WLAN: Drahtlose Rogue-Geräte erkennen und eliminieren

Rogue-Risiken managen

Dass unautorisierte Access Points (APs) oder Stationen entdeckt werden, ist nicht ungewöhnlich. Diese Rogue-Geräte gehören vielleicht zu einem Metro Area Network, den Nachbarn, Anbietern, Kunden, Mitarbeitern oder böswilligen Angreifern. Die Rogue-Risiken zu managen beinhaltet das Erkennen von vertrauenswürdigen Geräten. Damit kann man dann die Bedrohungen abschwächen, die von den anderen Geräten ausgehen. Da drahtlose Angreifer schnell Schaden anrichten und dann womöglich weiterziehen, muss man alle neuen Geräte schnell erkennen und entsprechend darauf reagieren.

Es ist aber auch wichtig, Rogue-Risiken in großen WLAN-Umgebungen effizient zu managen. Büros gezielt mit Erkennungs-Tools wie NetStumbler oder Kismet zu überprüfen, dauert viel zu lange. Damit lassen sich Auswirkungen von Rogue-Geräten wenig evaluieren oder eindämmen.

Effizientes Rogue-Management heißt Funk-Monitoring im 24x7-Einsatz. Dafür dient ein WIPS (Wireless Intrusion Prevention System). Sie können das mit WLAN-Switches realisieren, die teilweise scannen (von Aruba, Cisco oder LANCOM zum Beispiel) oder einem dedizierten WIPS, das den Äther dauerhaft überwacht. 

Beispiele dafür sind Motorola AirDefense, Fluke AirMagnet und AirTight. Ein gutes Rogue-Toolkit sollte nicht nur Warnungen aussenden. Es sollte auch die Leistungsfähigkeiten besitzen, damit Sie die Aktionen des Rogues untersuchen können. Weiterhin sollten Sie den physischen Standort des Rogue-Geräts isolieren und die Kommunikation des Rogues behindern können, wenn das notwendig ist.

Um Ihnen bei der Eliminierung des Rogue-Geräts unter die Arme zu greifen, sollte das Toolkit ebenfalls eine mobile WLAN-Analyse-Option zur Verfügung stellen. Diese Analyse-Möglichkeiten sind bei den meisten WIPS-Anbietern erhältlich, sowie von Drittanbietern wie WildPackets, TamoSoft und BVS. Auch Open-Source-Tools Kismet und Wireshark sind denkbar. Um den Aufwand vor Ort zu reduzieren, schauen Sie nach Import- und Export-Fähigkeiten, damit diese Tools Daten mit Ihrem WIPS teilen und gemeinsam nutzen können.

Schlachtplan für die Eliminierung von Rogue-Geräten

Sobald Sie die richtigen Tools im Einsatz haben, benötigen Sie eine Strategie, um mit den Rogue-Geräten fertig zu werden. Nachfolgend finden Sie eine Liste mit Schritten, die Sie möglicherweise für Ihren Plan nützlich finden:

1. Erstellen Sie ein grundsätzliches Inventar der drahtlosen Geräte: Inspizieren Sie die existierenden 802.11-Geräte wie Access Points, Stationen und Ad-Hoc-Nodes. Dafür laufen Sie den Standort mit dem mobilen WLAN-Analyse-Gerät ab. Sammeln Sie Beispieldaten in regelmäßigen Abständen. Das könnte alle 50 Meter der Fall sein oder an Gebäude-Ecken und so weiter. Dokumentieren Sie die MAC-Adresse, den ESSID (Extended Service Set Identifier), die durchschnittliche und maximale SNR-Rate (Signal-Rausch-Abstand), den Kanal, den Security-Status und die IP-Adresse eines jeden Geräts.
   Stationen verwenden unter Umständen viele ESSIDs und Kanäle. Das kommt auf die dazugehörigen Access Points an. Etablieren Sie einen Schwellenwert für entfernte Nachbarn und verwenden dann das mobile Analyse-Gerät, um Gerätschaften mit einem ausreichend starken Signal zu finden. So erfahren Sie, ob es sich innerhalb oder in der Nähe Ihres Büros befindet. Versuchen Sie drahtgebundene Netzwerk-Aktivitäten zu bestimmen, sowie den wahrscheinlichen Besitzer und relevanten Standort, damit eine ausreichende Klassifizierung möglich ist.
2. Klassifizieren Sie alle entdeckten Geräte und konfigurieren Sie Ihre Tools: Teilen Sie Ihr Inventar in verschiedene Klassen ein, damit Sie sich auf die wirklichen Bedrohungen konzentrieren können. Sie behandeln dabei einige Geräte über die Zugriffskontroll-Listen und Security-Warn-Richtlinien anders. Möglicherweise ignoriert Ihr WIPS entfernte Nachbarn, warnt aber bei einer Verbindung zwischen Ihren Geräten und nahen Nachbarn. Eliminieren Sie unautorisierte Geräte innerhalb Ihres Büros. Entweder entfernen Sie diese komplett oder machen Sie zu einem Teil Ihres WLANs. Erstellen Sie eine Liste mit autorisierten Access Points und Stationen, damit sich Richtlinien für diese Geräte durchsetzen lassen. Halten Sie zum Beispiel nach AP-Einstellungen Ausschau, die auf ein unbeabsichtigtes Zurücksetzen oder MAC-Spoofing hinweisen. Eine genaue Klassifizierung wird Ihnen in der Zukunft Zeit bei den Nachforschungen sparen.
3. Überwachen Sie drahtlose und drahtgebundene Netzwerke auf neue Geräte: Installieren Sie ein WIPS, das etwas über die Reichweite Ihres WLANs hinausgeht. Damit entdecken Sie Rogue-Geräte in der nahen Umgebung oder welche, die sich draußen befinden. Außenstellen oder kleine Büroräume, für die ein WIPS übertrieben wäre, lassen sich regelmäßig mit mobilen Analyse-Geräten überprüfen. Haben Sie einen WLAN-Controller, ein drahtgebundenes IDS/IPS oder ein Netzwerk-Management-System im Einsatz, konfigurieren Sie diese Komponenten so, dass sie ebenfalls Rogue-Geräte entdecken. Unterbinden Sie zum Beispiel, dass unautorisierte MAC-Adressen die Ethernet-Switches verwenden dürfen oder halten Sie nach unerwarteten Broadcasts auf dem AP vLAN Ausschau. Konfigurieren Sie dann die Warnmeldungen von WIPS und mobilen Analyse-Geräten so, dass es zu keinen False Positives (Falschmeldungen) kommt. Beispielsweise könnte ein WIPS automatisch die drahtgebundene Switch-Verbindung im Auge behalten, damit Sie sich auf Rogue-Geräte konzentrieren können, die mit dem Netzwerk verbunden sind.
4. Dämmen Sie potenziellen Schaden während der Untersuchung ein: Ziehen Sie WIPS-Eindämmungs-Funktionen in Betracht, die bei der Erkennung von Rogue-Geräten automatisch greifen. Möglich ist auch ein manueller Einsatz nach den Ermittlungen. Die Leistungsfähigkeiten variieren zwar, aber ein AP oder eine Station lässt sich oftmals temporär aus dem WLAN werfen, indem man eine De-Authentifizierungs-Welle auf die MAC-Adresse des Rogue-Geräts loslässt. Ein Access Point, der mit dem Netzwerk verbunden ist, lässt sich häufig durch die Deaktivierung des nächsten Ethernet-Switch-Ports beeinträchtigen. Eindämmung kann Schaden verhindern, während Sie das Rogue-Gerät aufspüren. Allerdings kann das auch Schaden anrichten. Sie müssen unbedingt wissen, was die jeweiligen Funktionen auslösen, bevor Sie diese nutzen. Das gilt vor allen Dingen für die automatisierte Eindämmung. Zum Beispiel könnten Sie ohne weiteres eigene Stationen blockieren, wenn diese über ein Rogue-Gerät verbunden sind, das wiederum in Ihrem Netzwerk sitzt. Blockieren Sie allerdings kein potenzielles Rogue-Gerät mit unbestimmter drahtgebundener Verbindung, weil diese womöglich zum Nachbarn gehört.
5. Untersuchen Sie neue Geräte, um die Bedrohungen zu bestimmen: Finden Sie heraus, ob das Rogue-Gerät einem Nachbarn, einem Besucher, einem Angestellten oder einem Angreifer gehört. Selbst einige Eigenschaften wie zum Beispiel SNR und ESSID können hilfreich sein. Sieht es so aus, dass der neue Access Point zum Café nebenan gehört, rufen Sie doch einfach an und fragen nach. Zusätzlich zu Verbindungs-Überwachung erfassen Sie Daten mithilfe von Sensoren oder mobilen Analyse-Geräten. Somit finden Sie heraus, welche Systeme und Anwendungen das Rogue-Gerät verwendet. Setzen Sie Standortkarten ein, um die physische Platzierung des Rogues zu schätzen. Die Leistungsfähigkeiten variieren, aber viele WIPS-Produkte können eine Region auf einem Flurplan hervorheben. Damit schränken Sie die Suche auf zirka sieben Meter Umkreis oder weniger ein.
6. Treffen Sie eine Entscheidung und führen Sie eine dauerhafte Aktion aus: Benutzen Sie die Ergebnisse Ihrer Untersuchung, um zu entscheiden, wie man dauerhaft mit dem Rogue-Gerät umgeht. Dazu sind politische Entscheidungen notwendig, sowie Richtlinien und Prozeduren. Allerdings ist es sinnlos, bis an diesen Punkt zu gelangen und dann keinen weiteren Plan im Gepäck zu haben. Wie würden Sie zum Beispiel mit Rogue-Geräten umgehen oder diese eliminieren, wenn die ohne Genehmigung von Angestellten eingesetzt werden? Wenn ein böswilliges Rogue-Gerät das Gebäude verlassen hat: Wie schützen Sie sich, damit es nicht noch einmal im Haus auftaucht? Wenn es sich bei dem Rogue-Gerät um ein Smartphone eines Mitarbeiters handelt: Haben Sie ein Programm, das sichere drahtlose Benutzung schult?
7. Aktualisieren Sie das Geräte-Inventar, um das Ergebnis einfließen zu lassen: Nachdem Sie dauerhafte Maßnahmen eingeleitet haben, um die Rogue-Bedrohung abzuschwächen, aktualisieren Sie das Inventar und die dazugehörigen Richtlinien. So wird das Gerät in Zukunft entsprechend behandelt. Haben Sie das Rogue-Gerät während der Untersuchung abgekapselt, können Sie nun entscheiden, ob Sie das aufheben möchten. Konnten Sie den Rogue nicht finden, verwenden Sie eine Beobachtungsliste, damit Sie künftig schneller reagieren können. Möglich ist auch, dass Sie das Monitoring für den relevanten Standort zeitlich ausdehnen.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!