Recientemente, encontré un usuario que enchufa un dispositivo USB Wifi en su escritorio y configura un AP sin contraseña. ¿Cómo podemos detectar o bloquear esto a través de reglas de firewall u otro enfoque?
Algo que no se ha dicho, ¿por qué el usuario desea un WiFi? Mientras el usuario sienta que tiene una necesidad legítima, continuará encontrando soluciones a cualquiera de sus intentos de bloquearlo.
Discuta con los usuarios lo que están tratando de lograr. Tal vez cree una red wifi oficial (use todos los métodos de seguridad que desee, será 'suyo'). O, mejor, dos: WAP para empresas e invitados.
WiFi no es algo que deba ser prohibido "solo porque", sin embargo, necesita atención específica, como todos los demás aspectos de la seguridad.
Los firewalls no pueden decir de dónde proviene el tráfico en términos de la red física; solo ven los datos que proporciona el protocolo, como MAC / IP, que no son muy útiles en este caso.
Creo que está cayendo en la trampa de buscar una solución técnica para un problema de gestión. Recuerde Ley de Seguridad Inmutable # 10: La tecnología no es una panacea. Si bien la tecnología puede hacer algunas cosas sorprendentes, no puede imponer el comportamiento del usuario.
Usted tiene un usuario que está generando un riesgo indebido para la organización y ese riesgo debe ser tratado. La solución a su problema es policy , no tecnología. Configure una política de seguridad que detalle los comportamientos explícitamente no permitidos y haga que sus usuarios la firmen. Si violan esa política, puede acudir a sus superiores con evidencia de la infracción y se puede aplicar una sanción.
No hay una regla de firewall que pueda ayudarlo allí: por construcción, el AP fraudulento proporciona una ruta de red que pasa por alto sus firewalls. Mientras los usuarios tengan acceso físico a las máquinas que usan y sus puertos USB (eso es difícil de evitar, a menos que coloque pegamento en todos los puertos USB ...) y que los sistemas operativos instalados lo permitan (por otra parte, es difícil evitar si los usuarios son "administradores" en sus sistemas, en particular en contextos BYOD ), entonces los usuarios pueden configura puntos de acceso personalizados que dan acceso, al menos, a su máquina.
Lo que puede hacer es usar una computadora portátil, teléfono inteligente o tableta para enumerar los AP existentes, y rastrearlos, usando la intensidad de la señal como una pista de la ubicación física del AP. Sin embargo, en última instancia, este es un tema de política: eduque a sus usuarios sobre los peligros de establecer puntos de acceso personalizados; Adviértales que esto está prohibido por las políticas de seguridad locales y que serán responsables (legal y financieramente) de lo que pueda resultar de tal mala conducta.
Además de las respuestas en el lado de la política, hay un par de enfoques técnicos que pueden ayudarlo aquí, dependiendo de qué tan controlado esté su entorno de TI.
Mencionaré que todas estas medidas pueden ser ignoradas por un atacante determinado / inteligente, sin embargo, probablemente sean efectivas con usuarios comunes.
En realidad, estoy bastante sorprendido por la cantidad de personas que descartan esto como una política o un problema de gestión.
Sí, se debe crear / aplicar una política para que se puedan tomar las medidas disciplinarias adecuadas si o cuando se descubre que un usuario infringe la política.
Sin embargo, la política por sí sola no evitará que su red / datos se vean comprometidos si un usuario no está siguiendo la política.
Si está dentro de su capacidad para hacerlo, debe implementarse un control técnico.
Dicho esto, si sus usuarios están en Windows, puede echar un vistazo a: enlace
la Política de grupo se puede implementar para evitar que otros usuarios en su red se conecten a puntos de acceso no autorizados: enlace , sin embargo, esto no evitará que los malos se conecten a los usuarios de AP no autorizados.
Como mencionó Rory, podría ir deshabilitando los puertos USB, pero esto no siempre es práctico dependiendo de su situación.
Revelación completa. Trabajo para un gran socio de soluciones de Cisco.
Como han mencionado otros, un firewall no ayudará mucho.
Existe toda una clase de productos llamados sistemas inalámbricos de detección / prevención de intrusos (WIDS / WIPS). Cisco, Aruba, Motorola Air Defense y Airtight Networks Spectraguard son algunos de los proveedores / productos en esta categoría. No es una lista exhaustiva. Para un cliente pequeño tuve buena suerte al implementar Airtight Networks porque tienen un modelo híbrido en las instalaciones / nube que es barato y fácil de ejecutar rápidamente. También es muy eficaz. Una de las características que tenía era que podía conocer las direcciones MAC de los puntos finales de su organización (computadoras portátiles) y detectar cuándo observaba que uno se unía a una red inalámbrica no operada por su organización. Entonces podría alertarlo y / o "bloquear" el punto final o AP (¡tenga mucho cuidado de no infringir las leyes aplicables en su área!)
Kismet es una herramienta inalámbrica de código abierto que se puede usar (entre muchas otras cosas) como un sistema de detección de intrusos inalámbrico. Consulte enlace
El andar con una computadora portátil u otro escáner de mano ciertamente funciona, pero solo cuando está caminando :-) Excelente para la respuesta a incidentes o solución de problemas, pero no es una solución de monitoreo inalámbrico viable a largo plazo.
Otro enfoque técnico es evitar esto en el propio equipo de punto final ofensivo. Otros han ofrecido buenos consejos sobre esto, así que no lo repetiré.
Por supuesto, crear políticas y brindar a los usuarios una forma legítima y segura de satisfacer sus necesidades comerciales justificadas también es muy importante. Al igual que con tantos temas de seguridad, se necesita una combinación de controles técnicos y administrativos (de políticas) para tener éxito.
¡Mucha suerte!
Si el punto de acceso no autorizado está operando en modo puenteado (que será el más común), verá las direcciones mac de los clientes inalámbricos en el puerto del conmutador del escritorio.
Puede bloquear estas direcciones de Mac desconocidas en la mayoría de los conmutadores configurando el filtrado de la dirección del puerto de los conmutadores en modo "aprender y luego bloquear": aprenderá la primera dirección de Mac que se ve y luego bloqueará las nuevas. El conmutador también podría iniciar sesión cuando bloquean una dirección de Mac desconocida.
También puede hacer esto implementando 802.1x y autenticando cada dispositivo en su red, aunque sería más complicado de configurar.
Desarrolle un script que, ejecutándose en una máquina con hardware inalámbrico, escanee periódicamente el entorno inalámbrico para detectar la presencia de puntos de acceso y los almacene en una lista persistente. El programa puede activar una alarma (por ejemplo, correo electrónico a los administradores) siempre que surja un punto de acceso hasta ahora invisible y se agregue a la lista. En ese momento, es la discreción del administrador si ese punto de acceso se incluye en la lista persistente, o si se debe buscar y desactivar.
Una respuesta adecuada a la alarma podría ser enviar un correo electrónico a todo el personal del edificio:
Quien haya iniciado un punto de acceso con SSID "FooBar" tiene 10 minutos para eliminarlo, y lo olvidaremos todo. O bien, puede dejar que nosotros lo encuentre. No quieres eso.
Yo diría que es mejor si puede resolver esto entre administradores y usuarios, ya que admin no está ahí para bloquear 'solo porque', sino para apoyar la infraestructura de la organización y ayudar a los usuarios a realizar su trabajo más fácilmente (no más difícil) ). Ir por el camino de la medida frente a la contramedida de cada política solo hace que sea más probable que los usuarios estén menos inclinados a ver a los administradores de la red como útiles y que su respeto por los administradores pueda caer en picado. Dicho esto, si wifi es un problema muy grande que es absolutamente necesario para reducir (no solo porque eso es lo que importa la política), entonces puede configurar 802.1x y tener todos los nodos que se conectan por wifi para autenticarse antes de obtener acceso (también esto lo hará). cuenta por las sesiones para que cualquier cosa que suceda sea monitoreada Además, la seguridad de los puertos se puede implementar si se conoce el número de nodos en un lan o vlan, entonces se puede detectar y neutralizar el enrutador malicioso. La seguridad portuaria en realidad no es una gran solución, ya que un simple usb wifi puede evitarlo (en esta situación) pero al menos puede sofocar la actividad de los enrutadores maliciosos. El llamado 'manejo de la guerra' funciona bien y, si es necesario y se sabe básicamente dónde se pueden esconder los AP, se sabe que los administradores envían a técnicos para que caminen con una computadora portátil o un teléfono buscando al azar para localizar las ubicaciones de los AP. Si no le importa invadir la privacidad, puede ajustar los privilegios en cualquier computadora portátil controlada por la organización para monitorear la actividad y recibir alertas sobre cualquier intento de conexión a puntos wifi (y, por lo tanto, a puntos de acceso no autorizados).
Varias respuestas anteriores (como Thomas Pornin's ) han enfatizado la necesidad de la educación de los usuarios y la aplicación de políticas, y señalaron que Si los usuarios tienen acceso de administrador en sus computadoras (o pueden conectar sus propios dispositivos a la red cableada), un usuario determinado siempre puede configurar un punto de acceso no autorizado de manera que lo haga invisible para la red.
Sin embargo, argumentaría que tal educación sería aún más efectiva si se complementara con una solución técnica que impida que los usuarios puedan configurar puntos de acceso no autorizados simplemente conectando un dispositivo USB. Claro, un usuario con acceso de administrador siempre puede eludirlo si realmente quiere y sabe cómo hacerlo, pero al menos tendrá que trabajar en ello y, con suerte, no podrá hacerlo sin ser consciente que están burlando una medida de seguridad.
Es un poco como proteger su red de virus: para hacerlo de manera efectiva, realmente quiere ambos educar a sus usuarios y a ejecutar un escáner de virus. Cualquier medida por sí sola es subóptima.
En cuanto a cómo implementar dicha solución, un enfoque obvio sería configurar una regla de firewall en todas las estaciones de trabajo para rechazar cualquier paquete de IP que no se origine en el host local o que esté destinado a él. En sistemas Linux, por ejemplo, creo que la siguiente iptables debería ser suficiente:
iptables -F FORWARD
iptables -P FORWARD DROP
Esto garantiza que los paquetes que entren en la cadena FORWARD
(es decir, aquellos que no se generan localmente ni están destinados a sockets locales) se eliminarán incondicionalmente. Si desea ser amable, también puede hacer que generen un mensaje de rechazo de ICMP:
iptables -I FORWARD -j REJECT --reject-with icmp-host-unreachable
Por supuesto, debe asegurarse de que estas reglas se vuelvan a aplicar en cada reinicio. Alternativamente, puedes deshabilitar el reenvío de IPv4 en el kernel agregando la siguiente línea a /etc/sysctl.conf
:
net.ipv4.ip_forward = 0
y ejecutando sysctl -p
para volver a cargar el archivo (lo que ocurrirá automáticamente al reiniciar).
Lamentablemente, no estoy lo suficientemente familiarizado con la administración de red de Windows para poder decir qué podría hacer el mismo truco allí. (Además, debo advertir que en realidad no he probado que estas soluciones funcionan en el escenario del OP. Realice sus propias pruebas antes de confiar en ellas).
Mientras escribo esto, te han dado un par de respuestas. Simplemente ofrezco un par más:
1.) Política - ugh! Muchos han mencionado la palabra sucia, pero es verdad. Debe comenzar con una política, que existe como una declaración comercial para que los usuarios la sigan. Esta política debe ser clara en su intención y respaldada por estándares y líneas de base.
2.) No soy un fanático de volver a inventar la rueda, o de construir un cohete cuando una solución simple funcionará bien. SANS tuvo una serie de transmisiones por Internet durante un tiempo, en la que David Hoelzer enseñó varios trucos rápidos en auditoría. Uno de estos episodios discutió la detección de AP y está relacionado con su pregunta. Puede ver este episodio aquí: enlace
Aunque no estaba completamente relacionado, descubrí que ver el episodio # 3 también era útil para entender la tecnología inalámbrica. enlace (No puedo ser lo suficientemente claro aquí, NO lo haga sin un permiso explícito).
He modificado un poco la solución de David, pero la apliqué a mi oficina y se aprobó para el cumplimiento de PCI.
3.) Nessus ofrece un complemento, donde escanea el extremo cableado de un AP Rogue e informa sobre él cuando se detecta. Deberá suscribirse a la fuente de alimentación profesional de Nessus si la va a utilizar en la oficina. Es asequible a $ 1,200.00 al año y le permitirá escanear y respaldar otras políticas, como el cumplimiento de parches, estándares de construcción, vulnerabilidades.
Espero que eso te dé alguna dirección, dinos qué terminas usando y cómo se implementa.
saludos cordiales,
La solución más drástica para mitigar este tipo de riesgo es alejar la red del usuario implementando VDI / Thin Client (Bienvenido de nuevo a la era del mainframe :-)). Combinado con otras funciones de seguridad, debería relegar el problema al acceso remoto.
Si esto no es práctico, es preferible tener un sistema que detecte la inserción del tipo de dispositivo USB y levante en silencio la alerta al equipo de seguridad en lugar de bloquear el dispositivo USB, ya que el usuario encontrará otro medio para obtener lo que necesita que usted no puede estar protegido contra (es decir, traer el enrutador inalámbrico de su hogar y conectarlo a su red si no tiene autenticación).
Como se ha mencionado, el compromiso del usuario es la mejor solución aquí. Sin embargo, debe mencionarse que, en algunas situaciones, es posible que no desee tener un wifi habilitado en su red.
Una posible solución no mencionada aquí. Si estás trabajando en alguna oficina de alta seguridad de la cena. Donde wifi ha sido considerado un alto riesgo.
Puede configurar una lista de acceso restringido basada en las direcciones mac de las tarjetas de red de los dispositivos / estaciones de trabajo que se permiten específicamente en esa red. Esto puede ser una gran cantidad de trabajo, tener que obtener la dirección mac de todos los dispositivos que necesitan acceso en su sistema.
Todavía hay formas de solucionar esto falsificando la dirección mac de alguna otra estación de trabajo para permitir que un dispositivo desconocido en la red. Todavía requiere cierta medida de habilidad y saber cómo. La mayoría de los dispositivos Wifi no tienen la opción de falsificar una dirección mac a menos que sepa cómo cambiar el firmware de los dispositivos y se sienta cómodo trabajando con la configuración de los dispositivos en un nivel de línea de comandos.
La asignación de universidades establece un acceso a la red por una dirección mac. Antes de poder acceder a Internet, debe ingresar la dirección MAC de su computadora en algún sitio de registro. Esto vincula su cuenta de usuario del sistema con la dirección mac de su computadora. Necesita ambos para poder acceder a la red e internet. Este enlace explica cómo funciona eso. enlace
Puede hacer esto en el nivel DHCP, donde se asignan las direcciones IP en la red. Sin dirección IP sin acceso en la red
También puedes hacer esto en el nivel de firewall, que es mucho más seguro.
Como he dicho, esto no es una prueba completa, ya que cualquier organismo con suficiente tiempo y esfuerzo puede pasar cualquier tipo de seguridad. Específicamente a través de mac spoofing.
Aquí hay una posibilidad esperando a que otros encuentren agujeros en ella:
Haga que todas las conexiones de red internas utilicen cifrado entre puntos finales y un (conjunto de) enrutadores / conmutadores centrales. Esto podría ser VPN u otras soluciones.
La personalización de la tecnología de cifrado en cada punto final que valida ese punto final no permite el enrutamiento / puenteo a través de él.
Ahora, todo lo que se necesita es una forma de validar que la tecnología de encriptación del punto final es solo lo que usted ha proporcionado y no se ha pirateado.
Un ejemplo, NO UN RECUERDO, de soluciones disponibles incluye enlace ...
Lea otras preguntas en las etiquetas wifi