根据通过网络传输的流量类型,员工携带无线路由器并将其设置到您的网络中通常是不可行的。这是因为通常情况下,它们没有安全保护或安全性很差,并且会为网络提供后门。您可以采取哪些措施来防止将恶意无线接入点引入您的网络?
您如何防止网络上的恶意无线接入点?
上面卢卡斯的回答是一个起点。然而,还有两三件事必须考虑。这些最终有点超出了网络工程的范围,但肯定会对网络工程和安全产生影响,所以就这样吧。
您可能想要某种方法来防止公司笔记本电脑中的无线网卡切换到临时模式。假设笔记本电脑运行的是 Windows,您可能只想使用 GPO 设置为基础结构模式。对于 Linux,完全限制更难,但也有办法做到这一点。
实施 IPSec 也是一个好主意,尤其是在良好的密钥管理和可信实施的情况下。例如,如果您可以使用 X509 证书进行密钥管理,这可以防止未经授权的设备直接与网络的其余部分通信。将密钥管理视为此处基础架构的核心部分。如果您使用代理服务器,您甚至可以阻止未经授权的设备访问互联网。
请注意您的努力的局限性。这些都不能阻止人们设置连接到 USB NIC 的不安全无线接入点,仅用于与他们的计算机通信,尤其是在 SSID 隐藏(即不广播)的情况下。
不知道如何进一步控制问题,或者进一步的偏执是否已经超过了回报不足的地步.....
首先,您需要制定一项政策,禁止将不属于公司 IT 部门所有或未经公司 IT 部门批准的网络设备引入网络。接下来强制端口安全,以便未知的 mac 地址无法连接到您的网络。
第三,在您的控制下建立一个单独的无线网络(如果您给他们想要的东西,他们不太可能引入流氓 AP)(如果可能且可行),以便使用他们的(移动)设备访问互联网。这些接入点应使用 PEAP 或类似方法进行保护,并且最好在单独的网络上运行。
最后,您还可以使用 netstumbler 等工具进行定期安全扫描,以检测和跟踪网络中的恶意接入点。
还可以选择在您的网络上执行 IPsec,以便万一有人设置了流氓 AP,在有人嗅探无线网络的情况下,暴露的“波”将无法清晰读取。
到目前为止,我的所有经验都与 Cisco 产品有关,因此我可以真正谈论这些。
WCS 控制的 AP(轻量级和普通)能够检测和报告不可信 SSID 何时弹出以及有多少客户端连接到它。如果您设置了热图和相当数量的接入点,那么您很有可能能够确定接入点在您的 AP 附近的位置。唯一的缺点是,如果您靠近任何酒吧/咖啡店/大学宿舍/社区,希望看到价值随着人们移动而频繁变化的“流氓”SSID 页数。
WCS 还能够进行一些交换机端口跟踪,并在恶意软件插入您的网络时向您发出警报。我还没有多少运气让它起作用。老实说,我没有太多时间玩它。默认情况下,至少在我的网络上,跟踪的工作方式似乎存在相当多的误报。在不确定的情况下,我相信它只查看 MAC 的 OUI,如果匹配,则您会收到有关网络上流氓的警报。
最后,WCS 还具有包含恶意 AP/SSID 的能力。它通过对连接到该 AP 的任何客户端使用 deauth 和解除关联消息来实现。
从监控的角度来看,您可以运行NetDisco 之类的工具来查找连接的 MAC 地址多于您预期的交换机端口。它不会自动阻止恶意 WAP 被引入网络,但它会让您事后发现。
如果连接到您的交换机端口的设备预期保持静态,MAC 地址限制(将违规配置为管理性关闭交换机端口)可以防止连接任何恶意设备(不仅仅是 WAP)。