fbpx
Saltar al contenido

Punto de acceso Rogue

No dejes WIPS a voluntad de la fuerza…

Introducción

Esta es la segunda de una serie de publicaciones de blog que se centran en la seguridad inalámbrica y la tecnología en Cisco Meraki.

Las LAN inalámbricas son muy críticas para la forma en que trabajan las empresas y se utilizan para realizar transacciones de datos confidenciales (por ejemplo, puntos de venta). Un sistema inalámbrico de prevención de intrusiones (WIPS), como Cisco Meraki Air Marshal, brinda a las empresas la capacidad de garantizar que estén protegidos contra las amenazas a estas WLAN. Esta publicación de blog muestra cómo Air Marshal protege contra una de esas amenazas, es decir, un punto de acceso no autorizado.

¬ŅQu√© es un punto de acceso no autorizado?

Un punto de acceso no autorizado es un AP que est√° conectado a la infraestructura de red f√≠sica de una empresa pero que no est√° bajo el control administrativo de esa empresa. Esto podr√≠a surgir si un empleado o estudiante ingenuamente tra√≠a un enrutador habilitado para WiFi en el hogar y lo conectaba a la infraestructura de la compa√Ī√≠a para proporcionar acceso a la red inal√°mbrica. Esta ley introduce m√ļltiples vectores de amenazas a la compa√Ī√≠a, tales como:

  1. Est√°ndares inal√°mbricos inseguros: El AP no autorizado solo puede admitir un est√°ndar de cifrado obsoleto e inseguro, como WEP. O peor a√ļn, config√ļrelo a prop√≥sito con asociaci√≥n abierta y autenticaci√≥n.
  2. Conexión inadecuada: El usuario también puede conectar físicamente el AP a un puerto de red en un área segura de la red, o en un área sin el firewall apropiado entre esta y la información confidencial.
  3. Ubicación inadecuada: El AP podría colocarse cerca del perímetro de un edificio, lo que significa que alguien podría escuchar en la red de la empresa.

Esta no es una lista extensa de vectores de amenazas introducidos por esta acción potencialmente inocua. Por lo tanto, ¡está muy claro que los puntos de acceso no autorizados son algo de lo que debemos proteger las redes y WLAN críticas para el negocio!

¬ŅQu√© hace que un punto de acceso no autorizado sea falso?

Cisco Meraki define un punto de acceso no autorizado como un AP que se “ve” en la LAN y transmite SSID que son visibles para los AP que conforman la infraestructura inal√°mbrica corporativa.

Para identificar un AP no autorizado, todos los puntos de acceso Meraki disponibles en la actualidad aprovechan su radio de “escucha” dedicada para monitorear continuamente la RF. Sin embargo, los AP m√°s antiguos sin una radio de escucha dedicada tambi√©n se pueden configurar para utilizar sus radios de acceso en momentos espec√≠ficos para buscar puntos de acceso no autorizados, como se muestra a continuaci√≥n:

Air Marshal escucha las tramas de baliza 802.11 enviadas por AP que son “visibles” para los AP corporativos, luego todos los BSSID (direcci√≥n MAC publicitaria del SSID) que ve el punto de acceso se clasifican como “SSID no autorizado” u “Otro SSID “.

Para clasificar un SSID como pícaro, también debemos mirar las direcciones MAC de las tramas en el lado cableado de los AP corporativos. Esto se hace simplemente escuchando las tramas de difusión que el punto de acceso ya recibe. Si el MAC cableado y el BSSID MAC de difusión coinciden en el 3er y 4to bytes de la dirección MAC (típicamente las direcciones MAC cableadas e inalámbricas son contiguas), y el resto de los bytes difieren en 5 bits o menos, entonces el AP se clasifica como pícaro. Esta comparación se logra aplicando un XOR a las direcciones MAC en forma binaria, como se muestra a continuación en un punto de acceso falso:

Con esta información en la mano, podemos decir con seguridad que este punto de acceso está conectado a la misma infraestructura cableada que los puntos de acceso Meraki y que anuncia activamente al menos un SSID. Por lo tanto, podemos suponer que esto es una amenaza para la infraestructura corporativa que debe mitigarse.

Nota: Si tiene AP inalámbricos que anuncian SSID y forman parte de su infraestructura corporativa legítima, puede evitar que Air Marshal los contenga al incluirlos en la lista blanca:

¬ŅC√≥mo puede proteger Air Marshal contra puntos de acceso no autorizados?

Para proteger su infraestructura corporativa de puntos de acceso no autorizados, Air Marshal utiliza una t√©cnica llamada “contenci√≥n”. Cuando un AP Meraki contiene un SSID falso, utiliza tres tipos de trama:

  1. Transmitir trama de desautorización 802.11: Esto implica que el Meraki AP falsifica la dirección MAC / BSSID del SSID no autorizado y transmite una desautorización 802.11 a la dirección MAC de transmisión (FF: FF: FF: FF: FF: FF). Esto es, en esencia, el AP que se hace pasar por el AP falso y le dice a todos los clientes que estaban conectados al punto falso y dentro del alcance del AP Meraki que se desconecten del BSSID.
  2. Marco de desautorizaci√≥n 802.11 dirigido: Esto implica que el AP Meraki falsifique nuevamente el MAC del BSSID del SSID falso y transmita una desautorizaci√≥n 802.11 a la direcci√≥n MAC de los clientes que est√°n asociados con √©l. Nuevamente, esto es, en esencia, el AP Meraki disfrazado de punto de acceso no autorizado y espec√≠ficamente indicando a los clientes que est√°n conectados al no autorizado que se desconecten del SSID. Se supone que, dado que el Cisco Meraki AP puede “ver” los marcos de asociaci√≥n y autorizaci√≥n de la relaci√≥n SSID-cliente deshonesta, el cliente tambi√©n recibir√° este marco de desautorizaci√≥n del Meraki AP.
  3. Tramas de desautorizaci√≥n y desasociaci√≥n 802.11 dirigidas rec√≠procamente: Esto implica que el AP Meraki falsifica la direcci√≥n MAC de todos los clientes que se conectaron al SSID falso y transmite una trama de desautorizaci√≥n para cada uno de ellos al BSSID del punto de acceso falso. Finalmente, el AP Meraki se disfraza como cada cliente que estaba conectado al AP falso y env√≠a tramas de desautorizaci√≥n y disociaci√≥n al BSSID del SSID falso. Esto garantiza que los clientes 802.11 m√°s modernos con capacidades de ahorro de bater√≠a tambi√©n se desconecten del SSID falso, ya que podr√≠an haber ignorado los mensajes de desautorizaci√≥n “del” SSID falso si estaban “durmiendo”, ahorrando as√≠ la vida √ļtil de la bater√≠a.

Este comportamiento se muestra en la captura de paquetes a continuación:

Nota: Como la contenci√≥n hace que cualquier red 802.11 est√°ndar sea completamente ineficaz, se debe tener extrema precauci√≥n para garantizar que la contenci√≥n no se realice en redes leg√≠timas cercanas. Esta acci√≥n solo debe tomarse como √ļltimo recurso. Consulte tambi√©n la nota de orientaci√≥n de Cisco sobre tecnolog√≠a de des-autenticaci√≥n para obtener m√°s informaci√≥n.

Conclusión

El sistema Meraki Air Marshal es la mejor solución WIPS de su clase que incluye capacidades de detección, remediación y alerta en tiempo real (consulte la sección de referencias para obtener más información sobre los elementos que no hemos discutido). Esto también incluye la capacidad de definir políticas preventivas que tomarán medidas para contener AP corruptos utilizando los mecanismos de contención discutidos anteriormente.

Todo el portafolio inal√°mbrico de Meraki contiene AP con radios de escucha dedicadas que act√ļan como sensores de tiempo completo, funcionando como esc√°neres Air Marshal. Al utilizar los AP de Meraki y el dashboard de Meraki, los administradores de red pueden crear una s√≥lida pol√≠tica de WIPS e implementar f√°cilmente una red poderosa para brindar seguridad de nivel empresarial en un entorno WLAN.

Abrir chat
Hola ūüĎčūüŹĽ
¬ŅTienes alguna consulta?