axel90
Goto Top

Rogue Access Point

Hi!

ich würde mal gerne etwas wissen:

Wir haben in unserem Unternehmen natürlich Wlan. Es gibt ja den Angriff, dass ein Angreifer einen Access Point eröffnet mit der gleichen SSID und sich die Geräte dann damit verbinden.

Wie genau geht ihr vor, wenn so etwas bei euch passiert / passieren würde?

Schönen Gruß

Content-ID: 338657

Url: https://administrator.de/forum/rogue-access-point-338657.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

132895
132895 23.05.2017 aktualisiert um 15:19:52 Uhr
Goto Top
Prinzipiell nur 802.1x mit Radius Auth (WPA2-Enterprise) an den APs mit Zertifikaten nutzen, da passiert dann in dem Fall nüscht. Wer hier im Firmenumfeld noch mit Passphrases hantiert gehört geköpft!
Vorher schlägt sowieso meistens schon die interne Überwachung Alarm.

Gruß
wiesi200
wiesi200 23.05.2017 um 15:17:30 Uhr
Goto Top
Hallo,

funktioniert denn der Spann nicht nur bei einem öffentlichen "unverschlüsselten" Hotspot?
Bei einem Firmen W-Lan würden meiner Meinung nach die Anmeldung Quer schießen.
Axel90
Axel90 23.05.2017 um 15:30:33 Uhr
Goto Top
Prinzipiell nur 802.1x mit Radius Auth (WPA2-Enterprise) an den APs mit Zertifikaten nutzen, da passiert dann in dem Fall nüscht. Wer hier im Firmenumfeld noch mit Passphrases hantiert gehört geköpft!

wenn jetzt doch aber ein Angreifer eine SSID eröffnet, die exakt so heißt wie meine interne, kann es ja passieren, dass Anwender diese SSID anwählen und sich damit verbinden, oder nicht?

Vorher schlägt sowieso meistens schon die interne Überwachung Alarm.

Genau, wie findest du dann aber den Rogue AP ?
132895
132895 23.05.2017 aktualisiert um 15:50:34 Uhr
Goto Top
Zitat von @Axel90:

Prinzipiell nur 802.1x mit Radius Auth (WPA2-Enterprise) an den APs mit Zertifikaten nutzen, da passiert dann in dem Fall nüscht. Wer hier im Firmenumfeld noch mit Passphrases hantiert gehört geköpft!

wenn jetzt doch aber ein Angreifer eine SSID eröffnet, die exakt so heißt wie meine interne, kann es ja passieren, dass Anwender diese SSID anwählen und sich damit verbinden, oder nicht?
Versuchen schon, aber da kommt der Client sowieso nicht weit weil die Auth der AP bei 802.11x nur weiterleitet und das (P)EAP dann fehl schlägt wenn das Zertifikat nicht mit dem definierten übereinstimmt face-wink. Lesen kann der Roque AP die Creds also sowieso nicht. Eine Passphrase zur Auth am AP gibt es bei WPA2Enterprise ja nicht.
Genau, wie findest du dann aber den Rogue AP ?
Z.B. Über die Detection auf den APs selber, bessere Geräte bieten das ab Werk. Die scannen regelmäßig die Umgebung und wenn sich ein AP mit der selben SSID findet, gibt's ne Mail an den Admin face-wink.
SlainteMhath
SlainteMhath 23.05.2017 um 15:39:03 Uhr
Goto Top
Moin,

Prinzipiell nur 802.1x mit Radius Auth (WPA2-Enterprise)
wenn jetzt doch aber ein Angreifer eine SSID eröffnet, die exakt so heißt wie meine interne,
Dann passiert eben nichts, auch der Client auch das Server-Cert prüft (und andersherum) passen die Certs nicht, gibts keine Anmeldung und fertig.

lg,
Slainte
Axel90
Axel90 23.05.2017 um 16:07:10 Uhr
Goto Top
Z.B. Über die Detection auf den APs selber, bessere Geräte bieten das ab Werk. Die scannen regelmäßig die Umgebung und wenn sich ein AP mit der selben SSID findet, gibt's ne Mail an den Admin

Jaja schon! Ich meinte, wie findest du dann den rogue ap, also physikalisch?
wiesi200
wiesi200 23.05.2017 um 16:11:48 Uhr
Goto Top
Zitat von @Axel90:

Prinzipiell nur 802.1x mit Radius Auth (WPA2-Enterprise) an den APs mit Zertifikaten nutzen, da passiert dann in dem Fall nüscht. Wer hier im Firmenumfeld noch mit Passphrases hantiert gehört geköpft!

Die Anmeldeinformationen werden per GPO Verteilt. Benutzername und Kennwort über Radius überprüft.
Da kann der User nicht's falsch machen.
wiesi200
wiesi200 23.05.2017 um 16:14:16 Uhr
Goto Top
Du k
Zitat von @Axel90:

Z.B. Über die Detection auf den APs selber, bessere Geräte bieten das ab Werk. Die scannen regelmäßig die Umgebung und wenn sich ein AP mit der selben SSID findet, gibt's ne Mail an den Admin

Jaja schon! Ich meinte, wie findest du dann den rogue ap, also physikalisch?

Gute AP's zeigen die die Signalstärken von Benachbarten Sendern an.
Dadurch kann man's eingrenzen und dann W-Lan Sniffer rum rennen?
132895
132895 23.05.2017 aktualisiert um 16:15:02 Uhr
Goto Top
Zitat von @Axel90:

Z.B. Über die Detection auf den APs selber, bessere Geräte bieten das ab Werk. Die scannen regelmäßig die Umgebung und wenn sich ein AP mit der selben SSID findet, gibt's ne Mail an den Admin

Jaja schon! Ich meinte, wie findest du dann den rogue ap, also physikalisch?
Wenn er sich per Kabel drangemogelt hat (wie auch immer) über die Switche/Router Port-Tabellen.

Wenn er nur drahtlos irgendwo hängt über die Feldstärke, Sniffer und Turnschuhe.
Axel90
Axel90 23.05.2017 um 16:19:56 Uhr
Goto Top
okay ja!

Eine Frage noch:

Nutzt ihr zufällig den Cisco WLC?

Wenn ja, kann dieser Alerts verschicken (z.b. an einen syslog server), wenn ein rogue ap erkannt wurde?

Finde dazu einfach nichts..
Axel90
Axel90 24.05.2017 aktualisiert um 10:24:30 Uhr
Goto Top
okay danke, das funktioniert nun!

Bei mir ist es momentan so, dass der WLC jeden fremde Access Point (egal welche SSID) erkennt und ein SNMP Trap sendet.

Da kommen viele Meldungen zusammen, da ja einfach nur jemand einen Hotspot am Handy öffnen muss.

Mich interessieren aber nur die APs mit der eigenen SSID.

Gibt es noch die Möglichkeit, nur diese APs mit eigener SSID zu erkennen und einen Alert zu schicken?

Oder steht das auch in den Links und ich bin nur blind?
132895
132895 24.05.2017 aktualisiert um 10:49:08 Uhr
Goto Top
Füge als Bedingung für die Regel deine SSID an

From the Add Condition drop-down list, choose one or more of the following conditions that the rogue access point must meet and click Add Condition.
SSID—Requires that the rogue access point have a specific user-configured SSID. If you choose this option, enter the SSID in the User Configured SSID text box, and click Add SSID.

Steht im zweiten Link oben
http://www.cisco.com/c/en/us/td/docs/wireless/controller/7-4/configurat ...
Axel90
Axel90 24.05.2017 um 11:32:44 Uhr
Goto Top
aah, genau!

ich habe jetzt mal eine Rogue Rule erstellt, nach dem dritten Link.
rogue1

Diese Regel sollte ja nun einen Alert ausgeben, wenn sie einen AP mit einer SSID erkennt, die meinem WLC bekannt ist.

Wenn ich das richtig verstehe, werden so alle meine SSIDs abgedeckt?


Ich bekomme aber weiterhin Alerts darüber, dass Rogue APs detected wurden.

das sind ja die, die unter Monitor -> Rogues -> Unclassified APs stehen. Bei Status steht ja auch "Alert".

Jetzt frage ich mich: Wie behandle ich diese APs, die ja alle eine andere SSID haben und mich somit nicht interessieren?

Lasse ich die in "unclassified" stehen und gibt es die Möglichkeit, den Alert zu deaktivieren?

Auf jeden Fall mal danke für deine Unterstützung!
132895
132895 24.05.2017 aktualisiert um 11:46:18 Uhr
Goto Top
Axel90
Axel90 24.05.2017 um 11:54:40 Uhr
Goto Top
habe ich gemacht und auch verstanden.

es bleibt aber ein Problem: Ein User öffnet an seinem Smartphone einen Hotspot mit einer beliebigen SSID, die ich nicht weiß.

eine Rogue Rule, die bekannte SSIDs zu Friendly APs macht, wie nayarasi das beschreibt, kann ich in diesem Fall nicht aufsetzen.

Wie löst du das?
132895
132895 24.05.2017 aktualisiert um 12:53:32 Uhr
Goto Top
Zitat von @Axel90:
es bleibt aber ein Problem: Ein User öffnet an seinem Smartphone einen Hotspot mit einer beliebigen SSID, die ich nicht weiß.
Kein Problem die werden ja nicht beachtet.
eine Rogue Rule, die bekannte SSIDs zu Friendly APs macht, wie nayarasi das beschreibt, kann ich in diesem Fall nicht aufsetzen.
??? Du definierst doch mit den Regeln welche APs "ungewünscht" sind und klassifizierst sie.

Ich seh hier dein Problem nicht, alles Standard.

Das du alles detailliert gelesen hast glaube ich dir in der kurzen Zeit nicht.

I'm out.

Viel Erfolg.
Axel90
Axel90 24.05.2017 aktualisiert um 12:35:48 Uhr
Goto Top
oh doch, glaube mir.

Ich sitze alleine heute schon seit 8 Uhr da dran.

Du definierst doch mit den Regeln welche APs "ungewünscht" sind und klassifizierst sie. Dann legst du für diese Klasse die Benachrichtigung fest, fertig!

Richtig. Das ist meine Regel die ich oben gepostet habe. ungewünscht sind nur die, die diegleiche SSID haben. Das habe ich.

Meine Frage ist nur, wie klassifiziere ich andere SSIDs/APs als Friendly/External z.B.

nayarasi macht das mit SSIDs, die er von seinem Nachbarn kennt.

Wenn ich ihn meine Liste schau, sehe ich eine SSID, die heißt "Spiderman1".

Das ist vermutlich irgendein Hotspot.

der nächste verwendet vielleicht die SSID "01Batman01"

Wie soll ich diese SSIDs erahnen?

Du könntest es mir auch einfach sagen wie es geht. Du weißt es ja anscheinend.
132895
132895 24.05.2017 aktualisiert um 12:53:16 Uhr
Goto Top
Zitat von @Axel90:
Wie soll ich diese SSIDs erahnen?
Garnicht, musst du ja auch nicht.
Du könntest es mir auch einfach sagen wie es geht. Du weißt es ja anscheinend.
Eine weitere Regel erstellen mit einer Priorität die niedriger liegt als die erste welche per Wildcard (RSSI Wert so stellen das jedes Signal genommen wird) alles andere abdeckt und als Friendly deklariert.

Wie gesagt steht hier
http://www.cisco.com/c/en/us/td/docs/wireless/controller/7-4/configurat ...
und auch hier
https://supportforums.cisco.com/discussion/11787571/how-manage-unclassif ...
The controller verifies that the unknown access point is in the friendly MAC address list. If it is, the controller classifies the access point as Friendly.

If the unknown access point is not in the friendly MAC address list, the controller starts applying rogue classification rules.

If the rogue is already classified as Malicious, Alert or Friendly, Internal or External, the controller does not reclassify it automatically. If the rogue is classified differently, the controller reclassifies it automatically only if the rogue is in the Alert state.

The controller applies the first rule based on priority. If the rogue access point matches the criteria specified by the rule, the controller classifies the rogue according to the classification type configured for the rule.

If the rogue access point does not match any of the configured rules, the controller classifies the rogue as Unclassified.

The controller repeats the previous steps for all rogue access points. 
Axel90
Axel90 24.05.2017 um 13:52:55 Uhr
Goto Top
Eine weitere Regel erstellen mit einer Priorität die niedriger liegt als die erste welche per Wildcard (RSSI Wert so stellen das jedes Signal genommen wird) alles andere abdeckt und als Friendly deklariert.

Danke!

das habe ich sogar schon versucht, da war ich also doch auf dem richtigen Weg.

Ist bei mir aber gescheitert.

Vermutlich weil ich das falsche Wildcard Zeichen benutzt habe?

Habe einfach nur ein * gemacht:

rogue2
aqui
aqui 25.05.2017, aktualisiert am 12.01.2020 um 15:32:23 Uhr
Goto Top
Genau, wie findest du dann aber den Rogue AP ?
Das geht über die BSSID also die Mac des fremden APs. Bei Rogue AP Detection kennen alle APs ihre eigenen BSSID untereinander.
Taucht eine fremde BSSID auf senden die APs Deauthentication Frames an den Client der es dann nicht schafft sich mit einem fremden AP zu verbinden.
Ein simpler Klassiker der natürlich im Firmenumfeld immer aktiviert gehört !