GoldenLine
Zaloguj się
Tomek S.

Tomek S. IT Security
Consultant; CCNP
Security; JNCIA

Temat: BYOD + soft rogue AP

Droga Redakcjo, co robić?

Problem wygląda tak: w sieci lokalnej pojawia się laptop i otwiera soft rogue AP.

Laptop należy - powiedzmy - do członka Zarządu albo freelancera który pojawił się w firmie
na dzień lub dwa tygodnie. Może to być dowolna wersja Windows albo Makówka. User
po wszystkich autoryzacjach otrzymuje dostęp do tego, co potrzeba. Dzięki wifi laptopa wszyscy
w zasięgu tego AP także. Czasem nawet hasła nie ma.

Jedyne co mi przyszło do głowy to próba wyłowienia sygnatur systemu operacyjnego na podstawie
pakietów, okien itp. - jeśli > 1 => szlaban. Tyle, że to raczej słabe rozwiązanie.

Macie jakieś doświadczenia/pomysły?
Link do wypowiedziLink
Przemysław S.

Przemysław S. IT Management &
Professional [Just
do IT!]

Temat: BYOD + soft rogue AP

Jedyne moim zdaniem sensowne rozwiązanie to dedykowana sieć, w którą wpinasz wszystko co nie znajduje się pod kontrolą polityki bezpieczeństwa Twojej sieci - czyli gości, prywatny sprzęt itp. i puszczenie ich tylko do tego co niezbędne (np. tylko WWW do Internetu) + ewentualnie VPN do konkretnych zasobów. Można to robić nawet w miarę automatycznie - wdrożenie NAC nie jest już tak kosztowne i kłopotliwe jak kiedyś.
Link do wypowiedziLink
Tomek S.

Tomek S. IT Security
Consultant; CCNP
Security; JNCIA

Temat: BYOD + soft rogue AP

Myślałem o tym ale to nie jest rozwiązanie.

Np. prywatny i jedyny laptop dyrektora finansowego. Przez dostęp do WWW jakiś idiota korzystając z np. poczty onetu i wifi tego lapka wyśle maila, że podłożył bombę. Chwilę później przyjedzie kilku smutnych i zabierze "do analizy" wszystko łącznie z routerem. Katastrofa.

AP robi NATa więc jeśli lapek ma VPN każdy kto uzyska dostęp do AP będzie też miał dostep do VPN. W dużej części przypadków - katastrofa.
Link do wypowiedziLink
Przemysław S.

Przemysław S. IT Management &
Professional [Just
do IT!]

Temat: BYOD + soft rogue AP

Nie wiem czy poprawnie adresujesz problem - to nie zabezpieczenia techniczne tylko polityka bezpieczeństwa. Ten sam dyrektor pewnie musiał ją podpisać i być jej świadom (przynajmniej w teorii :)). Jeżeli chce zrobić wyjątek - no cóż to on jest dyrektorem i wydaje polecenia.

U nas i naszych klientów zazwyczaj stosujemy to co opisałem i NAT takiej sieci na osobny adres zewnętrzny - by od razu było widać, że to gość. No i żelazna reguła - nie wpinamy niczego do sieci wewnętrznej co nie jest pod naszą pełną kontrolą - nawet prywatne laptopy dyrektorów.

Przed przejęciem w ten sposób VPN'a się nie obronisz - jeżeli masz VPN'a to pracownik nawet w domu "wytnie" Ci taki numer i będzie po sprawie.

BTW czasy, w których po metrykach ruchu można było określić OS i czy jest na kliencie NAT już minęły - zazwyczaj atakujący takie AP wiedzą co mają robić by nie być wykrytym.
Link do wypowiedziLink
Przemysław S.

Przemysław S. IT Management &
Professional [Just
do IT!]

Temat: BYOD + soft rogue AP

Znalazłem coś takiego:
http://security.stackexchange.com/questions/10783/trac...

Jeżeli używasz w swojej sieci AP Cisco lub podobnej klasy to powinieneś mieć podstawy do takiego rozwiązania.

Info dla Cisco:
http://www.cisco.com/en/US/products/ps6366/products_te...

http://www.cisco.com/en/US/tech/tk722/tk809/technologi...
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

[debian] BUG: soft lockup c...




Wyślij zaproszenie do
Anuluj