Security Professionals
- ipfw add deny all from eindgebruikers to any
'Rogue' wireless access points
Heren/Dames,
We hebben onlangs (sinds er ineens een groot aantal consultants met eigen laptops zijn komen werken) gemerkt dat er binnen ons bedrijf een aantal wireless netwerk verbindingen (computer-to-computer, maar ook een laptop die dienst doet als access point) rondzwerven.
Bedrijfspolicy is natuurlijk dat we dit niet toe staan, alleen is de vraag hoe we er achter komen welke laptops van die consultants verkeerd staan ingesteld, zodat we ze kunnen corrigeren.
We gebruiken alleen windows, Linux Live CD wordt helaas niet toegestaan. Welke programma's kan ik gebruiken om te achterhalen welke laptops (en nog liever, welke gebruikers) er verkeerd gebruik maken van wireless?
Ik ben overigens al aan het spelen met kismet, maar dit heeft nog niet het gewenste resultaat gehad (user error wellicht).
Alle tips zijn welkom!
We hebben onlangs (sinds er ineens een groot aantal consultants met eigen laptops zijn komen werken) gemerkt dat er binnen ons bedrijf een aantal wireless netwerk verbindingen (computer-to-computer, maar ook een laptop die dienst doet als access point) rondzwerven.
Bedrijfspolicy is natuurlijk dat we dit niet toe staan, alleen is de vraag hoe we er achter komen welke laptops van die consultants verkeerd staan ingesteld, zodat we ze kunnen corrigeren.
We gebruiken alleen windows, Linux Live CD wordt helaas niet toegestaan. Welke programma's kan ik gebruiken om te achterhalen welke laptops (en nog liever, welke gebruikers) er verkeerd gebruik maken van wireless?
Ik ben overigens al aan het spelen met kismet, maar dit heeft nog niet het gewenste resultaat gehad (user error wellicht).
Alle tips zijn welkom!
Reacties (14)
28-01-2009, 13:59 door
Robvanb
Probeer Wireshark in combinatie met AirPCap, dan weet je tot op detail ook wat ze doen en wie ze zijn. VIndt het accespoint en log er aan (probeer eens user admin met wachtwoord admin, doet wonderen) en haal er vandaan wie er allemaal gebruik van maken. Cain en Abel geeft ook veel informatie
28-01-2009, 14:06 door
Walter
Rob, bedankt voor de snelle reactie. Ik heb wireshart met AirPCap zojuist gedownload en geinstalleerd, dus we gaan eens aan de slag. Cain en Abel zal ik op een ander moment moeten gaan downloaden, kan ik vanuit het werk helaas niet bij.
Bedrijfspolicy is natuurlijk dat we dit niet toe staan,
Weer zo'n overdreven bedrijfspolicy om het werken lastig te maken. Alsof dit soort theater iets doet voor je veiligheid, als ze bedrijfsinfo naar buiten willen smokkelen lukt dat met al die laptops toch wel en willekeurige voorbijgangers zijn er niet in geinteresseerd en gebruiken een open netwerk hooguit om hun eigen mail te lezen. Ik had laatst ook weer zoiets, kon geen .mdb (MS Access database) of zipfiles mailen naar een collega die die nodig had. Kon ik de file, met vertrouwelijke bedrijfsinformatie op m'n eigen privesite zetten en de precieze URL doormailen, en hopen dat iemand van buiten hem niet te pakken kreeg omdat er geen directe link naartoe wees vanaf m'n index pagina.
Werkt het soort systeembeheerders dat niks anders doet dan users beknotten zelf ook zo, of hebben die een eigen lijntje zonder beperkingen (zoals iki al vaak genoeg gezien heb)?
"Weer zo'n overdreven bedrijfspolicy om het werken lastig te maken. Alsof dit soort theater iets doet voor je veiligheid, als ze bedrijfsinfo naar buiten willen smokkelen lukt dat met al die laptops toch wel en willekeurige voorbijgangers zijn er niet in geinteresseerd en gebruiken een open netwerk hooguit om hun eigen mail te lezen."
Totaal niet overdreven. Indien je open rogue AP's in je netwerk hebt, dan kan iedere idioot buiten voor de deur aanloggen op je bedrijfsnetwerk, en daar zaken vanaf halen, wijzigen, malware besmettingen veroorzaken en ga zo maar door. Dus tenzij je helemaal niets geeft om security is het aan te raden hier wel wat aan te doen.
Totaal niet overdreven. Indien je open rogue AP's in je netwerk hebt, dan kan iedere idioot buiten voor de deur aanloggen op je bedrijfsnetwerk, en daar zaken vanaf halen, wijzigen, malware besmettingen veroorzaken en ga zo maar door. Dus tenzij je helemaal niets geeft om security is het aan te raden hier wel wat aan te doen.
Cisco biedt in de vorm van een WLC (wireless lan controller) en "domme" antennes een zeer goede en veilige wifi oplossing voor bedrijven. Het mooie van deze oplossing is dat je de rol van de antennes kunt bepalen. Deze antennes kunnen ook worden ingezet als sniffers. Ook is het mogelijk om binnen het bereik van zo'n antenne roque access points op te sporen. Met een druk op de knop wordt zo'n roque access point in quarantaine gezet. Het signaal van het roque AP wordt dan dermate verstoord dat inloggen onmogelijk wordt. In combinatie met de grafische software kan ook worden bepaald hoeveel DB het roque AP uitzendt en hoe ver het dus van een antenne uit de buurt staat en ook vendor specifieke gegevens worden getoont.
Het is een vrij prijzige oplossing, maar zeer goed configureerbaar, erg veilig, centraal management en erg veel opties om ongewenste AP's te weren binnen je bedrijf.
David L. Beers
NetProbe BV
Het is een vrij prijzige oplossing, maar zeer goed configureerbaar, erg veilig, centraal management en erg veel opties om ongewenste AP's te weren binnen je bedrijf.
David L. Beers
NetProbe BV
Door WalterHeren/Dames,
...
We gebruiken alleen windows, Linux Live CD wordt helaas niet toegestaan.
...
...
We gebruiken alleen windows, Linux Live CD wordt helaas niet toegestaan.
...
Daar begint je probleem escalatie :)
Mijn idee is dat een IT afdeling gereedschap moet gebruiken dat geschikt is voor de taak waar ze voor staan.
Alleen windows gebruiken is hetzelfde als containers vervoeren op de fiets omdat we alleen fietsen mogen gebruiken.
Gebruik wat je nodig hebt, hamer voor spijkers, vrachtauto voor containers en een OS dat geschikt is voor de taak die je hebt.
Ik gebruik en windows en linux als desktop OS en heb ook een aantal Novell, Linux en windows servers onder beheer.
Voor OS religie is er geen plaats, al trek ik wel een bepaald OS voor :-)
Alleen windows gebruiken is hetzelfde als containers vervoeren op de fiets omdat we alleen fietsen mogen gebruiken.
Gebruik wat je nodig hebt, hamer voor spijkers, vrachtauto voor containers en een OS dat geschikt is voor de taak die je hebt.
Ik gebruik en windows en linux als desktop OS en heb ook een aantal Novell, Linux en windows servers onder beheer.
Voor OS religie is er geen plaats, al trek ik wel een bepaald OS voor :-)
Stap 1. Awareness
Indien je een dergelijk beleid hebt, draag dit beleid dan uit. Zorg dat (ook) externen zich conformeren aan de policy door middel van ondertekening. Maak duidelijk dat er disciplinaire maatregelen staan op het niet houden aan de bedrijfspolicy. Spreek de consultants, of zelfs beter, de accountmanager aan op het gedrag van de consultants.
Stap 2. Controleren
Vertrouwen is goed, controleren is beter. Steekproeven nemen of mensen zich aan het beleid houden. Schakel, indien aanwezig, de security officer in. Ook met Windows tools zijn roque access points te vinden. Gebruik desnoods tijdelijk een laptop met een live cd (vraag toestemming aan de sec officer en sluit niet aan op het netwerk).
Indien je een dergelijk beleid hebt, draag dit beleid dan uit. Zorg dat (ook) externen zich conformeren aan de policy door middel van ondertekening. Maak duidelijk dat er disciplinaire maatregelen staan op het niet houden aan de bedrijfspolicy. Spreek de consultants, of zelfs beter, de accountmanager aan op het gedrag van de consultants.
Stap 2. Controleren
Vertrouwen is goed, controleren is beter. Steekproeven nemen of mensen zich aan het beleid houden. Schakel, indien aanwezig, de security officer in. Ook met Windows tools zijn roque access points te vinden. Gebruik desnoods tijdelijk een laptop met een live cd (vraag toestemming aan de sec officer en sluit niet aan op het netwerk).
Weer zo'n overdreven bedrijfspolicy om het werken lastig te maken. Alsof dit soort theater iets doet voor je veiligheid, als ze bedrijfsinfo naar buiten willen smokkelen lukt dat met al die laptops toch wel en willekeurige voorbijgangers zijn er niet in geinteresseerd en gebruiken een open netwerk hooguit om hun eigen mail te lezen. Ik had laatst ook weer zoiets, kon geen .mdb (MS Access database) of zipfiles mailen naar een collega die die nodig had. Kon ik de file, met vertrouwelijke bedrijfsinformatie op m'n eigen privesite zetten en de precieze URL doormailen, en hopen dat iemand van buiten hem niet te pakken kreeg omdat er geen directe link naartoe wees vanaf m'n index pagina.[/quote]
Staande voet ontslag voor jou... Kennelijk zit jij te laag in de ladder om goed in te kunnen schatten waarom sommige maatregelen zijn zoals ze zijn. Jouw "workarounds" vertellen mij dat je zo'n arrogante beheerder bent "die het allemaal wel even beter weet" en het is maar een kwestie van tijd voordat jij een fuckup maakt.
Staande voet ontslag voor jou... Kennelijk zit jij te laag in de ladder om goed in te kunnen schatten waarom sommige maatregelen zijn zoals ze zijn. Jouw "workarounds" vertellen mij dat je zo'n arrogante beheerder bent "die het allemaal wel even beter weet" en het is maar een kwestie van tijd voordat jij een fuckup maakt.
02-02-2009, 10:48 door
[Account Verwijderd]
[Verwijderd]
Hallo Walter,
Misschien is onderstaande link naar een RoqueScanner iets voor je?
(RogueScanner is an open source tool focused on device classification and detection of rogue devices.)
http://www.paglo.com/opensource/roguescanner
Misschien is onderstaande link naar een RoqueScanner iets voor je?
(RogueScanner is an open source tool focused on device classification and detection of rogue devices.)
http://www.paglo.com/opensource/roguescanner
Voor windows heb je ook The Dude. Dit programma scanned je hele netwerk af en laat zien hoe je netwerk in elkaar steekt.
Tevens zou ik zoals eerder gezegt gebruik maken van de juiste maatregelen. Als IT-er moet je niet beperkt worden tot het gebruiken van 1 OS, maar de juiste OS gebruiken voor bepaalde zaken.
Tevens zou ik zoals eerder gezegt gebruik maken van de juiste maatregelen. Als IT-er moet je niet beperkt worden tot het gebruiken van 1 OS, maar de juiste OS gebruiken voor bepaalde zaken.
Door Anoniem
Kon ik de file, met vertrouwelijke bedrijfsinformatie op m'n eigen privesite zetten en de precieze URL doormailen, en hopen dat iemand van buiten hem niet te pakken kreeg omdat er geen directe link naartoe wees vanaf m'n index pagina.
Bedrijfspolicy is natuurlijk dat we dit niet toe staan,
Weer zo'n overdreven bedrijfspolicy om het werken lastig te maken. .(KNIP) Kon ik de file, met vertrouwelijke bedrijfsinformatie op m'n eigen privesite zetten en de precieze URL doormailen, en hopen dat iemand van buiten hem niet te pakken kreeg omdat er geen directe link naartoe wees vanaf m'n index pagina.
Hier heb je de kans om het beleid aan te passen! En het mooie is: je kan er zelf (direct) invloed op uitoefenen. Dit begint met het signaleren van dat wat jij als knelpunt ervaart en de impact ervan op de dagelijkse manier van zaken doen. Idealiter ziet de degene die het beleid heeft neergezet zich dan geconfronteerd met de gevolgen van zijn eigen beleid. Daar kan uitkomen: beleid aanpassen of niet aanpassen. Hoe belangrijk is het dan...
Het effect van jou 'werk-er-omheen' actie is dat dit risico's met zich meebrengt die formeel niet door de juiste persoon geaccepteerd zijn en dat het bestaande (ineffectieve) beleid in stand wordt gehouden. Je hebt keuzes gemaakt die je gezien jouw rol niet zou moeten maken (leg ze dus neer bij degene die ze wel moet maken).
02-02-2009, 13:00 door
Jachra
AirMagnet.
02-02-2009, 16:14 door
[Account Verwijderd]
[Verwijderd]
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
