A configuração do WIPS com o recurso de contenção de rogue APs capacita os pontos de acesso (APs) a atuarem ativamente contra serviços Wi-Fi não autorizados dentro do perímetro da empresa, como redes Wi-Fi paralelas ou não gerenciadas. O objetivo principal dessa funcionalidade é neutralizar a operação de APs classificados como rogue, ou seja, aqueles que representam uma ameaça à segurança da rede. No entanto, é crucial compreender que os mecanismos de contenção, ao interferirem na comunicação sem fio para interromper o serviço do AP rogue, podem potencialmente afetar redes Wi-Fi vizinhas. Embora essa ação proteja a rede interna, existe o risco de impactar inadvertidamente SSIDs legítimos de redes adjacentes. Portanto, o entendimento completo dos métodos de mitigação disponíveis e das responsabilidades do administrador de rede é essencial para a implementação e operação eficaz e responsável do WIPS com contenção de rogue APs, minimizando o risco de efeitos colaterais indesejados.
Um Rogue Access Point (AP) é um ponto de acesso sem fio instalado em uma rede sem a devida autorização do administrador responsável. Essa instalação pode ocorrer de duas maneiras: inadvertidamente, por um usuário legítimo que desconhece os riscos envolvidos, ou intencionalmente, por um invasor malicioso com o objetivo de comprometer a segurança da rede. Independentemente da motivação, um Rogue AP representa uma grave ameaça à segurança da rede, expondo-a a diversas vulnerabilidades.
Wireless Intrusion Protection (WIP)
As técnicas de contenção dos dispositivos wireless da Aruba podem mitigar o acesso aos pontos de acesso rogue no modo wired (cabeada) e wireless (sem fio).
O wired containment é executado através de ARP Poisoning, envenenando o default gateway do Rogue AP na rede cabeada. O ponto de acesso Aruba configurado como AP ou AM irá executar a contenção, mas eles necessitam estar na mesma VLAN que o rogue para sucesso no containment.
A contenção via Wireless pode ser executada de duas maneiras: deauth e tarpitting.
Deauth.
O AP Aruba irá enviar frames deauthentication, para o rogue AP e seus clientes. O cliente poderá iniciar a reconexão, então o AP Aruba enviará uma nova mensagem deauthentication, assim sucessivamente.
Tarpit
O AP Aruba irá enviar frames deauthentication para o rogue AP e seus clientes, quando o cliente tentarem a reconexão, o AP Aruba enviará uma respostacom dados falsos induzindo o cliente (STA) a conectar no AP Aruba, ao invés do rogue, mas sem oferecer os dados para navegação.
Tarpitting é o processo no qual um AP Aruba personifica um AP não autorizado, incentivando o cliente não autorizado se conectar ao AP Aruba (quando antes conectado a um rogue AP) e, em seguida, o Aruba AP ou AM (AP no modo monitor) não responderá aos clientes, o direcionando a um canal não utilizado. O STA indicará que está conectado à rede sem fio, mas não obterá um endereço IP nem será capaz de transmitir tráfego.
O tarpit pode ser configurado como Tarpit-non-valid-sta, para os clientes não válidos, ou tarpit-all-sta para todos clientes.
Radio
Os Radios nos Access Point Aruba, podem ser configurados em diferentes modos: AP mode, Air Monitor (AM) e Spectrum Monitor (SM), para análise de espectro.
Os APs no modo AM são sempre recomendados quando o contaiment é habilitado. Os APs (modo AP mode) podem executar a contenção, mas em casos que os rogue estiverem no mesmo canal que o Aruba. Os APs podem também mudar de canal para contenção do rogue, mas o encaminhamento do tráfego dos cliente sempre será priorizado (a funcionalidade “Rogue AP Aware” deve estar habilitada no ARM profile. Já os AMs alocam seus recursos para contenção de rogues. Existem muitas opções automáticas de contenção que vão além de ‘conter se o dispositivo for classificado como rogue’.
As opções mais seguras e comuns são “Protect Valid Stations” e “Protect SSID“. Qualquer estação (STA) que tenha sido autenticada na infraestrutura Aruba com criptografia será automaticamente classificada como válida. Quando isso acontecer, a rede Aruba não permitirá a estação conectar-se a qualquer outra rede se “Protect Valid Stations” estiver ativado.
O Protect SSID conterá automaticamente quaisquer APs não válidos que estão transmitindo os SSIDs da Controller.
Colocando em produção
Antes de colocar as funcionalidades de contenção em produção, execute os testes em ambiente de laboratório. Inicialmente catalogando, classificando e identificando os SSIDs identificados pelo WIDS.
Uma vez identificada e classificada as redes, escolha habilitar o WIPS com o modo de contenção em um ambiente isolado e de laboratório. Analise os logs gerados e identifique o comportamento gerado pelos APs durante o envio dos frames de desconexão, clientes, APs e SSIDs listados durante todo esse processo de homologação.
Preocupe-se com os SSIDs anunciados pelos vizinhos e assim evitando não gerar um ataque de negação de serviço (DoS) a rede sem fio deles.
Clicando em qualquer um dos eventos é possível analisar os logs.
Se possível, utilize use uma ferramenta para analisar os frames 802.11 enviados pela infraestrutura Aruba (com o modo de contenção ativo), como o wireshark e com uma interface usb wireless do notebook em modo monitor, por exemplo.
Filtros no Wireshark para visualizar deauthentication frames wlan.fc.type_subtype==0x0c
Filtros no Wireshark para visualizar disassociation frames wlan.fc.type_subtype==0x0A
Filtros no Wireshark para visualizar um endereço MAC especifico
eth.addr == ff:ff:ff:ff:ff:ff
Referências
https://en.wikipedia.org/wiki/Rogue_access_point
Kolokithas, Andreas. Hacking Wireless Networks – The ultimate hands-on guide,2015
COMUTADORES 