Nieuczciwy punkt dostępu

Fałszywy punkt dostępowy to bezprzewodowy punkt dostępowy , który został zainstalowany w bezpiecznej sieci bez wyraźnej autoryzacji od administratora sieci lokalnej , niezależnie od tego, czy został dodany przez pracownika mającego dobre intencje, czy przez złośliwą osobę atakującą.

niebezpieczeństwa

Chociaż pracownik mający dobre intencje jest technicznie łatwy do zainstalowania „ miękkiego punktu dostępu ” lub niedrogiego routera bezprzewodowego — być może w celu ułatwienia dostępu z urządzeń przenośnych — prawdopodobnie skonfiguruje to jako „otwarte” lub ze słabym bezpieczeństwa i potencjalnie umożliwić dostęp osobom nieupoważnionym.

Jeśli atakujący zainstaluje punkt dostępowy, może uruchomić różnego rodzaju skanery luk w zabezpieczeniach i zamiast fizycznie przebywać w organizacji, może zaatakować zdalnie — na przykład z recepcji, sąsiedniego budynku, parkingu lub z dużym zyskiem anteny nawet z odległości kilku kilometrów.

Zapobieganie i wykrywanie

Aby zapobiec instalacji fałszywych punktów dostępowych, organizacje mogą instalować bezprzewodowe systemy zapobiegania włamaniom do monitorowania widma radiowego pod kątem nieautoryzowanych punktów dostępowych.

Obecność dużej liczby bezprzewodowych punktów dostępowych można wykryć w przestrzeni powietrznej typowego obiektu korporacyjnego. Należą do nich zarządzane punkty dostępu w bezpiecznej sieci oraz punkty dostępu w sąsiedztwie. Bezprzewodowy system zapobiegania włamaniom ułatwia ciągłe kontrolowanie tych punktów dostępowych, aby dowiedzieć się, czy są wśród nich jakieś nielegalne punkty dostępowe.

W celu wykrycia nieuczciwych punktów dostępowych należy przetestować dwa warunki:

1. czy punkt dostępu znajduje się na liście zarządzanych punktów dostępu
2. czy jest podłączony do bezpiecznej sieci

Pierwszy z dwóch powyższych warunków można łatwo przetestować — porównaj bezprzewodowy adres MAC (nazywany także BSSID) punktu dostępowego z listą BSSID zarządzanego punktu dostępowego. Jednak automatyczne testowanie drugiego warunku może stać się trudne w świetle następujących czynników: a) Konieczność uwzględnienia różnych typów urządzeń punktu dostępu, takich jak mostkowanie, NAT (router), nieszyfrowane łącza bezprzewodowe, szyfrowane łącza bezprzewodowe, różne rodzaje relacji między przewodowymi i bezprzewodowymi adresami MAC punktów dostępowych i miękkich punktów dostępowych, b) konieczność określenia łączności punktu dostępowego z akceptowalnym czasem odpowiedzi w dużych sieciach oraz c) wymóg unikania zarówno fałszywie dodatnich, jak i ujemnych wyników, które opisano poniżej.

Fałszywe alarmy pojawiają się, gdy bezprzewodowy system zapobiegania włamaniom wykrywa punkt dostępowy, który w rzeczywistości nie jest podłączony do bezpiecznej sieci, jako nieuczciwy przewodowy. Częste fałszywe alarmy powodują marnowanie przepustowości administracyjnej przeznaczonej na ich ściganie. Możliwość fałszywych alarmów stwarza również przeszkodę w umożliwieniu automatycznego blokowania przewodowych łotrów ze względu na strach przed zablokowaniem przyjaznego sąsiedztwa punktu dostępu.

Fałszywe negatywy pojawiają się, gdy bezprzewodowy system zapobiegania włamaniom nie wykrywa punktu dostępowego faktycznie podłączonego do bezpiecznej sieci jako przewodowego nielegalnego. Fałszywe negatywy powodują luki w zabezpieczeniach.

Jeśli nieautoryzowany punkt dostępowy zostanie podłączony do bezpiecznej sieci, jest to nieuczciwy punkt dostępowy pierwszego rodzaju (zwany także „przewodowym nieuczciwym”). Z drugiej strony, jeśli nieautoryzowany punkt dostępu nie jest podłączony do bezpiecznej sieci, jest to zewnętrzny punkt dostępu. Wśród zewnętrznych punktów dostępowych, jeśli którykolwiek zostanie uznany za złośliwy lub stanowiący potencjalne zagrożenie (np. którego ustawienia mogą przyciągnąć lub już przyciągnęły bezpiecznych klientów sieci bezprzewodowej), jest oznaczany jako nieuczciwy punkt dostępowy drugiego rodzaju, który często zwany „ złym bliźniakiem ”.

Miękki punkt dostępowy

„Miękki punkt dostępowy” (soft AP) można skonfigurować na adapterze Wi-Fi, korzystając na przykład z wirtualnego Wi-Fi systemu Windows lub My WiFi firmy Intel. Umożliwia to, bez konieczności stosowania fizycznego routera Wi-Fi, współdzielenie dostępu do sieci przewodowej jednego komputera z klientami bezprzewodowymi podłączonymi do tego miękkiego punktu dostępowego. Jeśli pracownik skonfiguruje taki miękki punkt dostępowy na swojej maszynie bez koordynacji z działem IT i udostępni za jego pośrednictwem sieć firmową, wówczas ten miękki punkt dostępowy stanie się nieuczciwym punktem dostępowym.

Zobacz też

• Atak typu man-in-the-middle
• Bezprzewodowy system zapobiegania włamaniom
• MAC fałszowanie
• Bezprzewodowa sieć LAN
• Ochrona bezprzewodowa
• Legalność piggybackingu

Linki zewnętrzne

• Roguescanner — wykrywanie nieuczciwych punktów dostępowych w oparciu o sieć typu open source
• Bezprzewodowe zabezpieczenia w Curlie