Answers:
卢卡斯的上述回答只是一个起点。但是,还必须考虑其他两三件事。这些最终超出了网络工程的范围,但是肯定会对网络工程和安全性产生影响,因此请继续。
您可能想要某种方式来防止公司笔记本电脑中的无线卡切换到临时模式。假设笔记本电脑运行的是Windows,您可能只想使用GPO设置为基础架构模式。对于Linux,很难完全限制,但是也有一些方法可以做到这一点。
实施IPSec也是一个好主意,特别是具有良好的密钥管理和可信任的实施。例如,如果您可以使用X509证书进行密钥管理,则可以防止未经授权的设备直接与网络的其余部分进行通信。在这里,将密钥管理视为基础结构的核心部分。如果使用代理服务器,您甚至可以阻止未授权的设备访问Internet。
注意您的努力的局限性。这些都不能阻止一个人建立与USB NIC连接的不安全的无线访问点,其唯一目的是与他们的计算机进行通信,尤其是在SSID被隐藏(即不广播)的情况下。
不知道如何进一步控制问题,或者不确定进一步的妄想症是否已经远远超过了回报不足的程度。
首先,您需要制定一个策略,禁止将未经公司IT部门拥有或批准的网络设备引入网络。接下来,强制端口安全性,以使未知的Mac地址无法连接到您的网络。
第三,在您的控制下建立一个单独的无线网络(如果您给他们他们想要的东西,他们不太可能引入恶意AP)(如果可能和可行的话),以使用他们的(移动)设备访问Internet。这些访问点应使用PEAP或类似方法保护,最好在单独的网络上运行。
最后,您还可以使用netstumbler等工具进行常规的安全扫描,以检测和跟踪网络中的恶意访问点。
还可以选择在您的网络上执行IPsec,这样,如果有人确实设置了恶意AP,则在有人嗅探无线网络的情况下,暴露的“电波”将无法清晰读取。
到目前为止,我的所有经验都来自于Cisco产品,这是我真正可以谈论的一切。
WCS控制的AP(轻型和普通)可以检测并报告何时弹出非信任的SSID,以及连接了多少个客户端。如果您设置了热点图,并且接入点的数量不错,那么您很有可能会弄清楚该接入点在您的AP附近的位置。唯一的缺点是,如果您紧邻酒吧/咖啡厅/大学宿舍/社区,则期望看到有价值的“流氓” SSID页面随着人们的移动而频繁变化。
WCS还具有进行某些切换端口跟踪的功能,并在流氓被插入到您的网络中时提醒您。要使它正常工作,我还没有很大的运气。老实说,我没有很多时间来玩它。默认情况下,至少在我的网络上,跟踪的工作方式似乎有很多错误肯定的提示。无需确定,我相信它只会查看MAC的OUI,如果匹配,则您会收到有关网络上流氓的警报。
最后,WCS还具有包含恶意AP / SSID的功能。它通过使用取消身份验证和取消将消息与连接到该AP的任何客户端的关联来实现。
从监视角度来看,您可以运行NetDisco这样的工具来查找连接了比预期更多的MAC地址的交换机端口。它不会自动阻止将恶意WAP引入网络,但可以让您事后找到一个。
如果可以预期连接到交换机端口的设备保持静态,则MAC地址限制(违规行为配置为在交换机端口上进行管理)可能会阻止任何恶意设备(不仅仅是WAP)的连接。
就个人而言,如果网络大部分是整个思科商店,则意味着至少您的访问层已安装了思科交换机;我将端口安全性和DHCP侦听作为防范此类问题的一种方式。在所有访问端口上最多设置1个MAC地址是极端的做法,但可以确保一次只能在交换机端口上显示1个设备。如果显示1个以上的MAC地址,我还将端口设置为关闭。如果您决定允许多个MAC,则DHCP监听将很有帮助,因为当最终用户将设备插入交换端口时,大多数消费者级无线路由器都会在本地子网中引入DHCP。到那时,一旦DHCP侦听检测到访问点正在提供DHCP,端口安全性便会关闭交换机端口。
如前所述,政策至关重要。这似乎是一个奇怪的起点,但是,从公司和法律的角度来看,除非您定义并分发该政策,否则如果有人违反了该政策,您将无能为力。如果有人闯入时,您无能为力,无法阻止他们,那就没必要关上门。
802.11X呢?只要没有人能够访问该访问点下面的资源,您就不会真正在乎访问点是合法的还是非法的。如果您可以让接入点或超出该接入点的用户获得802.11X的支持,而无需批准,他们就可以访问,但他们无能为力。
实际上,我们发现这很有用,因为我们可以基于它分配不同的VLAN。如果获得批准,则可以访问公司VLAN,否则,它是内置广告网络。想要整天观看我们的促销视频,我们对此表示满意。
Nessus有一个用于检测恶意AP的插件-您可以编写扫描脚本以定期查看。
http://www.tenable.com/blog/using-nessus-to-discover-rogue-access-points