답변:
위의 루카스의 대답은 약간의 출발점입니다. 그러나 고려해야 할 두세 가지가 있습니다. 결국 네트워크 엔지니어링 의 범위를 벗어나지 만 네트워크 엔지니어링 및 보안에 영향을 미치게됩니다.
회사 랩탑의 무선 카드가 애드혹 모드로 전환되는 것을 방지 할 수있는 방법이 필요할 것입니다. 랩톱에서 Windows를 실행한다고 가정하면 GPO를 사용하여 인프라 모드로만 설정할 수 있습니다. Linux의 경우 완전히 제한하기가 어렵지만이를 수행하는 방법도 있습니다.
IPSec을 적용하는 것도 좋은 아이디어입니다. 특히 우수한 키 관리와 신뢰할 수있는 시행이 필요합니다. 예를 들어 키 관리를 위해 X509 인증서로 이동할 수 있으면 권한이없는 장치가 나머지 네트워크와 직접 통신하지 못하게 할 수 있습니다. 여기서 핵심 관리를 인프라의 핵심 부분으로 고려하십시오. 프록시 서버를 사용하는 경우 인증되지 않은 장치가 인터넷에 액세스하는 것을 차단할 수도 있습니다.
노력의 한계에 유의하십시오. 이들 중 어느 것도, 특히 SSID가 숨겨져있는 경우 (예 : 브로드 캐스트가 아닌 경우) 컴퓨터와 통신하기위한 목적으로 USB NIC에 연결된 보안되지 않은 무선 액세스 포인트를 설정하지 못하게합니다.
문제를 더 포함하는 방법을 모르거나 추가 편집증이 수익이 부족한 시점을 훨씬 지나친 경우 ....
우선 회사 IT 부서에서 소유하거나 승인하지 않은 네트워크 장비를 네트워크에 도입하는 것을 금지하는 정책을 수립해야합니다. 그런 다음 알 수없는 mac 주소가 네트워크에 연결할 수 없도록 포트 보안을 시행하십시오.
셋째, (모바일) 장치를 사용하여 인터넷에 액세스하기 위해 제어 할 수있는 별도의 무선 네트워크를 설정하십시오 (원하는 경우 불량 AP를 도입 할 가능성이 적은 경우). 이러한 액세스 포인트는 PEAP 또는 이와 유사한 것으로 보안되어야하며 별도의 네트워크에서 실행하는 것이 좋습니다.
마지막으로 netstumbler와 같은 도구를 사용하여 정기적 인 보안 검색을 수행하여 네트워크의 불량 액세스 포인트를 감지하고 추적 할 수 있습니다.
누군가가 불량 AP를 설정 한 경우 누군가 무선 네트워크를 스니핑하는 경우 노출 된 "파"를 읽을 수 없도록 네트워크를 통해 IPsec을 수행하는 옵션도 있습니다.
지금까지의 모든 경험은 Cisco 제품에 대한 것이 었으므로 이것이 실제로 말할 수있는 전부입니다.
WCS 제어 AP (경량 및 일반)는 신뢰할 수없는 SSID가 팝업되는 시점과 연결된 클라이언트 수를 감지하고보고 할 수 있습니다. 히트 맵이 설정되어 있고 적절한 수의 액세스 포인트가있는 경우 액세스 포인트가 AP와 가까운 위치를 파악할 수 있습니다. 이것의 유일한 단점은 바 / 커피 숍 / 대학 기숙사 / 이웃과 근접한 경우 사람들이 이동함에 따라 자주 변경되는 "악의적 인"SSID 페이지를 볼 수 있다는 것입니다.
또한 WCS는 일부 스위치 포트 추적을 수행하여 불량이 네트워크에 연결되어 있으면 경고합니다. 나는 이것이 작동하도록 많은 운이 아직 없다. 나는 솔직히 그것을 할 시간이 많지 않았습니다. 기본적으로 적어도 내 네트워크에는 추적이 작동하는 방식에 대해 몇 가지 오탐이있는 것 같습니다. 확실하지 않으면 MAC의 OUI 만보 고 네트워크와 일치하는 경우 불량을 경고합니다.
마지막으로 WCS에는 루즈 AP / SSID를 포함 할 수 있습니다. 인증 해제 및 연결 해제 메시지를 사용하여 해당 AP에 연결된 클라이언트에 연결합니다.
모니터링 관점에서 NetDisco 와 같은 도구를 실행하여 예상보다 많은 MAC 주소가 연결된 스위치 포트 를 찾을 수 있습니다. 불량 WAP가 네트워크에 도입되는 것을 자동으로 막지는 않지만 사실 이후에 WAP를 찾을 수 있습니다.
스위치 포트에 연결된 장비가 정적으로 유지 될 것으로 예상되면 MAC 주소 제한 (스위치 포트를 관리적으로 다운하도록 구성한 위반으로)은 WAP뿐만 아니라 불량 장치가 연결되지 못하게 할 수 있습니다.
개인적으로 네트워크가 대부분의 시스코 매장이라면, 적어도 액세스 레이어는 시스코 스위치로 설정됩니다. 이러한 유형의 문제를 방지하기 위해 포트 보안과 DHCP 스누핑을 살펴 보겠습니다. 모든 액세스 포트에서 최대 1 개의 MAC 주소를 설정하는 것은 극단적이지만 한 번에 하나의 장치 만 스위치 포트에 나타날 수 있습니다. 또한 둘 이상의 MAC이 표시되면 포트를 종료하도록 설정합니다. 둘 이상의 MAC을 허용하기로 결정한 경우 최종 사용자가 장치를 스위치 포트에 연결할 때 대부분의 소비자 급 무선 라우터가 로컬 서브넷에 DHCP를 도입하므로 DHCP 스누핑이 도움이됩니다. 이 시점에서 DHCP 스누핑이 액세스 포인트가 DHCP를 제공하고 있음을 감지하면 포트 보안은 스위치 포트를 종료합니다.
언급했듯이, 무엇보다도 정책이 중요합니다. 이것은 이상한 출발점처럼 보일 수 있지만, 정책을 정의하고 배포하지 않는 한 누군가가 정책을 위반하는 경우에는 할 수있는 일이 거의 없습니다. 누군가 침입했을 때 문을 막을 수있는 일이 없다면 문을 고정시킬 필요가 없습니다.
802.11X는 어떻습니까? 아래의 리소스에 액세스 할 수있는 사람이없는 한 액세스 포인트가 무엇인지, 합법적이든 아니든 상관하지 않습니다. 802.11X를 지원하기 위해 액세스 포인트 나 그 이상으로 액세스 포인트를 얻을 수 있으면 승인없이 액세스 할 수 있지만 아무 것도 할 수 없습니다.
실제로 VLAN을 기반으로 다른 VLAN을 할당 할 때 유용합니다. 승인을 받으면 회사 VLAN에 액세스 할 수 있습니다. 그렇지 않으면 인 빌드 광고 네트워크입니다. 하루 종일 우리의 프로모션 비디오를보고 싶다면 우리는 괜찮습니다.
Nessus에는 불량 AP를 감지하기위한 플러그인이 있습니다. 정기적으로 스캔하도록 스크립트를 작성할 수 있습니다.
http://www.tenable.com/blog/using-nessus-to-discover-rogue-access-points
예방은 어렵다.
모든 장치에 WiFi를 사용하여 유선 이더넷 포트를 교체 할 수 있으므로 사람들이 자신의 AP를 설정하지 않아도됩니다. 802.1X는 인증하고 IPsec은 보안 연결입니다.
탐지는 신뢰할만한 방법 일 수 있습니다.
무선 링크는 패킷 손실이 높고 지연 변동이 클 수 있습니다. 패킷 손실 및 지연을 모니터링하여 루즈 액세스 포인트를 통한 연결을 감지 할 수 있습니다.
무선 침입 방지 시스템 (WIPS)을 오버레이 할 생각이 있습니까?
Rogue AP는 다양한 형태와 크기로 제공됩니다 (usb / soft AP에서 실제 물리적 Rogue AP에 이르기까지). 위협이 실제로 존재하는지 추론하기 위해 시스템이 무선 및 유선을 모두 모니터링하고 네트워크의 양쪽에서 정보를 상호 연관시킬 수 있어야합니다. 그것은 100의 Ap를 통해 빗질하고 네트워크에 연결된 것을 찾을 수 있어야합니다
Rogue Ap는 Wi-Fi 위협의 한 종류입니다 .Wi-Fi 클라이언트가 사무실에서 볼 수있는 외부 AP에 연결하는 것은 어떻습니까. 유선 IDS / IPS 시스템은 이러한 종류의 위협으로부터 완전히 보호 할 수 없습니다.