Punto de acceso Rogue

No dejes WIPS a voluntad de la fuerza…

Introducción

Esta es la segunda de una serie de publicaciones de blog que se centran en la seguridad inalámbrica y la tecnología en Cisco Meraki.

Las LAN inalámbricas son muy críticas para la forma en que trabajan las empresas y se utilizan para realizar transacciones de datos confidenciales (por ejemplo, puntos de venta). Un sistema inalámbrico de prevención de intrusiones (WIPS), como Cisco Meraki Air Marshal, brinda a las empresas la capacidad de garantizar que estén protegidos contra las amenazas a estas WLAN. Esta publicación de blog muestra cómo Air Marshal protege contra una de esas amenazas, es decir, un punto de acceso no autorizado.

¿Qué es un punto de acceso no autorizado?

Un punto de acceso no autorizado es un AP que está conectado a la infraestructura de red física de una empresa pero que no está bajo el control administrativo de esa empresa. Esto podría surgir si un empleado o estudiante ingenuamente traía un enrutador habilitado para WiFi en el hogar y lo conectaba a la infraestructura de la compañía para proporcionar acceso a la red inalámbrica. Esta ley introduce múltiples vectores de amenazas a la compañía, tales como:

  1. Estándares inalámbricos inseguros: El AP no autorizado solo puede admitir un estándar de cifrado obsoleto e inseguro, como WEP. O peor aún, configúrelo a propósito con asociación abierta y autenticación.
  2. Conexión inadecuada: El usuario también puede conectar físicamente el AP a un puerto de red en un área segura de la red, o en un área sin el firewall apropiado entre esta y la información confidencial.
  3. Ubicación inadecuada: El AP podría colocarse cerca del perímetro de un edificio, lo que significa que alguien podría escuchar en la red de la empresa.

Esta no es una lista extensa de vectores de amenazas introducidos por esta acción potencialmente inocua. Por lo tanto, ¡está muy claro que los puntos de acceso no autorizados son algo de lo que debemos proteger las redes y WLAN críticas para el negocio!

¿Qué hace que un punto de acceso no autorizado sea falso?

Cisco Meraki define un punto de acceso no autorizado como un AP que se «ve» en la LAN y transmite SSID que son visibles para los AP que conforman la infraestructura inalámbrica corporativa.

Para identificar un AP no autorizado, todos los puntos de acceso Meraki disponibles en la actualidad aprovechan su radio de «escucha» dedicada para monitorear continuamente la RF. Sin embargo, los AP más antiguos sin una radio de escucha dedicada también se pueden configurar para utilizar sus radios de acceso en momentos específicos para buscar puntos de acceso no autorizados, como se muestra a continuación:

Air Marshal escucha las tramas de baliza 802.11 enviadas por AP que son «visibles» para los AP corporativos, luego todos los BSSID (dirección MAC publicitaria del SSID) que ve el punto de acceso se clasifican como «SSID no autorizado» u «Otro SSID «.

Para clasificar un SSID como pícaro, también debemos mirar las direcciones MAC de las tramas en el lado cableado de los AP corporativos. Esto se hace simplemente escuchando las tramas de difusión que el punto de acceso ya recibe. Si el MAC cableado y el BSSID MAC de difusión coinciden en el 3er y 4to bytes de la dirección MAC (típicamente las direcciones MAC cableadas e inalámbricas son contiguas), y el resto de los bytes difieren en 5 bits o menos, entonces el AP se clasifica como pícaro. Esta comparación se logra aplicando un XOR a las direcciones MAC en forma binaria, como se muestra a continuación en un punto de acceso falso:

Con esta información en la mano, podemos decir con seguridad que este punto de acceso está conectado a la misma infraestructura cableada que los puntos de acceso Meraki y que anuncia activamente al menos un SSID. Por lo tanto, podemos suponer que esto es una amenaza para la infraestructura corporativa que debe mitigarse.

Nota: Si tiene AP inalámbricos que anuncian SSID y forman parte de su infraestructura corporativa legítima, puede evitar que Air Marshal los contenga al incluirlos en la lista blanca:

¿Cómo puede proteger Air Marshal contra puntos de acceso no autorizados?

Para proteger su infraestructura corporativa de puntos de acceso no autorizados, Air Marshal utiliza una técnica llamada «contención». Cuando un AP Meraki contiene un SSID falso, utiliza tres tipos de trama:

  1. Transmitir trama de desautorización 802.11: Esto implica que el Meraki AP falsifica la dirección MAC / BSSID del SSID no autorizado y transmite una desautorización 802.11 a la dirección MAC de transmisión (FF: FF: FF: FF: FF: FF). Esto es, en esencia, el AP que se hace pasar por el AP falso y le dice a todos los clientes que estaban conectados al punto falso y dentro del alcance del AP Meraki que se desconecten del BSSID.
  2. Marco de desautorización 802.11 dirigido: Esto implica que el AP Meraki falsifique nuevamente el MAC del BSSID del SSID falso y transmita una desautorización 802.11 a la dirección MAC de los clientes que están asociados con él. Nuevamente, esto es, en esencia, el AP Meraki disfrazado de punto de acceso no autorizado y específicamente indicando a los clientes que están conectados al no autorizado que se desconecten del SSID. Se supone que, dado que el Cisco Meraki AP puede «ver» los marcos de asociación y autorización de la relación SSID-cliente deshonesta, el cliente también recibirá este marco de desautorización del Meraki AP.
  3. Tramas de desautorización y desasociación 802.11 dirigidas recíprocamente: Esto implica que el AP Meraki falsifica la dirección MAC de todos los clientes que se conectaron al SSID falso y transmite una trama de desautorización para cada uno de ellos al BSSID del punto de acceso falso. Finalmente, el AP Meraki se disfraza como cada cliente que estaba conectado al AP falso y envía tramas de desautorización y disociación al BSSID del SSID falso. Esto garantiza que los clientes 802.11 más modernos con capacidades de ahorro de batería también se desconecten del SSID falso, ya que podrían haber ignorado los mensajes de desautorización «del» SSID falso si estaban «durmiendo», ahorrando así la vida útil de la batería.

Este comportamiento se muestra en la captura de paquetes a continuación:

Nota: Como la contención hace que cualquier red 802.11 estándar sea completamente ineficaz, se debe tener extrema precaución para garantizar que la contención no se realice en redes legítimas cercanas. Esta acción solo debe tomarse como último recurso. Consulte también la nota de orientación de Cisco sobre tecnología de des-autenticación para obtener más información.

Conclusión

El sistema Meraki Air Marshal es la mejor solución WIPS de su clase que incluye capacidades de detección, remediación y alerta en tiempo real (consulte la sección de referencias para obtener más información sobre los elementos que no hemos discutido). Esto también incluye la capacidad de definir políticas preventivas que tomarán medidas para contener AP corruptos utilizando los mecanismos de contención discutidos anteriormente.

Todo el portafolio inalámbrico de Meraki contiene AP con radios de escucha dedicadas que actúan como sensores de tiempo completo, funcionando como escáneres Air Marshal. Al utilizar los AP de Meraki y el dashboard de Meraki, los administradores de red pueden crear una sólida política de WIPS e implementar fácilmente una red poderosa para brindar seguridad de nivel empresarial en un entorno WLAN.