Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Rogue Access Point

Mitglied: Axel90

Axel90 (Level 1) - Jetzt verbinden

23.05.2017 um 15:10 Uhr, 1493 Aufrufe, 21 Kommentare

Hi!

ich würde mal gerne etwas wissen:

Wir haben in unserem Unternehmen natürlich Wlan. Es gibt ja den Angriff, dass ein Angreifer einen Access Point eröffnet mit der gleichen SSID und sich die Geräte dann damit verbinden.

Wie genau geht ihr vor, wenn so etwas bei euch passiert / passieren würde?

Schönen Gruß
Mitglied: 132895
23.05.2017, aktualisiert um 15:19 Uhr
Prinzipiell nur 802.1x mit Radius Auth (WPA2-Enterprise) an den APs mit Zertifikaten nutzen, da passiert dann in dem Fall nüscht. Wer hier im Firmenumfeld noch mit Passphrases hantiert gehört geköpft!
Vorher schlägt sowieso meistens schon die interne Überwachung Alarm.

Gruß
Bitte warten ..
Mitglied: wiesi200
23.05.2017 um 15:17 Uhr
Hallo,

funktioniert denn der Spann nicht nur bei einem öffentlichen "unverschlüsselten" Hotspot?
Bei einem Firmen W-Lan würden meiner Meinung nach die Anmeldung Quer schießen.
Bitte warten ..
Mitglied: Axel90
23.05.2017 um 15:30 Uhr
Prinzipiell nur 802.1x mit Radius Auth (WPA2-Enterprise) an den APs mit Zertifikaten nutzen, da passiert dann in dem Fall nüscht. Wer hier im Firmenumfeld noch mit Passphrases hantiert gehört geköpft!

wenn jetzt doch aber ein Angreifer eine SSID eröffnet, die exakt so heißt wie meine interne, kann es ja passieren, dass Anwender diese SSID anwählen und sich damit verbinden, oder nicht?

Vorher schlägt sowieso meistens schon die interne Überwachung Alarm.

Genau, wie findest du dann aber den Rogue AP ?
Bitte warten ..
Mitglied: 132895
23.05.2017, aktualisiert um 15:50 Uhr
Zitat von Axel90:

Prinzipiell nur 802.1x mit Radius Auth (WPA2-Enterprise) an den APs mit Zertifikaten nutzen, da passiert dann in dem Fall nüscht. Wer hier im Firmenumfeld noch mit Passphrases hantiert gehört geköpft!

wenn jetzt doch aber ein Angreifer eine SSID eröffnet, die exakt so heißt wie meine interne, kann es ja passieren, dass Anwender diese SSID anwählen und sich damit verbinden, oder nicht?
Versuchen schon, aber da kommt der Client sowieso nicht weit weil die Auth der AP bei 802.11x nur weiterleitet und das (P)EAP dann fehl schlägt wenn das Zertifikat nicht mit dem definierten übereinstimmt . Lesen kann der Roque AP die Creds also sowieso nicht. Eine Passphrase zur Auth am AP gibt es bei WPA2Enterprise ja nicht.
Genau, wie findest du dann aber den Rogue AP ?
Z.B. Über die Detection auf den APs selber, bessere Geräte bieten das ab Werk. Die scannen regelmäßig die Umgebung und wenn sich ein AP mit der selben SSID findet, gibt's ne Mail an den Admin .
Bitte warten ..
Mitglied: SlainteMhath
23.05.2017 um 15:39 Uhr
Moin,

Prinzipiell nur 802.1x mit Radius Auth (WPA2-Enterprise)
wenn jetzt doch aber ein Angreifer eine SSID eröffnet, die exakt so heißt wie meine interne,
Dann passiert eben nichts, auch der Client auch das Server-Cert prüft (und andersherum) passen die Certs nicht, gibts keine Anmeldung und fertig.

lg,
Slainte
Bitte warten ..
Mitglied: Axel90
23.05.2017 um 16:07 Uhr
Z.B. Über die Detection auf den APs selber, bessere Geräte bieten das ab Werk. Die scannen regelmäßig die Umgebung und wenn sich ein AP mit der selben SSID findet, gibt's ne Mail an den Admin

Jaja schon! Ich meinte, wie findest du dann den rogue ap, also physikalisch?
Bitte warten ..
Mitglied: wiesi200
23.05.2017 um 16:11 Uhr
Zitat von Axel90:

Prinzipiell nur 802.1x mit Radius Auth (WPA2-Enterprise) an den APs mit Zertifikaten nutzen, da passiert dann in dem Fall nüscht. Wer hier im Firmenumfeld noch mit Passphrases hantiert gehört geköpft!

Die Anmeldeinformationen werden per GPO Verteilt. Benutzername und Kennwort über Radius überprüft.
Da kann der User nicht's falsch machen.
Bitte warten ..
Mitglied: wiesi200
23.05.2017 um 16:14 Uhr
Du k
Zitat von Axel90:

Z.B. Über die Detection auf den APs selber, bessere Geräte bieten das ab Werk. Die scannen regelmäßig die Umgebung und wenn sich ein AP mit der selben SSID findet, gibt's ne Mail an den Admin

Jaja schon! Ich meinte, wie findest du dann den rogue ap, also physikalisch?

Gute AP's zeigen die die Signalstärken von Benachbarten Sendern an.
Dadurch kann man's eingrenzen und dann W-Lan Sniffer rum rennen?
Bitte warten ..
Mitglied: 132895
23.05.2017, aktualisiert um 16:15 Uhr
Zitat von Axel90:

Z.B. Über die Detection auf den APs selber, bessere Geräte bieten das ab Werk. Die scannen regelmäßig die Umgebung und wenn sich ein AP mit der selben SSID findet, gibt's ne Mail an den Admin

Jaja schon! Ich meinte, wie findest du dann den rogue ap, also physikalisch?
Wenn er sich per Kabel drangemogelt hat (wie auch immer) über die Switche/Router Port-Tabellen.

Wenn er nur drahtlos irgendwo hängt über die Feldstärke, Sniffer und Turnschuhe.
Bitte warten ..
Mitglied: Axel90
23.05.2017 um 16:19 Uhr
okay ja!

Eine Frage noch:

Nutzt ihr zufällig den Cisco WLC?

Wenn ja, kann dieser Alerts verschicken (z.b. an einen syslog server), wenn ein rogue ap erkannt wurde?

Finde dazu einfach nichts..
Bitte warten ..
Mitglied: Axel90
24.05.2017, aktualisiert um 10:24 Uhr
okay danke, das funktioniert nun!

Bei mir ist es momentan so, dass der WLC jeden fremde Access Point (egal welche SSID) erkennt und ein SNMP Trap sendet.

Da kommen viele Meldungen zusammen, da ja einfach nur jemand einen Hotspot am Handy öffnen muss.

Mich interessieren aber nur die APs mit der eigenen SSID.

Gibt es noch die Möglichkeit, nur diese APs mit eigener SSID zu erkennen und einen Alert zu schicken?

Oder steht das auch in den Links und ich bin nur blind?
Bitte warten ..
Mitglied: 132895
24.05.2017, aktualisiert um 10:49 Uhr
Füge als Bedingung für die Regel deine SSID an

From the Add Condition drop-down list, choose one or more of the following conditions that the rogue access point must meet and click Add Condition.
SSID—Requires that the rogue access point have a specific user-configured SSID. If you choose this option, enter the SSID in the User Configured SSID text box, and click Add SSID.

Steht im zweiten Link oben
http://www.cisco.com/c/en/us/td/docs/wireless/controller/7-4/configurat ...
Bitte warten ..
Mitglied: Axel90
24.05.2017 um 11:32 Uhr
aah, genau!

ich habe jetzt mal eine Rogue Rule erstellt, nach dem dritten Link.
rogue1 - Klicke auf das Bild, um es zu vergrößern

Diese Regel sollte ja nun einen Alert ausgeben, wenn sie einen AP mit einer SSID erkennt, die meinem WLC bekannt ist.

Wenn ich das richtig verstehe, werden so alle meine SSIDs abgedeckt?


Ich bekomme aber weiterhin Alerts darüber, dass Rogue APs detected wurden.

das sind ja die, die unter Monitor -> Rogues -> Unclassified APs stehen. Bei Status steht ja auch "Alert".

Jetzt frage ich mich: Wie behandle ich diese APs, die ja alle eine andere SSID haben und mich somit nicht interessieren?

Lasse ich die in "unclassified" stehen und gibt es die Möglichkeit, den Alert zu deaktivieren?

Auf jeden Fall mal danke für deine Unterstützung!
Bitte warten ..
Mitglied: Axel90
24.05.2017 um 11:54 Uhr
habe ich gemacht und auch verstanden.

es bleibt aber ein Problem: Ein User öffnet an seinem Smartphone einen Hotspot mit einer beliebigen SSID, die ich nicht weiß.

eine Rogue Rule, die bekannte SSIDs zu Friendly APs macht, wie nayarasi das beschreibt, kann ich in diesem Fall nicht aufsetzen.

Wie löst du das?
Bitte warten ..
Mitglied: 132895
24.05.2017, aktualisiert um 12:53 Uhr
Zitat von Axel90:
es bleibt aber ein Problem: Ein User öffnet an seinem Smartphone einen Hotspot mit einer beliebigen SSID, die ich nicht weiß.
Kein Problem die werden ja nicht beachtet.
eine Rogue Rule, die bekannte SSIDs zu Friendly APs macht, wie nayarasi das beschreibt, kann ich in diesem Fall nicht aufsetzen.
??? Du definierst doch mit den Regeln welche APs "ungewünscht" sind und klassifizierst sie.

Ich seh hier dein Problem nicht, alles Standard.

Das du alles detailliert gelesen hast glaube ich dir in der kurzen Zeit nicht.

I'm out.

Viel Erfolg.
Bitte warten ..
Mitglied: Axel90
24.05.2017, aktualisiert um 12:35 Uhr
oh doch, glaube mir.

Ich sitze alleine heute schon seit 8 Uhr da dran.

Du definierst doch mit den Regeln welche APs "ungewünscht" sind und klassifizierst sie. Dann legst du für diese Klasse die Benachrichtigung fest, fertig!

Richtig. Das ist meine Regel die ich oben gepostet habe. ungewünscht sind nur die, die diegleiche SSID haben. Das habe ich.

Meine Frage ist nur, wie klassifiziere ich andere SSIDs/APs als Friendly/External z.B.

nayarasi macht das mit SSIDs, die er von seinem Nachbarn kennt.

Wenn ich ihn meine Liste schau, sehe ich eine SSID, die heißt "Spiderman1".

Das ist vermutlich irgendein Hotspot.

der nächste verwendet vielleicht die SSID "01Batman01"

Wie soll ich diese SSIDs erahnen?

Du könntest es mir auch einfach sagen wie es geht. Du weißt es ja anscheinend.
Bitte warten ..
Mitglied: 132895
24.05.2017, aktualisiert um 12:53 Uhr
Zitat von Axel90:
Wie soll ich diese SSIDs erahnen?
Garnicht, musst du ja auch nicht.
Du könntest es mir auch einfach sagen wie es geht. Du weißt es ja anscheinend.
Eine weitere Regel erstellen mit einer Priorität die niedriger liegt als die erste welche per Wildcard (RSSI Wert so stellen das jedes Signal genommen wird) alles andere abdeckt und als Friendly deklariert.

Wie gesagt steht hier
http://www.cisco.com/c/en/us/td/docs/wireless/controller/7-4/configurat ...
und auch hier
https://supportforums.cisco.com/discussion/11787571/how-manage-unclassif ...
The controller verifies that the unknown access point is in the friendly MAC address list. If it is, the controller classifies the access point as Friendly.

If the unknown access point is not in the friendly MAC address list, the controller starts applying rogue classification rules.

If the rogue is already classified as Malicious, Alert or Friendly, Internal or External, the controller does not reclassify it automatically. If the rogue is classified differently, the controller reclassifies it automatically only if the rogue is in the Alert state.

The controller applies the first rule based on priority. If the rogue access point matches the criteria specified by the rule, the controller classifies the rogue according to the classification type configured for the rule.

If the rogue access point does not match any of the configured rules, the controller classifies the rogue as Unclassified.

The controller repeats the previous steps for all rogue access points. 
Bitte warten ..
Mitglied: Axel90
24.05.2017 um 13:52 Uhr
Eine weitere Regel erstellen mit einer Priorität die niedriger liegt als die erste welche per Wildcard (RSSI Wert so stellen das jedes Signal genommen wird) alles andere abdeckt und als Friendly deklariert.

Danke!

das habe ich sogar schon versucht, da war ich also doch auf dem richtigen Weg.

Ist bei mir aber gescheitert.

Vermutlich weil ich das falsche Wildcard Zeichen benutzt habe?

Habe einfach nur ein * gemacht:

rogue2 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
25.05.2017 um 12:55 Uhr
Genau, wie findest du dann aber den Rogue AP ?
Das geht über die BSSID also die Mac des fremden APs. Bei Rogue AP Detection kennen alle APs ihre eigenen BSSID untereinander.
Tauch eine fremde BSSID auf senden die APs Deauthentication Frames an den Client der es dann nicht schafft sich mit einem fremden AP zu verbinden.
Ein simpler Klassiker der natürlich im Firmenumfeld immer aktiviert gehört !
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
Access Point Fehler
gelöst Frage von TheDonnNetzwerkgrundlagen2 Kommentare

Hallo liebe Mit Administratoren, ich bin noch in der Ausbildung zum Fachinformatiker Systemintegration. Daheim habe ich für mein Hobby ...

LAN, WAN, Wireless
WLAN Access Point
Frage von PeterzLAN, WAN, Wireless14 Kommentare

Hallo, ich möchte für einen Besprechungsraum Raum eine Gäste WLAN zur Verfügung stellen und bin nun auf der Suche ...

Router & Routing
Access Point konfigurieren
Frage von accessp01ntRouter & Routing2 Kommentare

Hallo, da bei uns im Haus nicht überall WLAN_Empfang ist, haben wir ein LAN Kabel in die obere Etage ...

LAN, WAN, Wireless
Einrichtung Access Point
gelöst Frage von Stivo1994LAN, WAN, Wireless8 Kommentare

Hallo Community, ein Bekannter von mir wohnt in einer Wohnung und hat sich einen DSL Anschluss besorgt. Nun hat ...

Neue Wissensbeiträge
Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Tipp von Snowbird vor 10 StundenHumor (lol)8 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Humor (lol)

"Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!"

Tipp von Snowbird vor 1 TagHumor (lol)13 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von Lochkartenstanzer vor 1 TagHumor (lol)14 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...

Windows Update

KB4517297 verfügbar, behebt Fehler in VB6 VBA VBScript

Information von sabines vor 1 TagWindows Update

Das Update behebt mögliche Fehler in VB6, VBA und VBScript, die durch das Update KB4512486 vom August entstanden sind. ...

Heiß diskutierte Inhalte
Router & Routing
Deinstalliertes Geräte wird in FritzBox noch immer als verbundenes Gerät angezeigt
gelöst Frage von imebroRouter & Routing18 Kommentare

Hallo, in meiner FritzBox 7490 wird im Bereich "Funknetz" ein Gereät bei den verbundenen Geräten angezeigt, wobei ich nicht ...

Batch & Shell
PowerShell - Text an HTMLbody übergeben mit UTF-8 Kodierung
Frage von Pat.batBatch & Shell14 Kommentare

Hallo zusammen, ich stoße momentan auf folgendes Problem. Ich möchte mit meinem Skript E-Mails versenden. Text und Signatur samt ...

Sonstige Systeme
Ist es möglich ein ISDN-Telefon an einen analogen Anschluss anzuschließen?
Frage von cramtroniSonstige Systeme14 Kommentare

Also anders herum geht es ja, da gibt es ja diese Adapter von RJ11 auf TAE-F, aber gibt es ...

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von LochkartenstanzerHumor (lol)14 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...