आप नेटवर्क पर दुष्ट वायरलेस एक्सेस पॉइंट को कैसे रोक सकते हैं?

नेटवर्क पर किस प्रकार का ट्रैफ़िक चल रहा है, इस पर निर्भर करते हुए, यह अक्सर संभव नहीं है कि एक कर्मचारी एक वायरलेस राउटर लाता है और इसे आपके नेटवर्क में सेट करता है। ऐसा इसलिए है क्योंकि अक्सर, वे खराब या खराब नहीं होते हैं और नेटवर्क में एक पिछले दरवाजे को प्रस्तुत करते हैं। अपने नेटवर्क में दुष्ट वायरलेस एक्सेस पॉइंट्स को रोकने के लिए आप क्या कर सकते हैं?

ऊपर लुकास का उत्तर प्रारंभिक बिंदु का एक सा है। हालांकि दो या तीन अन्य चीजें हैं जिन पर विचार किया जाना चाहिए। ये अंत कुछ हद तक नेटवर्क इंजीनियरिंग के दायरे से बाहर है , लेकिन निश्चित रूप से नेटवर्क इंजीनियरिंग और सुरक्षा के लिए प्रभाव पड़ता है इसलिए यहां जाते हैं।

1. आप शायद कंपनी के लैपटॉप में वायरलेस कार्ड को एड हॉक मोड में बदलने से रोकने का कोई तरीका चाहते हैं। मान लें कि लैपटॉप Windows चला रहे हैं, तो आप शायद केवल इंफ्रास्ट्रक्चर मोड में सेट करने के लिए GPO का उपयोग करना चाहते हैं। लिनक्स के लिए, पूरी तरह से प्रतिबंधित करना कठिन है, लेकिन ऐसा करने के तरीके भी हैं।

2. IPSec लागू करना भी एक अच्छा विचार है, विशेष रूप से अच्छे कुंजी प्रबंधन और विश्वसनीय प्रवर्तन के साथ। उदाहरण के लिए यदि आप मुख्य प्रबंधन के लिए X509 सेर पर जा सकते हैं तो यह अनधिकृत उपकरणों को सीधे आपके बाकी नेटवर्क के साथ संचार करने से रोक सकता है। यहां बुनियादी ढांचे के मुख्य भाग के रूप में प्रमुख प्रबंधन पर विचार करें। यदि आप एक प्रॉक्सी सर्वर का उपयोग करते हैं तो आप अनधिकृत उपकरणों को इंटरनेट तक पहुँचने से रोकने में सक्षम हो सकते हैं।

3. अपने प्रयासों की सीमाओं पर ध्यान दें। इनमें से कोई भी एक व्यक्ति को USB एनआईसी से जुड़ा एक असुरक्षित वायरलेस एक्सेस प्वाइंट सेट करने से रोकता है, अपने कंप्यूटर के साथ संचार करने के एकमात्र उद्देश्यों के लिए, खासकर अगर SSID छिपा हुआ है (अर्थात प्रसारण नहीं)।

यह सुनिश्चित करने के लिए नहीं कि आगे समस्या कैसे होती है या अगर आगे व्यामोह अपर्याप्त रिटर्न के बिंदु से अच्छी तरह से अतीत है .....

सबसे पहले आपको नेटवर्क में नेटवर्क उपकरण शुरू करने से रोकने वाली एक नीति बनाने की आवश्यकता है, जो कि आईटी विभाग के स्वामित्व या अनुमोदित नहीं है। अगला पोर्ट सुरक्षा लागू करता है ताकि अज्ञात मैक पते आपके नेटवर्क से कनेक्ट न हो सकें।

तीसरे ने आपके नियंत्रण में एक अलग वायरलेस नेटवर्क स्थापित किया (यदि आप उन्हें वही देते हैं जो वे चाहते हैं कि वे दुष्ट एपी को पेश करें) (यदि संभव हो और संभव हो तो) उनके (मोबाइल) उपकरणों के साथ इंटरनेट तक पहुंचने के लिए। इन पहुंच बिंदुओं को PEAP या समान के साथ सुरक्षित किया जाना चाहिए और अधिमानतः एक अलग नेटवर्क पर चलाया जाना चाहिए।

अंतिम आप अपने नेटवर्क में दुष्ट पहुंच बिंदुओं का पता लगाने और उन्हें ट्रैक करने के लिए नेटस्टंबलर जैसे उपकरणों का उपयोग करके नियमित सुरक्षा स्कैन भी कर सकते हैं।

आपके नेटवर्क पर IPsec करने का विकल्प भी है ताकि यदि कोई व्यक्ति किसी दुष्ट AP की स्थापना करता है, तो किसी के द्वारा वायरलेस नेटवर्क को सूँघने की स्थिति में उजागर "तरंगें" सादा पठनीय नहीं होंगी।

मेरे अब तक के सभी अनुभव सिस्को उत्पादों के साथ हैं, इसलिए मैं वास्तव में बोल सकता हूं।

WCS नियंत्रित APs (हल्के और सामान्य) में गैर-विश्वसनीय SSIDs का पता लगाने और रिपोर्ट करने की क्षमता होती है और कितने ग्राहक इससे जुड़े होते हैं। यदि आपके पास हीटमैप सेट अप हैं और पहुंच बिंदुओं की एक सभ्य संख्या है, तो आप यह पता लगाने में सक्षम होने का एक अच्छा मौका देते हैं कि एक्सेस प्वाइंट आपके एपी के निकट है। इसका केवल एक ही पक्ष यह है कि यदि आप किसी भी बार / कॉफी शॉप / कॉलेज डॉर्म / पड़ोस के निकट निकटता में हैं, तो "दुष्ट" SSIDs के पृष्ठों को देखने की उम्मीद करते हैं जो कि लोगों के चलते ही बदल जाते हैं।

WCS में कुछ स्विचपोर्ट ट्रेसिंग करने और आपको सचेत करने की क्षमता भी है, यदि आपके नेटवर्क में बदमाशों को प्लग किया जाता है। मुझे अभी तक काम करने के लिए बहुत कुछ मिलना बाकी है। मैंने ईमानदारी से इसके साथ खेलने के लिए बहुत समय नहीं दिया है। डिफ़ॉल्ट रूप से, कम से कम मेरे नेटवर्क पर, ट्रेस के काम करने के तरीके से काफी कुछ गलत-सकारात्मक प्रतीत होते हैं। सुनिश्चित किए बिना, मेरा मानना ​​है कि यह केवल मैक के OUI को देखता है और अगर यह मेल खाता है तो आपको नेटवर्क पर एक दुष्ट के बारे में अलर्ट मिलता है।

अंत में, डब्ल्यूसीएस में रूज एपी / एसएसआईडी शामिल करने की क्षमता भी है। यह उस एप से जुड़े किसी भी क्लाइंट के लिए मैसेज और डिसाइड करके संदेशों का उपयोग करता है।

एक निगरानी के दृष्टिकोण से, आप नेट मैक पर स्विच करने के लिए नेटवर्क्स जैसे टूल को अधिक मैक पते से जोड़ सकते हैं, जिसकी आप अपेक्षा करेंगे। यह स्वचालित रूप से एक दुष्ट WAP को नेटवर्क से परिचित होने से नहीं रोक सकता है, लेकिन यह आपको तथ्य के बाद एक खोजने देगा।

यदि आपके स्विचपोर्ट से जुड़े उपकरण स्थिर रहने की उम्मीद की जा सकती है, तो मैक एड्रेस लिमिटिंग (प्रशासनिक रूप से स्विचपोर्ट के नीचे कॉन्फ़िगर किए गए उल्लंघन के साथ) किसी भी दुष्ट डिवाइस (न केवल WAP) को कनेक्ट होने से रोक सकता है।

• केवल अगर एपी ब्रिजिंग मोड में है, तो आप इसे पोर्ट सुरक्षा के साथ पकड़ सकते हैं।

• मैक पते की संख्या को सीमित करने में मदद नहीं करेगा, इस घटना में रूज एपी को "वायरलेस राउटर" के रूप में भी कॉन्फ़िगर किया गया है।

• डीएचसीपी स्नूपिंग मददगार है, इसमें वह वायरलेस एपी को पकड़ लेगा, जो बैकवर्ड में जुड़ा हुआ है यानी रोजगे डिवाइसों का लैन पोर्ट, जिसमें डीएचसीपी सक्षम है, आपके नेटवर्क से जुड़ा है, डीएचसीपी स्नूपिंग ट्रैफिक छोड़ देगा।

• न्यूनतम बजट के साथ डीएचसीपी स्नूपिंग मेरा एकमात्र विकल्प है, मैं तब तक इंतजार करता हूं जब तक कि कोई उपयोगकर्ता अपने एपी को पीछे की तरफ प्लग करने के लिए पर्याप्त गूंगा नहीं हो जाता ... तब मैं शिकार जाता हूं :)

निजी तौर पर, यदि नेटवर्क एक अधिकांश सिस्को दुकान का हिस्सा है, जिसका अर्थ है कि कम से कम आपकी पहुंच परत सिस्को स्विच के साथ सेटअप है; मैं पोर्ट सुरक्षा और डीएचसीपी स्नूपिंग को इस प्रकार के मुद्दे से बचाव के तरीके के रूप में देखूंगा। सभी एक्सेस पोर्ट पर अधिकतम 1 मैक एड्रेस सेट करना चरम होगा, लेकिन यह सुनिश्चित करेगा कि एक बार में केवल 1 डिवाइस ही स्विचपोर्ट पर दिखाई दे। अगर 1 से अधिक मैक दिखाता है तो मैं पोर्ट को बंद करने के लिए भी सेट करूंगा। यदि आप 1 मैक से अधिक की अनुमति देने का निर्णय लेते हैं, तो डीएचसीपी स्नूपिंग मदद करेगा क्योंकि अधिकांश उपभोक्ता ग्रेड वायरलेस राउटर स्थानीय सबनेट में डीएचसीपी लागू करते हैं जब अंतिम उपयोगकर्ता स्विचपोर्ट में डिवाइस प्लग करता है। उस बिंदु पर पोर्ट सुरक्षा एक बार DHCP स्नूपिंग पता लगा लेती है कि एक्सेस प्वाइंट DHCP की पेशकश कर रहा है, तो स्विचपोर्ट को बंद कर देगा।

मत भूलो कि आप 802.1x को वायर्ड पोर्ट पर भी चला सकते हैं। 802.1x अनधिकृत उपकरणों को रोक सकता है और पोर्ट-सुरक्षा किसी स्विच को हुक करने से रोकने और पोर्ट को सिलाई करने में मदद करता है। याद रखें कि यहां तक ​​कि सबसे अच्छे नेटवर्क नियंत्रण के साथ, आपको पीसी स्तर पर उपाय करने होंगे या उपयोगकर्ता बस अपने पीसी पर NAT चला पाएंगे और आपके नेटवर्क सुरक्षा उपायों को बायपास कर पाएंगे।

जैसा कि कहा गया है, पहला और सबसे महत्वपूर्ण, नीतियां मायने रखती हैं। यह एक अजीब शुरुआती बिंदु की तरह लग सकता है, लेकिन, एक कॉर्पोरेट और कानूनी दृष्टिकोण से, जब तक आप नीति को परिभाषित और वितरित नहीं करते हैं, अगर कोई इसे तोड़ता है, तो बहुत कम आप कर सकते हैं। दरवाजा हासिल करने का कोई मतलब नहीं है, जब कोई अंदर आता है, तो आप उन्हें रोकने के लिए कुछ नहीं कर सकते।

802.11X के बारे में क्या। आप वास्तव में इस बात की परवाह नहीं करते हैं कि पहुंच बिंदु क्या है, कानूनी है या नहीं, जब तक कि इसके नीचे के संसाधनों तक किसी की पहुंच नहीं हो जाती। यदि आप 802.11X का समर्थन करने के लिए एक्सेस प्वाइंट या इसके परे के उपयोगकर्ता को प्राप्त कर सकते हैं, तो उन्हें अनुमति मिले, लेकिन वे कुछ भी नहीं कर सकते।

हमें वास्तव में यह उपयोगी लगता है क्योंकि हम इसके आधार पर विभिन्न वीएलएएन प्रदान करते हैं। यदि आप स्वीकृत हैं, तो आपको कॉर्पोरेट वीएलएएन तक पहुंच मिलती है, अन्यथा, यह इन-बिल्ड विज्ञापन नेटवर्क है। पूरे दिन हमारे प्रोमो वीडियो देखना चाहते हैं, हम इसके साथ ठीक हैं।

Nessus में दुष्ट APs का पता लगाने के लिए एक प्लगइन है - आप समय-समय पर देखने के लिए स्कैन कर सकते हैं।

http://www.tenable.com/blog/using-nessus-to-discover-rogue-access-points

रोकथाम कठिन है।

आप सभी उपकरणों के लिए वाईफाई का उपयोग करके वायर्ड ईथरनेट पोर्ट्स को बदल सकते हैं - लोगों को अपने एपी को सेटअप करने की आवश्यकता को समाप्त करना। 802.1X प्रमाणित और सुरक्षित कनेक्शन के लिए IPsec।

जांच केवल विश्वसनीय तरीका हो सकता है:

वायरलेस लिंक में उच्च पैकेट हानि होती है और संभवतः महत्वपूर्ण विलंब भिन्नता होती है। पैकेट के नुकसान की निगरानी और देरी से आप रूज एक्सेस प्वाइंट पर कनेक्शन का पता लगा सकते हैं।

क्या आपने वायरलेस घुसपैठ रोकथाम प्रणाली (WIPS) को ओवरले करने के लिए कोई विचार दिया है?

दुष्ट एपीएस कई रूपों और आकारों में आते हैं (यूएसबी / सॉफ्ट एपी से वास्तविक भौतिक दुष्ट एपीएस तक)। आपको एक प्रणाली की आवश्यकता है जो हवा और वायर्ड दोनों तरफ की निगरानी कर सकती है और नेटवर्क के दोनों तरफ से सूचनाओं को सहसंबंधित कर सकती है यदि वास्तव में कोई खतरा मौजूद है तो कटौती कर सकता है। यह एप के 100 के दशक में कंघी करने में सक्षम होना चाहिए और वह ढूंढना चाहिए जो आपके नेटवर्क में प्लग किया गया हो

दुष्ट एप सिर्फ 1 तरह का वाईफाई खतरा है, कैसे आपके वाईफाई क्लाइंट आपके कार्यालय से दिखाई देने वाले बाहरी एपी से जुड़ते हैं। वायर्ड आईडी / आईपीएस प्रणाली इस तरह के खतरों से पूरी तरह से रक्षा नहीं कर सकती है।