Rogue Access Point

Mitglied: Axel90

Axel90 (Level 1) - Jetzt verbinden

23.05.2017 um 15:10 Uhr, 3031 Aufrufe, 21 Kommentare

Hi!

ich würde mal gerne etwas wissen:

Wir haben in unserem Unternehmen natürlich Wlan. Es gibt ja den Angriff, dass ein Angreifer einen Access Point eröffnet mit der gleichen SSID und sich die Geräte dann damit verbinden.

Wie genau geht ihr vor, wenn so etwas bei euch passiert / passieren würde?

Schönen Gruß
Mitglied: 132895
23.05.2017, aktualisiert um 15:19 Uhr
Prinzipiell nur 802.1x mit Radius Auth (WPA2-Enterprise) an den APs mit Zertifikaten nutzen, da passiert dann in dem Fall nüscht. Wer hier im Firmenumfeld noch mit Passphrases hantiert gehört geköpft!
Vorher schlägt sowieso meistens schon die interne Überwachung Alarm.

Gruß
Bitte warten ..
Mitglied: wiesi200
23.05.2017 um 15:17 Uhr
Hallo,

funktioniert denn der Spann nicht nur bei einem öffentlichen "unverschlüsselten" Hotspot?
Bei einem Firmen W-Lan würden meiner Meinung nach die Anmeldung Quer schießen.
Bitte warten ..
Mitglied: Axel90
23.05.2017 um 15:30 Uhr
Prinzipiell nur 802.1x mit Radius Auth (WPA2-Enterprise) an den APs mit Zertifikaten nutzen, da passiert dann in dem Fall nüscht. Wer hier im Firmenumfeld noch mit Passphrases hantiert gehört geköpft!

wenn jetzt doch aber ein Angreifer eine SSID eröffnet, die exakt so heißt wie meine interne, kann es ja passieren, dass Anwender diese SSID anwählen und sich damit verbinden, oder nicht?

Vorher schlägt sowieso meistens schon die interne Überwachung Alarm.

Genau, wie findest du dann aber den Rogue AP ?
Bitte warten ..
Mitglied: 132895
23.05.2017, aktualisiert um 15:50 Uhr
Zitat von Axel90:

Prinzipiell nur 802.1x mit Radius Auth (WPA2-Enterprise) an den APs mit Zertifikaten nutzen, da passiert dann in dem Fall nüscht. Wer hier im Firmenumfeld noch mit Passphrases hantiert gehört geköpft!

wenn jetzt doch aber ein Angreifer eine SSID eröffnet, die exakt so heißt wie meine interne, kann es ja passieren, dass Anwender diese SSID anwählen und sich damit verbinden, oder nicht?
Versuchen schon, aber da kommt der Client sowieso nicht weit weil die Auth der AP bei 802.11x nur weiterleitet und das (P)EAP dann fehl schlägt wenn das Zertifikat nicht mit dem definierten übereinstimmt . Lesen kann der Roque AP die Creds also sowieso nicht. Eine Passphrase zur Auth am AP gibt es bei WPA2Enterprise ja nicht.
Genau, wie findest du dann aber den Rogue AP ?
Z.B. Über die Detection auf den APs selber, bessere Geräte bieten das ab Werk. Die scannen regelmäßig die Umgebung und wenn sich ein AP mit der selben SSID findet, gibt's ne Mail an den Admin .
Bitte warten ..
Mitglied: SlainteMhath
23.05.2017 um 15:39 Uhr
Moin,

Prinzipiell nur 802.1x mit Radius Auth (WPA2-Enterprise)
wenn jetzt doch aber ein Angreifer eine SSID eröffnet, die exakt so heißt wie meine interne,
Dann passiert eben nichts, auch der Client auch das Server-Cert prüft (und andersherum) passen die Certs nicht, gibts keine Anmeldung und fertig.

lg,
Slainte
Bitte warten ..
Mitglied: Axel90
23.05.2017 um 16:07 Uhr
Z.B. Über die Detection auf den APs selber, bessere Geräte bieten das ab Werk. Die scannen regelmäßig die Umgebung und wenn sich ein AP mit der selben SSID findet, gibt's ne Mail an den Admin

Jaja schon! Ich meinte, wie findest du dann den rogue ap, also physikalisch?
Bitte warten ..
Mitglied: wiesi200
23.05.2017 um 16:11 Uhr
Zitat von Axel90:

Prinzipiell nur 802.1x mit Radius Auth (WPA2-Enterprise) an den APs mit Zertifikaten nutzen, da passiert dann in dem Fall nüscht. Wer hier im Firmenumfeld noch mit Passphrases hantiert gehört geköpft!

Die Anmeldeinformationen werden per GPO Verteilt. Benutzername und Kennwort über Radius überprüft.
Da kann der User nicht's falsch machen.
Bitte warten ..
Mitglied: wiesi200
23.05.2017 um 16:14 Uhr
Du k
Zitat von Axel90:

Z.B. Über die Detection auf den APs selber, bessere Geräte bieten das ab Werk. Die scannen regelmäßig die Umgebung und wenn sich ein AP mit der selben SSID findet, gibt's ne Mail an den Admin

Jaja schon! Ich meinte, wie findest du dann den rogue ap, also physikalisch?

Gute AP's zeigen die die Signalstärken von Benachbarten Sendern an.
Dadurch kann man's eingrenzen und dann W-Lan Sniffer rum rennen?
Bitte warten ..
Mitglied: 132895
23.05.2017, aktualisiert um 16:15 Uhr
Zitat von Axel90:

Z.B. Über die Detection auf den APs selber, bessere Geräte bieten das ab Werk. Die scannen regelmäßig die Umgebung und wenn sich ein AP mit der selben SSID findet, gibt's ne Mail an den Admin

Jaja schon! Ich meinte, wie findest du dann den rogue ap, also physikalisch?
Wenn er sich per Kabel drangemogelt hat (wie auch immer) über die Switche/Router Port-Tabellen.

Wenn er nur drahtlos irgendwo hängt über die Feldstärke, Sniffer und Turnschuhe.
Bitte warten ..
Mitglied: Axel90
23.05.2017 um 16:19 Uhr
okay ja!

Eine Frage noch:

Nutzt ihr zufällig den Cisco WLC?

Wenn ja, kann dieser Alerts verschicken (z.b. an einen syslog server), wenn ein rogue ap erkannt wurde?

Finde dazu einfach nichts..
Bitte warten ..
Mitglied: Axel90
24.05.2017, aktualisiert um 10:24 Uhr
okay danke, das funktioniert nun!

Bei mir ist es momentan so, dass der WLC jeden fremde Access Point (egal welche SSID) erkennt und ein SNMP Trap sendet.

Da kommen viele Meldungen zusammen, da ja einfach nur jemand einen Hotspot am Handy öffnen muss.

Mich interessieren aber nur die APs mit der eigenen SSID.

Gibt es noch die Möglichkeit, nur diese APs mit eigener SSID zu erkennen und einen Alert zu schicken?

Oder steht das auch in den Links und ich bin nur blind?
Bitte warten ..
Mitglied: 132895
24.05.2017, aktualisiert um 10:49 Uhr
Füge als Bedingung für die Regel deine SSID an

From the Add Condition drop-down list, choose one or more of the following conditions that the rogue access point must meet and click Add Condition.
SSID—Requires that the rogue access point have a specific user-configured SSID. If you choose this option, enter the SSID in the User Configured SSID text box, and click Add SSID.

Steht im zweiten Link oben
http://www.cisco.com/c/en/us/td/docs/wireless/controller/7-4/configurat ...
Bitte warten ..
Mitglied: Axel90
24.05.2017 um 11:32 Uhr
aah, genau!

ich habe jetzt mal eine Rogue Rule erstellt, nach dem dritten Link.
rogue1 - Klicke auf das Bild, um es zu vergrößern

Diese Regel sollte ja nun einen Alert ausgeben, wenn sie einen AP mit einer SSID erkennt, die meinem WLC bekannt ist.

Wenn ich das richtig verstehe, werden so alle meine SSIDs abgedeckt?


Ich bekomme aber weiterhin Alerts darüber, dass Rogue APs detected wurden.

das sind ja die, die unter Monitor -> Rogues -> Unclassified APs stehen. Bei Status steht ja auch "Alert".

Jetzt frage ich mich: Wie behandle ich diese APs, die ja alle eine andere SSID haben und mich somit nicht interessieren?

Lasse ich die in "unclassified" stehen und gibt es die Möglichkeit, den Alert zu deaktivieren?

Auf jeden Fall mal danke für deine Unterstützung!
Bitte warten ..
Mitglied: Axel90
24.05.2017 um 11:54 Uhr
habe ich gemacht und auch verstanden.

es bleibt aber ein Problem: Ein User öffnet an seinem Smartphone einen Hotspot mit einer beliebigen SSID, die ich nicht weiß.

eine Rogue Rule, die bekannte SSIDs zu Friendly APs macht, wie nayarasi das beschreibt, kann ich in diesem Fall nicht aufsetzen.

Wie löst du das?
Bitte warten ..
Mitglied: 132895
24.05.2017, aktualisiert um 12:53 Uhr
Zitat von Axel90:
es bleibt aber ein Problem: Ein User öffnet an seinem Smartphone einen Hotspot mit einer beliebigen SSID, die ich nicht weiß.
Kein Problem die werden ja nicht beachtet.
eine Rogue Rule, die bekannte SSIDs zu Friendly APs macht, wie nayarasi das beschreibt, kann ich in diesem Fall nicht aufsetzen.
??? Du definierst doch mit den Regeln welche APs "ungewünscht" sind und klassifizierst sie.

Ich seh hier dein Problem nicht, alles Standard.

Das du alles detailliert gelesen hast glaube ich dir in der kurzen Zeit nicht.

I'm out.

Viel Erfolg.
Bitte warten ..
Mitglied: Axel90
24.05.2017, aktualisiert um 12:35 Uhr
oh doch, glaube mir.

Ich sitze alleine heute schon seit 8 Uhr da dran.

Du definierst doch mit den Regeln welche APs "ungewünscht" sind und klassifizierst sie. Dann legst du für diese Klasse die Benachrichtigung fest, fertig!

Richtig. Das ist meine Regel die ich oben gepostet habe. ungewünscht sind nur die, die diegleiche SSID haben. Das habe ich.

Meine Frage ist nur, wie klassifiziere ich andere SSIDs/APs als Friendly/External z.B.

nayarasi macht das mit SSIDs, die er von seinem Nachbarn kennt.

Wenn ich ihn meine Liste schau, sehe ich eine SSID, die heißt "Spiderman1".

Das ist vermutlich irgendein Hotspot.

der nächste verwendet vielleicht die SSID "01Batman01"

Wie soll ich diese SSIDs erahnen?

Du könntest es mir auch einfach sagen wie es geht. Du weißt es ja anscheinend.
Bitte warten ..
Mitglied: 132895
24.05.2017, aktualisiert um 12:53 Uhr
Zitat von Axel90:
Wie soll ich diese SSIDs erahnen?
Garnicht, musst du ja auch nicht.
Du könntest es mir auch einfach sagen wie es geht. Du weißt es ja anscheinend.
Eine weitere Regel erstellen mit einer Priorität die niedriger liegt als die erste welche per Wildcard (RSSI Wert so stellen das jedes Signal genommen wird) alles andere abdeckt und als Friendly deklariert.

Wie gesagt steht hier
http://www.cisco.com/c/en/us/td/docs/wireless/controller/7-4/configurat ...
und auch hier
https://supportforums.cisco.com/discussion/11787571/how-manage-unclassif ...
Bitte warten ..
Mitglied: Axel90
24.05.2017 um 13:52 Uhr
Eine weitere Regel erstellen mit einer Priorität die niedriger liegt als die erste welche per Wildcard (RSSI Wert so stellen das jedes Signal genommen wird) alles andere abdeckt und als Friendly deklariert.

Danke!

das habe ich sogar schon versucht, da war ich also doch auf dem richtigen Weg.

Ist bei mir aber gescheitert.

Vermutlich weil ich das falsche Wildcard Zeichen benutzt habe?

Habe einfach nur ein * gemacht:

rogue2 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
25.05.2017, aktualisiert 12.01.2020
Genau, wie findest du dann aber den Rogue AP ?
Das geht über die BSSID also die Mac des fremden APs. Bei Rogue AP Detection kennen alle APs ihre eigenen BSSID untereinander.
Taucht eine fremde BSSID auf senden die APs Deauthentication Frames an den Client der es dann nicht schafft sich mit einem fremden AP zu verbinden.
Ein simpler Klassiker der natürlich im Firmenumfeld immer aktiviert gehört !
Bitte warten ..
Heiß diskutierte Inhalte
Ubuntu
HAProxy-Wi: Installation des Pakets geht nicht - ich hätte keine enabled Repos
itnirvanaFrageUbuntu37 Kommentare

Hallo, von der Seite möchte ich gerne HAProxy-Wi installieren ich führe das hier aus Dann kommt -> There ar ...

LAN, WAN, Wireless
Wlan Messgerät
gelöst fizlibuzliFrageLAN, WAN, Wireless23 Kommentare

Hallo, gibt es erschwingliche Messgeräte um vorhanden W-Lan ausleuchtungen in ihrer Signalstärke und Bandbreite zu messen. Es sollen einfache ...

Microsoft
Failover Cluster Network
samreinFrageMicrosoft22 Kommentare

Hallo zusammen, toller Freitag heute vielleicht kann mir jemand unter die Arme greifen. Ich habe einen Failover Cluster gebaut. ...

Windows Server
PowerShell Script für MailVersand mit Anhang
gelöst klausk94FrageWindows Server20 Kommentare

Hallo Zusammen, ich bin aktuell etwas am verzweifeln an einem PS Script für den Emailversand Das Script funktioniert, jedoch ...

Router & Routing
Kaufempfehlung WLAN Router mit VLAN Unterstützung
ccreccFrageRouter & Routing20 Kommentare

Hallo zusammen, ich wollte mal nach einer Kaufempfehlung für einen WLAN Access Point mit halbwegs vernünftiger VLAN Unterstützung fragen. ...

Windows Installation
Einmaliger Betriebssystem Rollout
StUffzFrageWindows Installation15 Kommentare

Hallo liebes Forum, Baramundi, SCCM, ZENworks & Co sind Softwareverteilungssysteme für eher "größere" Unternehmen ich bin auf der Suche ...

Ähnliche Inhalte
LAN, WAN, Wireless
WLAN Access Point
PeterzFrageLAN, WAN, Wireless14 Kommentare

Hallo, ich möchte für einen Besprechungsraum Raum eine Gäste WLAN zur Verfügung stellen und bin nun auf der Suche ...

Hardware
Access Point Kaufempfehlung
gelöst f3nrIsFrageHardware81 Kommentare

Hallo, ich bin auf der Suche nach einem möglichst günstigen WLAN-AP mit 802.11ac. Möchte meine Fritzbox 6490 (Kabel-DSL von ...

LAN, WAN, Wireless
Konfiguration Linksys Access Point
gelöst albufeiraFrageLAN, WAN, Wireless4 Kommentare

Meinen Gästen möchte ich den Zugang ins Internet ermöglichen. Dazu habe ich einen Access Point Linksys Access Point LAPAC ...

LAN, WAN, Wireless
Access Point am Limit?
GwaihirFrageLAN, WAN, Wireless13 Kommentare

Hallo zusammen, in meiner neuen Firma hängen in der Produktion leider nur standalone AccessPoints von D-Link, genauergesagt DAP 2690, ...

LAN, WAN, Wireless
WLAN Access Point Lasstverteilung
j1m3e84FrageLAN, WAN, Wireless3 Kommentare

Hallo Liebe Gemeinde! Ich hardere aktuell mit unserer WLAN Leistung im Haus. Wir verwenden 7 Sophos AP55C Access Points ...

LAN, WAN, Wireless
Was ist ein Access point?
miramaneeFrageLAN, WAN, Wireless4 Kommentare

Hallo, ich werde meinen Hybrid Tarif bei der Telekom kündigen. Mein Arbeitszimmer ist sehr weit weg so gute 7 ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT