Frage:
Wie kann ich Benutzer blockieren oder erkennen, die ihren eigenen WLAN-AP in unserem LAN einrichten?
user15580
2012-11-02 18:32:08 UTC
view on stackexchange narkive permalink

Kürzlich habe ich festgestellt, dass ein Benutzer einen USB-WLAN-Stick an seinen Desktop angeschlossen und einen AP ohne Kennwort eingerichtet hat. Wie können wir dies über Firewall-Regeln oder einen anderen Ansatz erkennen oder blockieren?

Leider ... Sie haben ein Benutzerproblem, kein Sicherheitsproblem. Sie müssen eine Richtlinie implementieren, die Situationen wie diese verhindert, bis zu dem, was passiert, wenn die Richtlinie verletzt wird. Nichtdurchsetzung bedeutet, dass die Richtlinie ignoriert wird.
1-Welche Netzwerkinfrastruktur verwenden Sie? Verschiedene Anbieter haben unterschiedliche Möglichkeiten, den Netzwerkzugriff zu schützen. 2-Haben Sie eine AD-Domain, in der alle Clients Mitglied sind? Wenn ja, könnte NAP der richtige Weg sein. Sowie Gruppenrichtlinien zum Deaktivieren der Geräteinstallation. 3-alle Netzwerkgeräte eines bestimmten Herstellers haben einen vorhersehbaren Teil ihrer MAC-Adresse identisch (OUI-Adresse). Sie können Adressen von belkin / linksys usw. blockieren. N.b. Dies erfordert eine feste Richtlinie zur Hardwarebeschaffung. Wenn Sie mehr Details zu Ihrer Infrastruktur mitteilen können, kann ich Ihnen spezifischere Implementierungsdetails anbieten.
Das Erkennen des AP ist mit einem Software-WLAN-Scanner wie inSSIDer möglich: http://www.metageek.net/products/inssider/.
Fünfzehn antworten:
#1
+45
Daniel
2012-11-02 20:11:12 UTC
view on stackexchange narkive permalink

Etwas bleibt unausgesprochen. Warum möchte der Benutzer ein WLAN? Solange der Benutzer das Gefühl hat, ein berechtigtes Bedürfnis zu haben, wird er weiterhin Problemumgehungen für jeden Ihrer Versuche finden, es zu blockieren.

Besprechen Sie mit den Benutzern, was er erreichen möchte. Erstellen Sie möglicherweise ein offizielles WLAN-Netzwerk (verwenden Sie alle gewünschten Sicherheitsmethoden - es gehört Ihnen). Oder besser zwei - Gast- und Unternehmens-WAPs.

WiFi muss nicht "nur weil" verboten werden, erfordert jedoch wie alle anderen Aspekte der Sicherheit besondere Aufmerksamkeit.

Vielen Dank, dass Sie auf den wichtigsten Teil davon hingewiesen haben, den ich völlig überglast habe - Benutzer tun nicht nur Dinge, sie tun es aus einem bestimmten Grund. IT und Sicherheit sind Support-Rollen und müssen den Anforderungen der Benutzer gerecht werden.
@Polynomial Und das ist nicht nur ein einmaliges Problem. Sobald eine Richtlinie anfängt, Benutzer dazu zu zwingen, den Rücken ihres Administrators als einzige praktische Methode für ihre Arbeit zu umgehen, ist es unwahrscheinlich, dass der Schaden eingedämmt bleibt. Der Respekt der Benutzer gegenüber den Administratoren wird stürzen. und wenn die Menschen einmal daran interessiert sind, an der Politik zu arbeiten, um ein Problem zu lösen, tun sie dies in Zukunft viel eher für andere Probleme, anstatt zu versuchen, die Dinge über die entsprechenden Kanäle zu erledigen.
Diese Antwort ist so wie sie ist sehr gut. Beide Kommentare machen mir allerdings Sorgen. Für @Polynomial ist Sicherheit eine unterstützende Rolle, aber es ist eine umfassende Verallgemeinerung zu sagen, dass Sicherheit den Bedürfnissen der Benutzer entsprechen muss. Manchmal muss die Antwort einfach "Nein" sein. Alternativ können Sie sich in Bezug auf Unternehmensdatenverarbeitung und Sicherheitsrichtlinien an das Management wenden. Der Grund für das Sicherheitspersonal liegt in dessen Fachwissen. Benutzer können nicht auswählen, welche Dinge zu beobachten sind, und sich dann beschweren, wenn das gesamte Framework untergraben wird. Eigentlich können und werden sie sich beschweren ... und beschuldigen.
@FeralOink Natürlich - ich habe nicht impliziert, dass jede Laune auch berücksichtigt werden muss. Letztendlich müssen alle Sicherheitsentscheidungen jedoch ein Verständnis der Bedürfnisse und Geschäftsanforderungen der Benutzer beinhalten. Es ist jedoch auch wichtig, sich daran zu erinnern, dass Sicherheit eine Geschäftsanforderung ist. Daher geht es immer darum, das richtige Gleichgewicht zu finden.
Dan, du hast im Allgemeinen vollkommen recht, glaube ich. In Ihrem Kommentar beschreiben Sie ein Szenario mit Sicherheitsrichtlinien, die Benutzer dazu zwingen, diese zu umgehen, um ihre Aufgaben zu erledigen. Vielleicht ist das, was sie versuchen, nicht sicher oder vernünftig. Das ist weder die Schuld der Sicherheit noch die Schuld der Benutzer. Es scheint eher eine Management- und strategische Entscheidung zu sein, die auf Aufgaben hinweist, die nur ausgeführt werden können, wenn sie den bestehenden Sicherheitsstandards widersprechen. Es ist die Pflicht des Managements des Unternehmens, zu entscheiden, was ein akzeptables Risiko darstellt. (Es tut mir leid, dass ich so pingelig klinge, ich weiß nicht, wie ich das sonst sagen soll).
@Polynomial Hallo zusammen! Du bist so schnell; o) Ich habe in letzter Zeit "Bring-Your-Own-Device" im Kopf, wahrscheinlich zu viel. Ich muss aufhören, RWW über den Aufstieg der "mobilen Elite" am Arbeitsplatz zu lesen und darüber, wie die Sicherheit auf alle ihre Bedürfnisse eingehen muss . Ich werde versuchen, gemäßigter zu sein!
@FeralOink Ja, ich neige dazu, ziemlich schnell zu antworten. Die meisten Leute gehen im Allgemeinen davon aus, dass ich ein empfindungsfähiges Bash-Skript bin ^ _ ^
#2
+14
Polynomial
2012-11-02 18:41:13 UTC
view on stackexchange narkive permalink

Firewalls können im Hinblick auf das physische Netzwerk nicht erkennen, woher Ihr Datenverkehr stammt. Sie sehen nur die vom Protokoll bereitgestellten Daten, z. B. MAC / IP, die in diesem Fall nicht sehr nützlich sind.

Ich denke, Sie geraten in die Falle, nach einer technischen Lösung für ein Managementproblem zu suchen. Denken Sie daran, unveränderliches Sicherheitsgesetz # 10: Technologie ist kein Allheilmittel. Während Technologie einige erstaunliche Dinge bewirken kann, kann sie das Benutzerverhalten nicht erzwingen.

Sie haben einen Benutzer, der ein unangemessenes Risiko für das Unternehmen darstellt, und dieses Risiko muss behandelt werden. Die Lösung für Ihr Problem ist Richtlinie , nicht Technologie. Richten Sie eine Sicherheitsrichtlinie ein, in der explizit nicht zugelassene Verhaltensweisen aufgeführt sind, und lassen Sie sie von Ihren Benutzern signieren. Wenn sie gegen diese Richtlinie verstoßen, können Sie sich mit dem Nachweis des Verstoßes an Ihre Vorgesetzten wenden und eine Strafe verhängen.

#3
+12
Thomas Pornin
2012-11-02 18:39:00 UTC
view on stackexchange narkive permalink

Es gibt keine Firewall-Regel, die Ihnen dabei helfen kann: Der Rogue-AP stellt konstruktionsbedingt einen Netzwerkpfad bereit, der Ihre Firewalls umgeht. Solange die Benutzer physischen Zugriff auf die von ihnen verwendeten Computer und ihre USB-Anschlüsse haben (dies ist schwer zu vermeiden, es sei denn, Sie gießen alle USB-Anschlüsse mit Klebstoff ein ...) und dass die installierten Betriebssysteme dies zulassen (was wiederum schwierig ist) Vermeiden Sie, dass Benutzer "Administratoren" auf ihren Systemen sind, insbesondere in BYOD -Kontexten. Dann können die Benutzer benutzerdefinierte Zugriffspunkte einrichten, die zumindest Zugriff auf ihren Computer gewähren

Sie können einen Laptop, ein Smartphone oder ein Tablet verwenden, um vorhandene APs aufzulisten und sie aufzuspüren. Dabei wird die Signalstärke als Hinweis auf den physischen Standort des APs verwendet. Letztendlich handelt es sich jedoch um ein Richtlinienproblem: Informieren Sie Ihre Benutzer über die Gefahren beim Festlegen benutzerdefinierter Zugriffspunkte. warnen Sie sie, dass dies durch die lokalen Sicherheitsrichtlinien verboten ist und dass sie (rechtlich und finanziell) für das verantwortlich gemacht werden, was aus einem solchen Fehlverhalten resultieren kann.

+1, um es nicht nur in der Richtlinie zu verbieten, sondern die Benutzer auch auf die möglichen rechtlichen Konsequenzen aufmerksam zu machen.
#4
+11
Rory McCune
2012-11-02 19:23:57 UTC
view on stackexchange narkive permalink

Zusätzlich zu den Antworten auf der Richtlinienseite gibt es einige technische Ansätze, die Ihnen hier helfen können, je nachdem, wie streng Ihre IT-Umgebung kontrolliert wird.

  1. USB-Port-Sperre - In Ihrem speziellen Fall hat der Benutzer einen USB-WLAN-Stick verwendet, um den AP zu erstellen. Wenn Sie über eine Software verfügen, mit der gesperrt werden kann, welche Klassen von USB-Geräten zulässig sind (und Ihre Benutzer keine lokalen Administratorrechte zum Deaktivieren haben), ist dies eine Option, um diese Art von Aktivität einzuschränken.
  2. Netzwerkzugriffskontrolle - Eine andere Möglichkeit, unerwünschte Zugriffspunkte im Netzwerk anzuzeigen, besteht darin, dass der Benutzer einen Standard-WLAN-AP an einen Ethernet-Port im Netzwerk anschließt. Um diesen Block zu blockieren, kann NAC verwendet werden, um den Zugriff auf das Netzwerk auf zugelassene Geräte zu beschränken.
  3. Wie @ thomas-pornin oben erwähnt, kann die Erkennung des AP mit einem Handscanner erfolgen, auch wenn bereits ein Gerät vorhanden ist Das drahtlose Unternehmensnetzwerk wird dann von vielen Anbietern (z. B. Cisco) einen Mechanismus zur Erkennung nicht autorisierter Zugriffspunkte bereitstellen, der die legitimen Zugriffspunkte verwendet, um die nicht autorisierten Zugriffspunkte zu erkennen Maßnahmen können von einem entschlossenen / versierten Angreifer umgangen werden, sind jedoch bei normalen Benutzern wahrscheinlich effektiv.
Technische Lösungen sind wertlos, wenn sie nicht effektiv sind, da in diesem Fall alles hier von normalen Benutzern relativ einfach umgangen werden kann und sie mit enormen Kosten verbunden sind. Zum Beispiel verhindert das Sperren von USB, dass legitime Benutzer legitime Arbeit leisten. NAC ist zwar eine gute Idee für viele Probleme, führt jedoch zu unnötigen Komplikationen bei der Netzwerkverwaltung. Der patrouillierende AP funktioniert nur, wenn Sie genau wissen, wie der Benutzer Ihre Richtlinie umgeht. Wenn beispielsweise Wifi überwacht wird, können Benutzer weiterhin Bluetooth- oder USB-Tethering oder serielle Schnittstelle usw. verwenden. Das Patrouillieren führt auch zu Misstrauen.
Benutzer, die das Gefühl haben, nicht vertrauenswürdig zu sein, versuchen am ehesten, einen Weg zu finden, um technische Hindernisse zu umgehen, anstatt mit ihnen zusammenzuarbeiten.
Entschuldigung, aber ich stimme Ihren pauschalen Behauptungen nicht zu, dass technische Sicherheitsmaßnahmen in jedem Fall kontraproduktiv sind. Nach Ihrer Argumentation würden Sie keine technischen Kontrollen innerhalb eines Unternehmens verwenden, sondern nur darauf vertrauen, dass alle Benutzer das "Richtige" tun. Während dies in einigen Umgebungen der richtige Ansatz sein könnte, würde ich in anderen (und wahrscheinlich in der Mehrheit) sagen, dass dies nicht der Fall ist, besteht ein Gleichgewicht zwischen Richtlinien- und technischen Sicherheitskontrollen, und jeder hat seinen Platz.
Zur Verdeutlichung sage ich nicht, dass alle technischen Maßnahmen wertlos sind, aber unwirksame technische Maßnahmen sind schlimmer als nichts zu tun. In vielen Fällen sind diese technischen Maßnahmen mit Kosten verbunden, und die Kosten sind nicht immer leicht zu quantifizieren. Wenn Sie immer noch der Meinung sind, dass diese Kosten durch die Vorteile aufgewogen werden, ist dies wahrscheinlich das Beste. Wenn ineffektive Maßnahmen jedoch nicht wirklich viel bewirken, sollten Sie sie besser nicht umsetzen.
#5
+10
k1DBLITZ
2012-11-02 21:58:36 UTC
view on stackexchange narkive permalink

Ich bin eigentlich ziemlich schockiert über die Anzahl der Leute, die dies als Richtlinien- oder Managementproblem abtun.

Ja, eine Richtlinie muss erstellt / durchgesetzt werden, damit geeignete Disziplinarmaßnahmen ergriffen werden können, oder wenn ein Benutzer bei einem Verstoß gegen die Richtlinie ertappt wird.

Allerdings Eine Richtlinie allein verhindert nicht, dass Ihr Netzwerk / Ihre Daten kompromittiert werden, wenn ein Benutzer die Richtlinie nicht befolgt!

Wenn Sie dazu in der Lage sind, sollte auf jeden Fall eine technische Kontrolle implementiert werden.

Wenn sich Ihre Benutzer in Windows befinden, können Sie einen Blick darauf werfen : http://www.wirelessautoswitch.com/about.aspx

Gruppenrichtlinien können implementiert werden, um zu verhindern, dass andere Benutzer in Ihrem Netzwerk eine Verbindung zu nicht autorisierten APs herstellen: http : //social.technet.microsoft.com/Forums/en/w7itpronetworking/thread/7130f1a5-70fd-429f-8d41-575085489bd1 Dies hindert die bösen Jungs jedoch nicht daran, eine Verbindung zu Ihrem Benutzer herzustellen.

Wie Rory bereits erwähnt hat, können Sie USB-Anschlüsse deaktivieren. Dies ist jedoch je nach Situation nicht immer praktikabel.

#6
+8
user15628
2012-11-03 03:00:40 UTC
view on stackexchange narkive permalink

Vollständige Offenlegung Ich arbeite für einen großen Cisco-Lösungspartner.

Wie andere bereits erwähnt haben, hilft eine Firewall nicht viel.

Es gibt eine ganze Produktklasse, genannt drahtloses Intrusion Detection / Prevention System (WIDS / WIPS). Cisco, Aruba, Motorola Air Defense und Airtight Networks Spectraguard sind einige Anbieter / Produkte in dieser Kategorie. Keine vollständige Liste. Für einen kleinen Kunden hatte ich viel Glück bei der Bereitstellung von Airtight Networks, da diese über ein hybrides On-Premise- / Cloud-Modell verfügen, das kostengünstig und einfach schnell zum Laufen zu bringen ist. Es ist auch sehr effektiv. Eine Funktion bestand darin, die MAC-Adressen der Endpunkte (Laptops) Ihres Unternehmens zu ermitteln und zu erkennen, wann ein Mitglied einem drahtlosen Netzwerk beitritt, das nicht von Ihrem Unternehmen betrieben wird. Es könnte Sie dann alarmieren und / oder den Endpunkt oder AP "blockieren" (achten Sie darauf, dass Sie nicht gegen geltende Gesetze in Ihrer Region verstoßen!)

Kismet ist ein Open-Source-Wireless-Tool, das (unter vielen) verwendet werden kann andere Dinge) als drahtloses Intrusion Detection System. Siehe http://www.kismetwireless.net/documentation.shtml

Das Herumlaufen mit einem Laptop oder einem anderen Handscanner funktioniert auf jeden Fall - aber nur, wenn Sie herumlaufen: - ) Hervorragend geeignet für die Reaktion auf Vorfälle oder die Fehlerbehebung, jedoch keine praktikable langfristige drahtlose Überwachungslösung.

Ein weiterer technischer Ansatz besteht darin, dies auf dem fehlerhaften Endpunktcomputer selbst zu verhindern. Andere haben diesbezüglich gute Ratschläge gegeben, daher werde ich dies nicht wiederholen.

Natürlich ist es auch sehr wichtig, Richtlinien zu erstellen und den Benutzern einen legitimen und sicheren Weg zu bieten, um ihre berechtigten Geschäftsanforderungen zu erfüllen. Wie bei so vielen Sicherheitsthemen ist eine Mischung aus technischen und administrativen (Richtlinien-) Kontrollen erforderlich, um erfolgreich zu sein.

Viel Glück!

#7
+8
JasperWallace
2012-11-03 05:33:38 UTC
view on stackexchange narkive permalink

Wenn der Rogue Access Point im Bridged-Modus arbeitet (was am häufigsten der Fall sein wird), werden die Mac-Adressen der drahtlosen Clients am Switch-Port des Desktops angezeigt.

Sie können Blockieren Sie diese unbekannten Mac-Adressen auf den meisten Switches, indem Sie die Filteradressfilterung des Switches auf "Learn Then Block" -Modus einstellen. Dadurch wird die erste Mac-Adresse gelernt und alle neuen blockiert. Der Switch kann auch protokollieren, wenn er eine unbekannte Mac-Adresse blockiert.

Sie können dies auch tun, indem Sie 802.1x bereitstellen und jedes Gerät in Ihrem Netzwerk authentifizieren, was schwieriger einzurichten wäre.

+1 dazu. Stoppt NAT nicht, ist aber dennoch sehr nützlich.
#8
+4
Kaz
2012-11-03 03:42:21 UTC
view on stackexchange narkive permalink

Entwickeln Sie ein Skript, das auf einem Computer mit drahtloser Hardware die drahtlose Umgebung regelmäßig auf das Vorhandensein von Zugriffspunkten überprüft und diese in einer dauerhaften Liste zwischenspeichert. Das Programm kann einen Alarm auslösen (z. B. eine E-Mail an die Administratoren), wenn ein bisher nicht sichtbarer Zugangspunkt auftaucht und der Liste hinzugefügt wird. Zu diesem Zeitpunkt liegt es im Ermessen des Administrators, ob dieser Zugriffspunkt in die permanente Liste aufgenommen wird oder aufgespürt und deaktiviert werden muss.

Eine angemessene Antwort auf den Alarm könnte darin bestehen, eine E-Mail an alle zu senden Mitarbeiter im Gebäude:

Wer einen Zugangspunkt mit der SSID "FooBar" gestartet hat, hat 10 Minuten Zeit, um ihn abzubauen, und wir werden das Ganze vergessen. Oder Sie lassen uns es finden. Das willst du nicht.

Höchstwahrscheinlich hat der Benutzer, der dies getan hat, sein privates WLAN-Netzwerk gesichert, sodass es sich anscheinend nicht von anderen Netzwerken außerhalb des Gebäudes unterscheidet.Wenn Sie das Gebäude abschalten und zusehen, wie es verschwindet, wird dies deutlich!
#9
+2
stackuser
2012-11-04 01:25:13 UTC
view on stackexchange narkive permalink

Ich würde sagen, es ist am besten, wenn Sie dies zwischen Administratoren und Benutzern klären können, da der Administrator nicht da ist, um "nur weil" zu blockieren, sondern um die Infrastruktur der Organisation zu unterstützen und Benutzern zu helfen, ihre Arbeit einfacher (nicht härter) auszuführen ). Wenn Sie für jede Richtlinie den Weg der Maßnahme gegen die Gegenmaßnahme beschreiten, ist es nur wahrscheinlicher, dass Benutzer weniger geneigt sind, den Netzwerkadministrator als hilfreich zu betrachten, und dass ihr Respekt vor dem Administrator möglicherweise ins Wanken gerät. Dies gilt jedoch, wenn WLAN ein sehr großes Problem darstellt Dies ist unbedingt erforderlich, um eine Einschränkung vorzunehmen (nicht nur, weil dies eine Richtlinie ist). Dann können Sie 802.1x einrichten und alle Knoten, die eine WLAN-Verbindung herstellen, authentifizieren, bevor Sie Zugriff erhalten (dies berücksichtigt auch Sitzungen, sodass alles überwacht werden sollte, was passiert ). Die Port-Sicherheit kann auch implementiert werden, wenn die Anzahl der Knoten in einem LAN oder VLAN bekannt ist, und der Rogue-Router kann erkannt und neutralisiert werden. Port-Sicherheit ist hier wirklich keine großartige Lösung, da ein einfacher WLAN-USB-Anschluss (in dieser Situation) dies umgehen kann, aber zumindest die Aktivität von betrügerischen Routern ersticken kann. Sogenanntes "Kriegsfahren" funktioniert gut, und wenn nötig und im Grunde genommen bekannt, wo sich die APs verstecken könnten, ist bekannt, dass Administratoren Techniker schicken, um mit einem Laptop oder Telefon herumzulaufen und zu zufälligen Zeiten nach den Standorten der APs zu suchen. Wenn es Ihnen nichts ausmacht, in die Privatsphäre einzudringen, können Sie die Berechtigungen auf allen von der Organisation kontrollierten Laptops anpassen, um die Aktivität zu überwachen und Benachrichtigungen über Versuche zu erhalten, eine Verbindung zu WLAN-Punkten (und damit nicht autorisierten APs) herzustellen.

#10
+1
Ilmari Karonen
2012-11-03 05:15:35 UTC
view on stackexchange narkive permalink

Mehrere frühere Antworten (wie Thomas Pornins) haben die Notwendigkeit einer Benutzererziehung und Durchsetzung von Richtlinien hervorgehoben und festgestellt, dass Benutzer Administratorzugriff auf ihre Computer haben (oder ihre eigenen Geräte anschließen können) Das kabelgebundene Netzwerk) kann ein entschlossener Benutzer jederzeit einen nicht autorisierten Zugangspunkt so einrichten, dass er für das Netzwerk unsichtbar ist.

Ich würde jedoch argumentieren, dass eine solche Ausbildung dennoch am effektivsten wäre, wenn sie ergänzt würde mit einer technischen Lösung, die Benutzer daran hindert, nicht autorisierte Zugriffspunkte einfach durch Einstecken eines USB-Sticks einzurichten. Sicher, ein Benutzer mit Administratorzugriff kann es immer umgehen, wenn er es wirklich will und weiß, aber zumindest muss er daran arbeiten und wird es hoffentlich nicht tun können, ohne bewusst zu sein dass sie eine Sicherheitsmaßnahme umgehen.

Es ist ein bisschen so, als würde man sein Netzwerk vor Viren schützen: Um dies effektiv zu tun, möchten Sie wirklich beide Ihre Benutzer und führen einen Virenscanner aus. Jede Maßnahme allein ist nicht optimal.


Für die Implementierung einer solchen Lösung wäre es naheliegend, auf allen Arbeitsstationen eine Firewall-Regel einzurichten, um IP-Pakete abzulehnen, die dies nicht tun ihren Ursprung auf dem lokalen Host haben oder für diesen bestimmt sein. Auf Linux-Systemen sollte beispielsweise die folgende Richtlinie iptables ausreichen:

  iptables -F FORWARDiptables -P FORWARD DROP  

Dies stellt sicher, dass alle Pakete, die in die FORWARD -Kette eingehen (dh solche, die weder lokal generiert noch für lokale Sockets bestimmt sind), bedingungslos verworfen werden. Wenn Sie nett sein möchten, können Sie auch eine ICMP-Ablehnungsnachricht generieren lassen:

  iptables -I FORWARD -j REJECT --reject-with icmp-host-unreachable  

Natürlich müssen Sie sicherstellen, dass diese Regeln bei jedem Neustart erneut angewendet werden. Alternativ können Sie die IPv4-Weiterleitung im Kernel einfach deaktivieren, indem Sie die folgende Zeile zu / etc / sysctl.conf :

  net.ipv4.ip_forward = 0  hinzufügen. code> 

und Ausführen von sysctl -p , um die Datei neu zu laden (was beim Neustart automatisch geschieht).

Leider bin ich nicht vertraut genug mit Windows-Netzwerkadministration, um sagen zu können, was dort den gleichen Trick tun könnte. (Außerdem sollte ich warnen, dass ich nicht getestet habe, ob diese Lösungen im OP-Szenario funktionieren. Bitte führen Sie Ihre eigenen Tests durch, bevor Sie sich auf sie verlassen.)

#11
+1
Awhitehatter
2012-11-07 01:32:31 UTC
view on stackexchange narkive permalink

Während ich dies schreibe, haben Sie einige Antworten erhalten. Ich biete einfach ein paar mehr an:

1.) Politik - ugh! Viele haben das Schimpfwort erwähnt, aber es ist wahr. Sie müssen mit einer Richtlinie beginnen, die als Geschäftsauszug für Benutzer vorhanden ist. Diese Politik sollte in ihrer Absicht klar sein und durch Standards und Baselines unterstützt werden.

2.) Ich bin kein Fan davon, das Rad neu zu erfinden oder ein Raketenschiff zu bauen, wenn eine einfache Lösung gut funktioniert. SANS hatte eine Webcast-Serie, in der David Hoelzer verschiedene schnelle Tricks zum Auditing lehrte. In einer solchen Episode wurde die AP-Erkennung erörtert und steht im Zusammenhang mit Ihrer Frage. Sie können diese Episode hier ansehen: http://auditcasts.com/screencasts/4-can-you-hear-me-now

Obwohl nicht vollständig verwandt, habe ich das gefunden Das Betrachten von Episode 3 war auch hilfreich, um die drahtlose Technologie zu verstehen. http://auditcasts.com/screencasts/3-auditing-hacking-wpa-wpa2 (Ich kann hier nicht klar genug sein, tun Sie dies NICHT ohne ausdrückliche Erlaubnis).

Ich habe Davids Lösung ein wenig geändert, sie jedoch in meinem Büro angewendet und sie wurde als PCI-konform eingestuft.

3.) Nessus bietet ein Plug-In an, mit dem das verkabelte Ende eines Rogue-AP gescannt und bei Erkennung gemeldet wird. Sie müssen den professionellen Nessus-Feed abonnieren, wenn Sie ihn im Büro verwenden möchten. Es ist für 1.200,00 USD pro Jahr erschwinglich und ermöglicht es Ihnen, andere Richtlinien wie Patch-Compliance, Build-Standards und Schwachstellen zu scannen und zu unterstützen.

Ich hoffe, das gibt Ihnen eine Richtung, lassen Sie uns wissen, was Sie letztendlich verwenden und wie es implementiert wird.

Mit freundlichen Grüßen,

Wow, wie großartig ... mein auf Stackexchange zitiertes Video!
#12
  0
Richard Arnold Mead
2012-11-03 00:02:59 UTC
view on stackexchange narkive permalink

Hier ist eine Möglichkeit, nur darauf zu warten, dass andere Lücken darin finden:

  1. Alle internen Netzwerkverbindungen verwenden die Verschlüsselung zwischen Endpunkten und einem zentralen (Satz von) Routern / Switches. Dies kann VPN oder eine andere Lösung sein.

  2. Die Verschlüsselungstechnologie muss auf jedem Endpunkt angepasst werden, um zu überprüfen, ob dieser Endpunkt kein Routing / Bridging durch ihn ermöglicht.

  3. ol>

    Jetzt müssen Sie nur noch überprüfen, ob die Verschlüsselungstechnologie des Endpunkts nur das ist, was Sie bereitgestellt und nicht gehackt haben.

    Ein Beispiel - KEINE ENDORSEMENT - für verfügbar Zu den Lösungen gehört http://juniper.net/us/en/solutions/enterprise/security-compliance/

Können Sie eine Beispielimplementierung geben? Ich finde dieses Szenario ziemlich schwer vorstellbar.
Dies ist unter der Voraussetzung einer vollständigen, nachweislich vertrauenswürdigen Computerkette möglich - angefangen bei kryptografisch authentifizierten Hardwareprüfungen bis hin zum Aufbau und der Überprüfung bei jedem Schritt. Möglich, aber teuer und schwer zu handhaben.
Wie @Piskvor hervorhebt, können Sie tatsächlich nur dann 100% erreichen, wenn Sie eine nachweislich vertrauenswürdige Computerplattform verwenden. Mit softwarebasierten Validierungsmethoden können Sie diesem Endziel jedoch ziemlich nahe kommen. Es wird einen wirklich entschlossenen und talentierten Hacker nicht abschrecken, aber es wird sicherlich weniger konzertierte Bemühungen verhindern, ohne viel Geld und Zeit aufzuwenden.
#13
  0
Bowabos
2012-11-04 03:35:42 UTC
view on stackexchange narkive permalink

Die drastischste Lösung zur Minderung dieser Art von Risiko besteht darin, das Netzwerk durch die Implementierung von VDI / Thin Client vom Benutzer zu entfernen (Willkommen zurück in der Mainframe-Ära :-)). In Kombination mit anderen Sicherheitsfunktionen sollte das Problem auf den Remotezugriff zurückgeführt werden.

Wenn dies nicht praktikabel ist, ist es vorzuziehen, ein System zu haben, das das Einfügen von USB-Gerätetypen erkennt und die Warnung an das Sicherheitsteam stillschweigend auslöst, anstatt zu blockieren USB-Gerät, da der Benutzer andere Mittel findet, um das zu erhalten, was er benötigt, gegen das Sie möglicherweise nicht geschützt sind (dh bringen Sie seinen WLAN-Heimrouter mit und schließen Sie ihn an Ihr Netzwerk an, wenn Sie keine Authentifizierung haben).

#14
  0
nelaaro
2012-11-09 13:44:21 UTC
view on stackexchange narkive permalink

Wie bereits erwähnt, ist das Engagement der Benutzer hier die beste Lösung. Es sollte jedoch erwähnt werden, dass Sie in einigen Situationen absolut nicht möchten, dass ein WLAN in Ihrem Netzwerk aktiviert wird.

Eine mögliche Lösung, die hier nicht erwähnt wird. Wenn Sie in einem Hochsicherheitsbüro zum Abendessen arbeiten. Wenn WLAN als hohes Risiko eingestuft wurde.

Sie können eine Liste mit eingeschränktem Zugriff basierend auf den Mac-Adressen der Netzwerkkarten der Geräte / Arbeitsstationen einrichten, die speziell den Zugriff in diesem Netzwerk ermöglichen. Dies kann eine Menge Arbeit bedeuten, da die Mac-Adresse jedes Geräts abgerufen werden muss, das Zugriff auf Ihr System benötigt.

Es gibt immer noch Möglichkeiten, dies zu umgehen, indem Sie die Mac-Adresse einer anderen Workstation fälschen, um ein unbekanntes Gerät im Netzwerk zuzulassen. Es erfordert immer noch ein gewisses Maß an Geschick und Know-how. Die meisten Wifi-Geräte haben keine Möglichkeit, eine Mac-Adresse zu fälschen, es sei denn, Sie wissen, wie die Firmware des Geräts geändert wird, und können die Gerätekonfiguration problemlos auf Befehlszeilenebene ausführen.

Alle Universitäten legen einen Netzwerkzugriff für eine Mac-Adresse fest. Bevor Sie auf das Internet zugreifen können, müssen Sie die Mac-Adresse Ihres Computers auf einer Registrierungsseite eingeben. Dadurch wird Ihr Systembenutzerkonto mit der Mac-Adresse Ihres Computers verknüpft. Sie benötigen beide, um auf das Netzwerk und das Internet zugreifen zu können. Dieser Link erklärt, wie das funktioniert. http://netreg.sourceforge.net/SysAdmin/

Sie können dies auf DHCP-Ebene tun, wobei die IP-Adresse im Netzwerk zugewiesen wird. Keine IP-Adresse, kein Zugriff im Netzwerk

http://www.yolinux.com/TUTORIALS/DHCP-Server.html

Sie können dies auch tun Dies auf Firewall-Ebene, was viel sicherer ist.

http://www.cyberciti.biz/tips/iptables-mac-address-filtering.html

Wie ich bereits sagte, ist dies kein vollständiger Beweis, da jeder Körper mit genügend Zeit und Mühe jede Art von Sicherheit umgehen kann. Speziell über Mac-Spoofing.

#15
-1
Behrooz
2012-11-03 23:40:59 UTC
view on stackexchange narkive permalink

Ich glaube, ich habe eine völlig andere Lösung.
Ein einziger Satz:
Internetzugang über ein VPN, das nur eine Sitzung pro Benutzer zulässt.

Ein einziges Akronym: NAT. Wie können Sie unterscheiden, ob die Daten direkt vom mit dem VPN verbundenen Computer stammen oder ob NAT-ed * über * diesen Computer in das VPN gelangt? (Beachten Sie, dass es genauso aussieht, als ob es vom Computer stammt.)
@Piskvor Ich bin ein CCNP, Sie haben Recht. Aber es gibt keine Lösung, um NAT auf dieser ganzen Seite zu stoppen. Das einzige, was ich mir vorstellen kann, ist ein clientseitiges Programm, das nur bestimmten Programmen den Zugriff auf das Netzwerk mit einem zu schwer zu implementierenden benutzerdefinierten Protokoll ermöglicht, um jedes andere zu vermeiden Leider kann es Menschen an ein einziges Betriebssystem binden und möglicherweise nicht auf einigen Smartphones bereitgestellt werden und die Benutzer verärgern.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...