কী ধরণের ট্র্যাফিক নেটওয়ার্কের উপর দিয়ে চলেছে তার উপর নির্ভর করে, প্রায়শই এটি সম্ভব হয় না যে কোনও কর্মচারী একটি ওয়্যারলেস রাউটার নিয়ে আসে এবং আপনার নেটওয়ার্কে সেট আপ করে। এটি কারণ প্রায়শই, তারা না বা দুর্বল সুরক্ষিত হয় না এবং নেটওয়ার্কের পিছনে একটি দরজা উপস্থাপন করে। আপনার নেটওয়ার্কে দুর্বৃত্ত ওয়্যারলেস অ্যাক্সেস পয়েন্টগুলি চালু করার জন্য আপনি কী করতে পারেন?
উত্তর:
উপরে লুকাসের উত্তরটি একটি প্রাথমিক পয়েন্ট is তবে দুটি বা তিনটি বিষয় অবশ্যই বিবেচনা করা উচিত। এগুলি নেটওয়ার্ক ইঞ্জিনিয়ারিংয়ের ক্ষেত্রের বাইরে কিছুটা হলেও শেষ হয় না , তবে অবশ্যই নেটওয়ার্ক ইঞ্জিনিয়ারিং এবং সুরক্ষার জন্য প্রভাব রয়েছে তাই তারা এখানে যায়।
অ্যাডহক মোডে স্যুইচ করা থেকে কোম্পানির ল্যাপটপে ওয়্যারলেস কার্ডগুলি প্রতিরোধের কোনও উপায় আপনি সম্ভবত চান। ধরে নিই যে ল্যাপটপগুলি উইন্ডোজ চলছে, আপনি সম্ভবত একটি অবকাঠামো মোডে সেট করতে একটি জিপিও ব্যবহার করতে চান। লিনাক্সের জন্য, এটি সম্পূর্ণরূপে সীমাবদ্ধ করা শক্ত, তবে এটি করার উপায়ও রয়েছে।
আইপিসেক প্রয়োগ করাও একটি ভাল ধারণা, বিশেষত ভাল কী পরিচালনা এবং বিশ্বস্ত প্রয়োগের সাথে। উদাহরণস্বরূপ যদি আপনি কী পরিচালনার জন্য এক্স 509 শংসাপত্রগুলিতে যেতে পারেন এটি অননুমোদিত ডিভাইসগুলি আপনার নেটওয়ার্কের বাকী অংশের সাথে সরাসরি যোগাযোগ থেকে রক্ষা করতে পারে। মূল ব্যবস্থাপনাকে এখানে পরিকাঠামোর মূল অংশ হিসাবে বিবেচনা করুন। আপনি যদি কোনও প্রক্সি সার্ভার ব্যবহার করেন তবে আপনি অনধিকার প্রাপ্ত ডিভাইসগুলিকে ইন্টারনেটে অ্যাক্সেস থেকে ব্লক করতে সক্ষম হতে পারেন।
আপনার প্রচেষ্টা সীমাবদ্ধতা নোট করুন। এগুলির কোনওটিই কোনও ব্যক্তির কম্পিউটারের সাথে যোগাযোগের একক উদ্দেশ্যে বিশেষত এসএসআইডি লুকানো থাকলে (যেমন সম্প্রচারিত নয়) কোনও ইউএসবি এনআইসিতে সংযুক্ত কোনও সুরক্ষিত ওয়্যারলেস অ্যাক্সেস পয়েন্ট স্থাপন করতে বাধা দেয় না।
কীভাবে কীভাবে আরও সমস্যা থাকতে পারে তা নিশ্চিত নন বা যদি আরও প্যারানোইয়া অপর্যাপ্ত রিটার্নের পর্যায়ে চলে যায় .....
সবার আগে আপনাকে এমন একটি নীতি তৈরি করতে হবে যা নেটওয়ার্ক আইটি বিভাগের মালিকানাধীন বা অনুমোদিত নয় এমন নেটওয়ার্কে নেটওয়ার্ক সরঞ্জাম প্রবর্তন নিষিদ্ধ করে। পরবর্তী পোর্ট সুরক্ষা প্রয়োগ করুন যাতে অজানা ম্যাক ঠিকানাগুলি আপনার নেটওয়ার্কের সাথে সংযোগ স্থাপন করতে পারে না।
তৃতীয় আপনার নিয়ন্ত্রণে একটি পৃথক ওয়্যারলেস নেটওয়ার্ক স্থাপন করুন (যদি আপনি তাদের যা চান তা তারা দেয় তবে তারা দুর্বৃত্ত এপি চালু করার সম্ভাবনা কম থাকে) (যদি সম্ভব হয় এবং সম্ভব হয়) তাদের (মোবাইল) ডিভাইসগুলির সাথে ইন্টারনেট অ্যাক্সেসের জন্য। এই অ্যাক্সেস পয়েন্টগুলি পিইএপি বা অনুরূপ দ্বারা সুরক্ষিত হওয়া উচিত এবং পৃথকভাবে পৃথক নেটওয়ার্কে চালানো উচিত।
সর্বশেষে আপনি আপনার নেটওয়ার্কে দুর্বৃত্ত অ্যাক্সেস পয়েন্টগুলি সনাক্ত করতে ও ট্র্যাক করতে নেটস্টাম্বলারের মতো সরঞ্জামগুলি ব্যবহার করে নিয়মিত সুরক্ষা স্ক্যানও করতে পারেন।
আপনার নেটওয়ার্কের উপর আইপিএসকে সম্পাদন করারও বিকল্প রয়েছে যাতে কেউ যদি দুর্বৃত্ত এপি স্থাপন করেন, তবে কেউ যদি বেতার নেটওয়ার্ক শোঁকাচ্ছেন তবে প্রকাশিত "তরঙ্গ" সরল পাঠযোগ্য হবে না।
আমার এখনও পর্যন্ত সমস্ত অভিজ্ঞতা সিসকো পণ্যগুলির সাথে ছিল তাই আমি সত্যিই বলতে পারি।
ডাব্লুসিএস নিয়ন্ত্রিত এপিগুলিতে (লাইটওয়েট এবং নরমাল) অবিশ্বাস্য এসএসআইডি পপ আপ হয় এবং এটির সাথে কতগুলি ক্লায়েন্ট সংযুক্ত রয়েছে তা সনাক্ত এবং রিপোর্ট করার ক্ষমতা রাখে। আপনার কাছে হিটম্যাপস সেট আপ হয়েছে এবং অ্যাক্সেস পয়েন্টগুলির একটি শালীন সংখ্যক যদি আপনার এপিগুলিতে অ্যাক্সেস পয়েন্টটি সান্নিধ্যে থাকে তবে এটি নির্ধারণের পক্ষে যথেষ্ট সম্ভাবনা রয়েছে। এর একমাত্র নীচের দিকটি হ'ল আপনি যদি কোনও বার / কফি শপ / কলেজ ডর্ম / আশেপাশের নিকটবর্তী হন তবে লোকেরা "চলাচল" এসএসআইডি'র মূল্যবান পৃষ্ঠাগুলি দেখার আশা করে যা লোকেরা চলার সাথে সাথে ঘন ঘন পরিবর্তিত হয়।
ডাব্লুসিএসে কিছু সুইচপোর্ট ট্রেসিং করার ক্ষমতা এবং আপনার নেটওয়ার্কে যদি দুর্বৃত্তদের প্লাগ করা থাকে তবে আপনাকে সতর্ক করার ক্ষমতাও রয়েছে। এটি কাজ করার জন্য আমার অনেক ভাগ্য এখনও আছে। আমি সত্যই এটির সাথে খেলতে পুরো সময় পাইনি। ডিফল্টরূপে, কমপক্ষে আমার নেটওয়ার্কে, ট্রেসটি যেভাবে কাজ করে তাতে বেশ কয়েকটি ভ্রান্ত-ইতিবাচক বলে মনে হয়। নিশ্চিত অনুসন্ধান না করে, আমি বিশ্বাস করি এটি কেবল ম্যাকের OUI এর দিকে দেখায় এবং যদি এটি মেলে তবে আপনি নেটওয়ার্কে দুর্বৃত্ত সম্পর্কে একটি সতর্কতা পাবেন।
শেষ অবধি, ডাব্লুসিএসেও রাউজ এপি / এসএসআইডি রাখার ক্ষমতা রয়েছে। এটি সেই এপিতে সংযুক্ত যে কোনও ক্লায়েন্টের কাছে ডিওথ ব্যবহার করে এবং বার্তা বিচ্ছিন্ন করে does
একটি পর্যবেক্ষণের দিক থেকে, আপনি নেটডিসকোর মতো একটি সরঞ্জাম চালিয়ে যেতে পারেন যা আপনি প্রত্যাশার চেয়ে বেশি সংযুক্ত ম্যাক ঠিকানা যুক্ত সুইচপোর্টগুলি সন্ধান করতে পারেন। এটি কোনও দুর্বৃত্ত WAP নেটওয়ার্কের সাথে পরিচয় হওয়া থেকে স্বয়ংক্রিয়ভাবে আটকাতে পারে না, তবে এটি আপনাকে সত্যের পরে একটি আবিষ্কার করতে দেয়।
যদি আপনার সুইচপোর্টগুলিতে সংযুক্ত সরঞ্জামগুলি স্থিতিশীল থাকার প্রত্যাশা করা যায় তবে ম্যাকের ঠিকানা সীমাবদ্ধকরণ (স্যুইচপোর্টটি প্রশাসনিকভাবে নিচে লঙ্ঘনের সাথে) যে কোনও দুর্বৃত্ত ডিভাইস (কেবল ডব্লিউএপিগুলি) সংযুক্ত হতে আটকাতে পারে।
যদি এপি ব্রিজিং মোডে থাকে তবে আপনি এটিকে বন্দর সুরক্ষা দিয়ে ধরতে পারবেন।
সীমাবদ্ধ করা ম্যাক ঠিকানাগুলির সংখ্যা সাহায্য করবে না, ইভেন্টে রাউজ এপি একটি "ওয়্যারলেস রাউটার" হিসাবে কনফিগার করা হয়েছে
ডিএইচসিপি স্নুপিং সহায়ক, এতে এটি ওয়্যারলেস এপি ধরবে, পিছনে সংযুক্ত, যেমন রোজেউ ডিভাইসগুলির ল্যান পোর্ট যা ডিএইচসিপি সক্ষম হয়েছে আপনার নেটওয়ার্কের সাথে সংযুক্ত রয়েছে, ডিএইচসিপি স্নুপিং ট্র্যাফিককে নামিয়ে দেবে।
ন্যূনতম বাজেটের সাথে ডিএইচসিপি স্নুপিং আমার একমাত্র বিকল্প, আমি কেবল অপেক্ষা করি যতক্ষণ না কোনও ব্যবহারকারী তাদের এপি পিছন দিকে প্লাগ করার জন্য যথেষ্ট বোকা হয়ে যায় ... তবে আমি শিকারে যাই :)
ব্যক্তিগতভাবে, যদি নেটওয়ার্কটি বেশিরভাগ অংশে একটি সিস্কো শপ হয়, যার অর্থ কমপক্ষে আপনার অ্যাক্সেস স্তরটি সিসকো সুইচগুলি সেটআপ করা হয়; আমি এই ধরণের সমস্যার বিরুদ্ধে রক্ষা করার উপায় হিসাবে বন্দর সুরক্ষা এবং ডিএইচসিপি স্নুপিংয়ের দিকে নজর দেব। সমস্ত অ্যাক্সেস পোর্টে সর্বাধিক 1 ম্যাক ঠিকানা সেট করা চূড়ান্ত হবে তবে এটি নিশ্চিত করবে যে একবারে 1 টি ডিভাইস একটি সুইচপোর্টে প্রদর্শিত হতে পারে। আমি যদি 1 ম্যাকের বেশি দেখায় তবে আমি পোর্টটি বন্ধ করে দেব। আপনি যদি 1 ম্যাকেরও বেশি মঞ্জুরি দেওয়ার সিদ্ধান্ত নেন, শেষ ব্যবহারকারী যখন স্যুইচপোর্টে ডিভাইসটি প্লাগ করেন তখন বেশিরভাগ গ্রাহক গ্রেড ওয়্যারলেস রাউটারগুলি স্থানীয় সাবনেটে ডিএইচসিপি চালু করার সাথে সাথে ডিএইচসিপি স্নুপিং সহায়তা করবে। ডিএইচসিপি স্নুপিং অ্যাক্সেস পয়েন্টটি ডিএইচসিপি সরবরাহ করছে তা সনাক্ত করার পরে সেই সময়ে পোর্ট সুরক্ষাটি সুইচপোর্টটি বন্ধ করে দেবে।
ভুলে যাবেন না যে আপনি তারযুক্ত পোর্টগুলিতে 802.1x চালাতে পারেন। 802.1x অননুমোদিত ডিভাইসগুলি রোধ করতে পারে এবং পোর্ট-সুরক্ষা কাউকে একটি সুইচ হুক করা এবং পোর্টটি টেলগেট করা থেকে আটকাতে সহায়তা করে। মনে রাখবেন যে জায়গাটিতে সর্বোত্তম নেটওয়ার্ক নিয়ন্ত্রণ থাকা সত্ত্বেও, আপনাকে অবশ্যই পিসি পর্যায়ে ব্যবস্থা নিতে হবে বা ব্যবহারকারীরা কেবল তাদের পিসিতে নেট চালাতে সক্ষম হবে এবং আপনার নেটওয়ার্ক সুরক্ষা ব্যবস্থাগুলি বাইপাস করবে।
যেমন উল্লেখ করা হয়েছে, প্রথম এবং সর্বাগ্রে, নীতিগুলি গুরুত্বপূর্ণ। এটি একটি বিজোড় সূচনা পয়েন্টের মতো মনে হতে পারে তবে কর্পোরেট এবং আইনী দৃষ্টিকোণ থেকে আপনি যদি পলিসিটি সংজ্ঞায়িত ও বিতরণ না করেন, যদি কেউ এটি ভঙ্গ করে, আপনি খুব সামান্যই করতে পারেন। দরজাটি সুরক্ষিত করার কোনও অর্থ নেই যদি, কেউ যখন প্রবেশ করে, আপনি তাদের থামানোর জন্য কিছু করতে পারেন না।
802.11X সম্পর্কে কি। আইনী বা না অ্যাক্সেস পয়েন্ট কী তা আপনি সত্যই চিন্তা করেন না যতক্ষণ না কেউ এর নীচে থাকা সংস্থাগুলিতে অ্যাক্সেস পান না। আপনি যদি অনুমোদন ছাড়াই 802.11 এক্স সমর্থন করার জন্য অ্যাক্সেস পয়েন্ট বা এর বাইরেও ব্যবহারকারী পেতে পারেন তবে তারা অ্যাক্সেস পান তবে তারা কিছুই করতে পারে না।
আমরা এর ভিত্তিতে বিভিন্ন ভিএলএএন নির্ধারিত হওয়ায় আমরা এটি কার্যকরভাবে খুঁজে পাই। আপনি যদি অনুমোদিত হয়ে থাকেন তবে কর্পোরেট ভিএলএএন-তে অ্যাক্সেস পাবেন, অন্যথায়, এটি ইন-বিল্ড বিজ্ঞাপন নেটওয়ার্ক। সারা দিন আমাদের প্রচার ভিডিও দেখতে চান, আমরা এটির সাথে ঠিক আছি।
নাসাসের দুর্বৃত্ত APs সনাক্ত করার জন্য একটি প্লাগইন রয়েছে - আপনি সময় সময় দেখার জন্য স্ক্যানের স্ক্রিপ্ট করতে পারেন।
http://www.tenable.com/blog/using-nessus-to-discover-rogue-access-points
প্রতিরোধ কঠিন।
আপনি সমস্ত ডিভাইসের জন্য ওয়াইফাই ব্যবহার করে তারযুক্ত ইথারনেট পোর্টগুলি প্রতিস্থাপন করতে পারেন - লোকেরা তাদের নিজস্ব এপি সেটআপ করার প্রয়োজনীয়তা দূর করে। 802.1X প্রমাণীকরণ করতে এবং সংযোগ সুরক্ষিত করতে IPsec।
সনাক্তকরণ কেবল নির্ভরযোগ্য উপায় হতে পারে:
ওয়্যারলেস লিঙ্কগুলিতে উচ্চ প্যাকেট হ্রাস এবং সম্ভবত উল্লেখযোগ্য বিলম্বের প্রকরণ রয়েছে। প্যাকেটের ক্ষতি নিরীক্ষণ এবং দেরি করে আপনি রাউজ অ্যাক্সেস পয়েন্টগুলির মাধ্যমে সংযোগগুলি সনাক্ত করতে পারেন।
আপনি কি ওয়্যারলেস অনুপ্রবেশ প্রতিরোধ ব্যবস্থা (ডাব্লুআইপিএস) কে ওভারলে করার বিষয়ে কোন চিন্তাভাবনা দিয়েছেন?
রোগ এপিগুলি বিভিন্ন ফর্ম আকার এবং আকারে আসে (ইউএসবি / সফট এপি থেকে প্রকৃত শারীরিক রোগ এপি থেকে শুরু করে)। আপনার দরকার একটি সিস্টেম বায়ু এবং তারযুক্ত উভয় দিক উভয়ই পর্যবেক্ষণ করতে পারে এবং যদি হুমকি প্রকৃতপক্ষে উপস্থিত থাকে তবে তা হ্রাস করতে নেটওয়ার্কের উভয় পক্ষের তথ্যকে সংযুক্ত করতে পারে। এটি অ্যাপের 100 এর দশকের কম্বাই করতে সক্ষম হবে এবং এটি আপনার নেটওয়ার্কে প্লাগ রয়েছে এমন একটি সন্ধান করতে হবে
রগ এপ হ'ল 1 ধরণের ওয়াইফাই হুমকি, আপনার ওয়াইফাই ক্লায়েন্টগুলি কীভাবে আপনার অফিস থেকে দৃশ্যমান বাহ্যিক এপিগুলিতে সংযুক্ত রয়েছে। ওয়্যার্ড আইডিএস / আইপিএস সিস্টেম এই ধরণের হুমকির বিরুদ্ধে সম্পূর্ণরূপে সুরক্ষা দিতে পারে না।