Etwas bleibt unausgesprochen. Warum möchte der Benutzer ein WLAN? Solange der Benutzer das Gefühl hat, ein berechtigtes Bedürfnis zu haben, wird er weiterhin Problemumgehungen für jeden Ihrer Versuche finden, es zu blockieren.

Besprechen Sie mit den Benutzern, was er erreichen möchte. Erstellen Sie möglicherweise ein offizielles WLAN-Netzwerk (verwenden Sie alle gewünschten Sicherheitsmethoden - es gehört Ihnen). Oder besser zwei - Gast- und Unternehmens-WAPs.

WiFi muss nicht "nur weil" verboten werden, erfordert jedoch wie alle anderen Aspekte der Sicherheit besondere Aufmerksamkeit.

Firewalls können im Hinblick auf das physische Netzwerk nicht erkennen, woher Ihr Datenverkehr stammt. Sie sehen nur die vom Protokoll bereitgestellten Daten, z. B. MAC / IP, die in diesem Fall nicht sehr nützlich sind.

Ich denke, Sie geraten in die Falle, nach einer technischen Lösung für ein Managementproblem zu suchen. Denken Sie daran, unveränderliches Sicherheitsgesetz # 10: Technologie ist kein Allheilmittel. Während Technologie einige erstaunliche Dinge bewirken kann, kann sie das Benutzerverhalten nicht erzwingen.

Sie haben einen Benutzer, der ein unangemessenes Risiko für das Unternehmen darstellt, und dieses Risiko muss behandelt werden. Die Lösung für Ihr Problem ist Richtlinie , nicht Technologie. Richten Sie eine Sicherheitsrichtlinie ein, in der explizit nicht zugelassene Verhaltensweisen aufgeführt sind, und lassen Sie sie von Ihren Benutzern signieren. Wenn sie gegen diese Richtlinie verstoßen, können Sie sich mit dem Nachweis des Verstoßes an Ihre Vorgesetzten wenden und eine Strafe verhängen.

Es gibt keine Firewall-Regel, die Ihnen dabei helfen kann: Der Rogue-AP stellt konstruktionsbedingt einen Netzwerkpfad bereit, der Ihre Firewalls umgeht. Solange die Benutzer physischen Zugriff auf die von ihnen verwendeten Computer und ihre USB-Anschlüsse haben (dies ist schwer zu vermeiden, es sei denn, Sie gießen alle USB-Anschlüsse mit Klebstoff ein ...) und dass die installierten Betriebssysteme dies zulassen (was wiederum schwierig ist) Vermeiden Sie, dass Benutzer "Administratoren" auf ihren Systemen sind, insbesondere in BYOD -Kontexten. Dann können die Benutzer benutzerdefinierte Zugriffspunkte einrichten, die zumindest Zugriff auf ihren Computer gewähren

Sie können einen Laptop, ein Smartphone oder ein Tablet verwenden, um vorhandene APs aufzulisten und sie aufzuspüren. Dabei wird die Signalstärke als Hinweis auf den physischen Standort des APs verwendet. Letztendlich handelt es sich jedoch um ein Richtlinienproblem: Informieren Sie Ihre Benutzer über die Gefahren beim Festlegen benutzerdefinierter Zugriffspunkte. warnen Sie sie, dass dies durch die lokalen Sicherheitsrichtlinien verboten ist und dass sie (rechtlich und finanziell) für das verantwortlich gemacht werden, was aus einem solchen Fehlverhalten resultieren kann.

Zusätzlich zu den Antworten auf der Richtlinienseite gibt es einige technische Ansätze, die Ihnen hier helfen können, je nachdem, wie streng Ihre IT-Umgebung kontrolliert wird.

1. USB-Port-Sperre - In Ihrem speziellen Fall hat der Benutzer einen USB-WLAN-Stick verwendet, um den AP zu erstellen. Wenn Sie über eine Software verfügen, mit der gesperrt werden kann, welche Klassen von USB-Geräten zulässig sind (und Ihre Benutzer keine lokalen Administratorrechte zum Deaktivieren haben), ist dies eine Option, um diese Art von Aktivität einzuschränken.
2. Netzwerkzugriffskontrolle - Eine andere Möglichkeit, unerwünschte Zugriffspunkte im Netzwerk anzuzeigen, besteht darin, dass der Benutzer einen Standard-WLAN-AP an einen Ethernet-Port im Netzwerk anschließt. Um diesen Block zu blockieren, kann NAC verwendet werden, um den Zugriff auf das Netzwerk auf zugelassene Geräte zu beschränken.
3. Wie @ thomas-pornin oben erwähnt, kann die Erkennung des AP mit einem Handscanner erfolgen, auch wenn bereits ein Gerät vorhanden ist Das drahtlose Unternehmensnetzwerk wird dann von vielen Anbietern (z. B. Cisco) einen Mechanismus zur Erkennung nicht autorisierter Zugriffspunkte bereitstellen, der die legitimen Zugriffspunkte verwendet, um die nicht autorisierten Zugriffspunkte zu erkennen Maßnahmen können von einem entschlossenen / versierten Angreifer umgangen werden, sind jedoch bei normalen Benutzern wahrscheinlich effektiv.

Ich bin eigentlich ziemlich schockiert über die Anzahl der Leute, die dies als Richtlinien- oder Managementproblem abtun.

Ja, eine Richtlinie muss erstellt / durchgesetzt werden, damit geeignete Disziplinarmaßnahmen ergriffen werden können, oder wenn ein Benutzer bei einem Verstoß gegen die Richtlinie ertappt wird.

Allerdings Eine Richtlinie allein verhindert nicht, dass Ihr Netzwerk / Ihre Daten kompromittiert werden, wenn ein Benutzer die Richtlinie nicht befolgt!

Wenn Sie dazu in der Lage sind, sollte auf jeden Fall eine technische Kontrolle implementiert werden.

Wenn sich Ihre Benutzer in Windows befinden, können Sie einen Blick darauf werfen : http://www.wirelessautoswitch.com/about.aspx

Gruppenrichtlinien können implementiert werden, um zu verhindern, dass andere Benutzer in Ihrem Netzwerk eine Verbindung zu nicht autorisierten APs herstellen: http : //social.technet.microsoft.com/Forums/en/w7itpronetworking/thread/7130f1a5-70fd-429f-8d41-575085489bd1 Dies hindert die bösen Jungs jedoch nicht daran, eine Verbindung zu Ihrem Benutzer herzustellen.

Wie Rory bereits erwähnt hat, können Sie USB-Anschlüsse deaktivieren. Dies ist jedoch je nach Situation nicht immer praktikabel.

Vollständige Offenlegung Ich arbeite für einen großen Cisco-Lösungspartner.

Wie andere bereits erwähnt haben, hilft eine Firewall nicht viel.

Es gibt eine ganze Produktklasse, genannt drahtloses Intrusion Detection / Prevention System (WIDS / WIPS). Cisco, Aruba, Motorola Air Defense und Airtight Networks Spectraguard sind einige Anbieter / Produkte in dieser Kategorie. Keine vollständige Liste. Für einen kleinen Kunden hatte ich viel Glück bei der Bereitstellung von Airtight Networks, da diese über ein hybrides On-Premise- / Cloud-Modell verfügen, das kostengünstig und einfach schnell zum Laufen zu bringen ist. Es ist auch sehr effektiv. Eine Funktion bestand darin, die MAC-Adressen der Endpunkte (Laptops) Ihres Unternehmens zu ermitteln und zu erkennen, wann ein Mitglied einem drahtlosen Netzwerk beitritt, das nicht von Ihrem Unternehmen betrieben wird. Es könnte Sie dann alarmieren und / oder den Endpunkt oder AP "blockieren" (achten Sie darauf, dass Sie nicht gegen geltende Gesetze in Ihrer Region verstoßen!)

Kismet ist ein Open-Source-Wireless-Tool, das (unter vielen) verwendet werden kann andere Dinge) als drahtloses Intrusion Detection System. Siehe http://www.kismetwireless.net/documentation.shtml

Das Herumlaufen mit einem Laptop oder einem anderen Handscanner funktioniert auf jeden Fall - aber nur, wenn Sie herumlaufen: - ) Hervorragend geeignet für die Reaktion auf Vorfälle oder die Fehlerbehebung, jedoch keine praktikable langfristige drahtlose Überwachungslösung.

Ein weiterer technischer Ansatz besteht darin, dies auf dem fehlerhaften Endpunktcomputer selbst zu verhindern. Andere haben diesbezüglich gute Ratschläge gegeben, daher werde ich dies nicht wiederholen.

Natürlich ist es auch sehr wichtig, Richtlinien zu erstellen und den Benutzern einen legitimen und sicheren Weg zu bieten, um ihre berechtigten Geschäftsanforderungen zu erfüllen. Wie bei so vielen Sicherheitsthemen ist eine Mischung aus technischen und administrativen (Richtlinien-) Kontrollen erforderlich, um erfolgreich zu sein.

Viel Glück!

Wenn der Rogue Access Point im Bridged-Modus arbeitet (was am häufigsten der Fall sein wird), werden die Mac-Adressen der drahtlosen Clients am Switch-Port des Desktops angezeigt.

Sie können Blockieren Sie diese unbekannten Mac-Adressen auf den meisten Switches, indem Sie die Filteradressfilterung des Switches auf "Learn Then Block" -Modus einstellen. Dadurch wird die erste Mac-Adresse gelernt und alle neuen blockiert. Der Switch kann auch protokollieren, wenn er eine unbekannte Mac-Adresse blockiert.

Sie können dies auch tun, indem Sie 802.1x bereitstellen und jedes Gerät in Ihrem Netzwerk authentifizieren, was schwieriger einzurichten wäre.

Entwickeln Sie ein Skript, das auf einem Computer mit drahtloser Hardware die drahtlose Umgebung regelmäßig auf das Vorhandensein von Zugriffspunkten überprüft und diese in einer dauerhaften Liste zwischenspeichert. Das Programm kann einen Alarm auslösen (z. B. eine E-Mail an die Administratoren), wenn ein bisher nicht sichtbarer Zugangspunkt auftaucht und der Liste hinzugefügt wird. Zu diesem Zeitpunkt liegt es im Ermessen des Administrators, ob dieser Zugriffspunkt in die permanente Liste aufgenommen wird oder aufgespürt und deaktiviert werden muss.

Eine angemessene Antwort auf den Alarm könnte darin bestehen, eine E-Mail an alle zu senden Mitarbeiter im Gebäude:

Wer einen Zugangspunkt mit der SSID "FooBar" gestartet hat, hat 10 Minuten Zeit, um ihn abzubauen, und wir werden das Ganze vergessen. Oder Sie lassen uns es finden. Das willst du nicht.

Ich würde sagen, es ist am besten, wenn Sie dies zwischen Administratoren und Benutzern klären können, da der Administrator nicht da ist, um "nur weil" zu blockieren, sondern um die Infrastruktur der Organisation zu unterstützen und Benutzern zu helfen, ihre Arbeit einfacher (nicht härter) auszuführen ). Wenn Sie für jede Richtlinie den Weg der Maßnahme gegen die Gegenmaßnahme beschreiten, ist es nur wahrscheinlicher, dass Benutzer weniger geneigt sind, den Netzwerkadministrator als hilfreich zu betrachten, und dass ihr Respekt vor dem Administrator möglicherweise ins Wanken gerät. Dies gilt jedoch, wenn WLAN ein sehr großes Problem darstellt Dies ist unbedingt erforderlich, um eine Einschränkung vorzunehmen (nicht nur, weil dies eine Richtlinie ist). Dann können Sie 802.1x einrichten und alle Knoten, die eine WLAN-Verbindung herstellen, authentifizieren, bevor Sie Zugriff erhalten (dies berücksichtigt auch Sitzungen, sodass alles überwacht werden sollte, was passiert ). Die Port-Sicherheit kann auch implementiert werden, wenn die Anzahl der Knoten in einem LAN oder VLAN bekannt ist, und der Rogue-Router kann erkannt und neutralisiert werden. Port-Sicherheit ist hier wirklich keine großartige Lösung, da ein einfacher WLAN-USB-Anschluss (in dieser Situation) dies umgehen kann, aber zumindest die Aktivität von betrügerischen Routern ersticken kann. Sogenanntes "Kriegsfahren" funktioniert gut, und wenn nötig und im Grunde genommen bekannt, wo sich die APs verstecken könnten, ist bekannt, dass Administratoren Techniker schicken, um mit einem Laptop oder Telefon herumzulaufen und zu zufälligen Zeiten nach den Standorten der APs zu suchen. Wenn es Ihnen nichts ausmacht, in die Privatsphäre einzudringen, können Sie die Berechtigungen auf allen von der Organisation kontrollierten Laptops anpassen, um die Aktivität zu überwachen und Benachrichtigungen über Versuche zu erhalten, eine Verbindung zu WLAN-Punkten (und damit nicht autorisierten APs) herzustellen.

Mehrere frühere Antworten (wie Thomas Pornins) haben die Notwendigkeit einer Benutzererziehung und Durchsetzung von Richtlinien hervorgehoben und festgestellt, dass Benutzer Administratorzugriff auf ihre Computer haben (oder ihre eigenen Geräte anschließen können) Das kabelgebundene Netzwerk) kann ein entschlossener Benutzer jederzeit einen nicht autorisierten Zugangspunkt so einrichten, dass er für das Netzwerk unsichtbar ist.

Ich würde jedoch argumentieren, dass eine solche Ausbildung dennoch am effektivsten wäre, wenn sie ergänzt würde mit einer technischen Lösung, die Benutzer daran hindert, nicht autorisierte Zugriffspunkte einfach durch Einstecken eines USB-Sticks einzurichten. Sicher, ein Benutzer mit Administratorzugriff kann es immer umgehen, wenn er es wirklich will und weiß, aber zumindest muss er daran arbeiten und wird es hoffentlich nicht tun können, ohne bewusst zu sein dass sie eine Sicherheitsmaßnahme umgehen.

Es ist ein bisschen so, als würde man sein Netzwerk vor Viren schützen: Um dies effektiv zu tun, möchten Sie wirklich beide Ihre Benutzer und führen einen Virenscanner aus. Jede Maßnahme allein ist nicht optimal.

Für die Implementierung einer solchen Lösung wäre es naheliegend, auf allen Arbeitsstationen eine Firewall-Regel einzurichten, um IP-Pakete abzulehnen, die dies nicht tun ihren Ursprung auf dem lokalen Host haben oder für diesen bestimmt sein. Auf Linux-Systemen sollte beispielsweise die folgende Richtlinie iptables ausreichen:

  iptables -F FORWARDiptables -P FORWARD DROP  

Dies stellt sicher, dass alle Pakete, die in die FORWARD -Kette eingehen (dh solche, die weder lokal generiert noch für lokale Sockets bestimmt sind), bedingungslos verworfen werden. Wenn Sie nett sein möchten, können Sie auch eine ICMP-Ablehnungsnachricht generieren lassen:

  iptables -I FORWARD -j REJECT --reject-with icmp-host-unreachable  

Natürlich müssen Sie sicherstellen, dass diese Regeln bei jedem Neustart erneut angewendet werden. Alternativ können Sie die IPv4-Weiterleitung im Kernel einfach deaktivieren, indem Sie die folgende Zeile zu / etc / sysctl.conf :

  net.ipv4.ip_forward = 0  hinzufügen. code> 

und Ausführen von sysctl -p , um die Datei neu zu laden (was beim Neustart automatisch geschieht).

Leider bin ich nicht vertraut genug mit Windows-Netzwerkadministration, um sagen zu können, was dort den gleichen Trick tun könnte. (Außerdem sollte ich warnen, dass ich nicht getestet habe, ob diese Lösungen im OP-Szenario funktionieren. Bitte führen Sie Ihre eigenen Tests durch, bevor Sie sich auf sie verlassen.)

Während ich dies schreibe, haben Sie einige Antworten erhalten. Ich biete einfach ein paar mehr an:

1.) Politik - ugh! Viele haben das Schimpfwort erwähnt, aber es ist wahr. Sie müssen mit einer Richtlinie beginnen, die als Geschäftsauszug für Benutzer vorhanden ist. Diese Politik sollte in ihrer Absicht klar sein und durch Standards und Baselines unterstützt werden.

2.) Ich bin kein Fan davon, das Rad neu zu erfinden oder ein Raketenschiff zu bauen, wenn eine einfache Lösung gut funktioniert. SANS hatte eine Webcast-Serie, in der David Hoelzer verschiedene schnelle Tricks zum Auditing lehrte. In einer solchen Episode wurde die AP-Erkennung erörtert und steht im Zusammenhang mit Ihrer Frage. Sie können diese Episode hier ansehen: http://auditcasts.com/screencasts/4-can-you-hear-me-now

Obwohl nicht vollständig verwandt, habe ich das gefunden Das Betrachten von Episode 3 war auch hilfreich, um die drahtlose Technologie zu verstehen. http://auditcasts.com/screencasts/3-auditing-hacking-wpa-wpa2 (Ich kann hier nicht klar genug sein, tun Sie dies NICHT ohne ausdrückliche Erlaubnis).

Ich habe Davids Lösung ein wenig geändert, sie jedoch in meinem Büro angewendet und sie wurde als PCI-konform eingestuft.

3.) Nessus bietet ein Plug-In an, mit dem das verkabelte Ende eines Rogue-AP gescannt und bei Erkennung gemeldet wird. Sie müssen den professionellen Nessus-Feed abonnieren, wenn Sie ihn im Büro verwenden möchten. Es ist für 1.200,00 USD pro Jahr erschwinglich und ermöglicht es Ihnen, andere Richtlinien wie Patch-Compliance, Build-Standards und Schwachstellen zu scannen und zu unterstützen.

Ich hoffe, das gibt Ihnen eine Richtung, lassen Sie uns wissen, was Sie letztendlich verwenden und wie es implementiert wird.

Mit freundlichen Grüßen,

Hier ist eine Möglichkeit, nur darauf zu warten, dass andere Lücken darin finden:

1. Alle internen Netzwerkverbindungen verwenden die Verschlüsselung zwischen Endpunkten und einem zentralen (Satz von) Routern / Switches. Dies kann VPN oder eine andere Lösung sein.

2. Die Verschlüsselungstechnologie muss auf jedem Endpunkt angepasst werden, um zu überprüfen, ob dieser Endpunkt kein Routing / Bridging durch ihn ermöglicht.

ol>

Jetzt müssen Sie nur noch überprüfen, ob die Verschlüsselungstechnologie des Endpunkts nur das ist, was Sie bereitgestellt und nicht gehackt haben.

Ein Beispiel - KEINE ENDORSEMENT - für verfügbar Zu den Lösungen gehört http://juniper.net/us/en/solutions/enterprise/security-compliance/…

Die drastischste Lösung zur Minderung dieser Art von Risiko besteht darin, das Netzwerk durch die Implementierung von VDI / Thin Client vom Benutzer zu entfernen (Willkommen zurück in der Mainframe-Ära :-)). In Kombination mit anderen Sicherheitsfunktionen sollte das Problem auf den Remotezugriff zurückgeführt werden.

Wenn dies nicht praktikabel ist, ist es vorzuziehen, ein System zu haben, das das Einfügen von USB-Gerätetypen erkennt und die Warnung an das Sicherheitsteam stillschweigend auslöst, anstatt zu blockieren USB-Gerät, da der Benutzer andere Mittel findet, um das zu erhalten, was er benötigt, gegen das Sie möglicherweise nicht geschützt sind (dh bringen Sie seinen WLAN-Heimrouter mit und schließen Sie ihn an Ihr Netzwerk an, wenn Sie keine Authentifizierung haben).

Wie bereits erwähnt, ist das Engagement der Benutzer hier die beste Lösung. Es sollte jedoch erwähnt werden, dass Sie in einigen Situationen absolut nicht möchten, dass ein WLAN in Ihrem Netzwerk aktiviert wird.

Eine mögliche Lösung, die hier nicht erwähnt wird. Wenn Sie in einem Hochsicherheitsbüro zum Abendessen arbeiten. Wenn WLAN als hohes Risiko eingestuft wurde.

Sie können eine Liste mit eingeschränktem Zugriff basierend auf den Mac-Adressen der Netzwerkkarten der Geräte / Arbeitsstationen einrichten, die speziell den Zugriff in diesem Netzwerk ermöglichen. Dies kann eine Menge Arbeit bedeuten, da die Mac-Adresse jedes Geräts abgerufen werden muss, das Zugriff auf Ihr System benötigt.

Es gibt immer noch Möglichkeiten, dies zu umgehen, indem Sie die Mac-Adresse einer anderen Workstation fälschen, um ein unbekanntes Gerät im Netzwerk zuzulassen. Es erfordert immer noch ein gewisses Maß an Geschick und Know-how. Die meisten Wifi-Geräte haben keine Möglichkeit, eine Mac-Adresse zu fälschen, es sei denn, Sie wissen, wie die Firmware des Geräts geändert wird, und können die Gerätekonfiguration problemlos auf Befehlszeilenebene ausführen.

Alle Universitäten legen einen Netzwerkzugriff für eine Mac-Adresse fest. Bevor Sie auf das Internet zugreifen können, müssen Sie die Mac-Adresse Ihres Computers auf einer Registrierungsseite eingeben. Dadurch wird Ihr Systembenutzerkonto mit der Mac-Adresse Ihres Computers verknüpft. Sie benötigen beide, um auf das Netzwerk und das Internet zugreifen zu können. Dieser Link erklärt, wie das funktioniert. http://netreg.sourceforge.net/SysAdmin/

Sie können dies auf DHCP-Ebene tun, wobei die IP-Adresse im Netzwerk zugewiesen wird. Keine IP-Adresse, kein Zugriff im Netzwerk

http://www.yolinux.com/TUTORIALS/DHCP-Server.html

Sie können dies auch tun Dies auf Firewall-Ebene, was viel sicherer ist.

http://www.cyberciti.biz/tips/iptables-mac-address-filtering.html

Wie ich bereits sagte, ist dies kein vollständiger Beweis, da jeder Körper mit genügend Zeit und Mühe jede Art von Sicherheit umgehen kann. Speziell über Mac-Spoofing.

Ich glaube, ich habe eine völlig andere Lösung.
Ein einziger Satz:
Internetzugang über ein VPN, das nur eine Sitzung pro Benutzer zulässt.