだけです。
WCSが制御するAP(軽量および通常)には、信頼されていないSSIDがポップアップしたとき、およびそれに接続されているクライアントの数を検出および報告する機能があります。ヒートマップが設定されていて、アクセスポイントの数がまともであれば、アクセスポイントがAPの近くにある場所を把握できる可能性がかなり高くなります。これの唯一の欠点は、バー/コーヒーショップ/大学の寮/近所に近い場合、人々が移動するたびに頻繁に変化する「不正な」SSIDの価値があるページを見ることを期待することです。
WCSには、いくつかのスイッチポートトレースを実行し、ネットワークに不正がプラグインされた場合に警告する機能もあります。これを機能させるのにまだ幸運がありません。正直に言って、それで遊ぶ時間はあまりありませんでした。デフォルトでは、少なくとも私のネットワークでは、トレースの動作方法にかなりの数の誤検知があるようです。確かに探すことなく、私はそれがMACのOUIのみを見て、それが一致する場合、ネットワーク上の不正についてのアラートを取得すると信じています。
最後に、WCSには、不正なAP / SSIDを含める機能もあります。これは、deauthを使用して、そのAPに接続されているすべてのクライアントへのメッセージの関連付けを解除することで行います。
監視の観点からは、NetDiscoなどのツールを実行して、予想よりも多くのMACアドレスが接続されたスイッチポートを見つけることができます。悪意のあるWAPがネットワークに導入されるのを自動的に防ぐことはできませんが、事後的にWAPを見つけることができます。
スイッチポートに接続されている機器が静的なままであると予想される場合、MACアドレス制限(スイッチポートを管理上ダウンするように構成された違反による)により、不正なデバイス(WAPだけでなく)の接続を防ぐことができます。
個人的には、ネットワークの大部分がCiscoのすべてのショップである場合、少なくともアクセスレイヤーがCiscoスイッチでセットアップされていることを意味します。この種の問題を防ぐ方法として、ポートセキュリティとDHCPスヌーピングを検討します。すべてのアクセスポートに最大1つのMACアドレスを設定すると極端になりますが、一度に1つのデバイスのみがスイッチポートに表示されるようになります。また、複数のMACが表示された場合、ポートをシャットダウンするように設定します。複数のMACを許可する場合、エンドユーザーがデバイスをスイッチポートに接続すると、ほとんどのコンシューマグレードワイヤレスルーターがローカルサブネットにDHCPを導入するため、DHCPスヌーピングが役立ちます。DHCPスヌーピングがアクセスポイントがDHCPを提供していることを検出すると、その時点でポートセキュリティはスイッチポートをシャットダウンします。
前述のように、何よりもまず、ポリシーが重要です。これは奇妙な出発点のように思えるかもしれませんが、企業および法律の観点から、ポリシーを定義して配布しない限り、誰かがそれを破った場合、できることはほとんどありません。誰かが侵入したときに、彼らを止めるために何もできないなら、ドアを確保する意味はありません。
802.11Xはどうですか。アクセスポイントが合法であろうとなかろうと、その下のリソースに誰もアクセスできない限り、あなたは本当に気にしません。アクセスポイントまたはそれを超えるユーザーを取得して802.11Xをサポートできる場合、承認なしにアクセスできますが、何もできません。
これに基づいて異なるVLANを割り当てるので、これは実際に便利です。承認された場合、企業VLANにアクセスできます。それ以外の場合は、組み込みの広告ネットワークです。プロモーションビデオを1日中見たい場合は、大丈夫です。
Nessusには、不正なAPを検出するためのプラグインがあります-スキャンをスクリプト化して定期的に確認できます。
http://www.tenable.com/blog/using-nessus-to-discover-rogue-access-points
ワイヤレス侵入防止システム(WIPS)をオーバーレイすることについて考えたことはありますか?
不正APには、さまざまな形とサイズ(USB /ソフトAPから実際の物理不正APまで)があります。空気側と有線側の両方を監視し、ネットワークの両側からの情報を関連付けて、脅威が実際に存在するかどうかを推測できるシステムが必要です。Apの数百を介してコームし、ネットワークに接続されているものを見つけることができるはずです
Rogue Apは、1種類のwifiの脅威です。オフィスから見える外部APに接続するwifiクライアントはどうでしょうか。有線IDS / IPSシステムは、この種の脅威から完全に保護することはできません。