Phát hiện và ngăn chặn truy cập trái phép mạng wifi

nktung

nktung

Super Moderator
Thành viên BQT
08/10/2013
400
985 bài viết
Phát hiện và ngăn chặn truy cập trái phép mạng wifi
nktung
hi cả nhà
Hiện mình đang quản trị một mạng LAN cho một trường hoc, có nhiều điểm phát wifi cho sinh viên và giáo viên. Để bảo mật mạng wifi mình đã sử dụng kết hợp mật khẩu (kiểu Pre-Shared Key) + lọc địa chỉ MAC, tức là sinh viên và giáo viên cần đến phòng IT để cung cấp địa chỉ MAC của thiết bị (Laptop, Smartphone...), sau đó mình add vào mục allow MAC trong thiết bị wifi để chỉ cho phép những thiết bị này được truy cập vào mạng wifi.
Gần đây có ký túc của một trường kỹ thuật mới đi vào hoạt động ở sát ngay trường mình và khi theo dõi lưu lượng mạng thì mình thấy cả đêm đều phát sinh lưu lượng, trong khi trường mình sinh viên chỉ học 9h tối là nhà trường đóng cửa. Mình đang nghi ngờ sinh viên của trường bên cạnh đã sử dụng biện pháp giả mạo địa chỉ MAC để truy cập vào mạng wifi.
Vậy có giải pháp nào để Phát hiện và ngăn chặn xâm nhập mạng wifi hay không? Các bạn cho mình thông tin nha. Thanks
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
M
Re: Phát hiện và ngăn chặn truy cập trái phép mạng wifi

Việc giả mạo MAC là việc tương đối đơn giản.
Nếu không quá là quan trọng và bị tính tiền, thì cho sinh viên ký túc đó xài chùa đi :).
Nếu muốn kiểm soát tốt hơn thì cần bảo mật bằng WPA-Enterprise, aka 802.1x và triển khai 1 radius server làm nhiệm vụ xác thực. Mỗi sinh viên và giáo viên sẽ có user/mật khẩu riêng, tự quản lý và việc cho mượn sẽ khó hơn (cái gì bí mật mà bị chia sẻ quá 3 người thì ko còn gọi là bí mật nữa nhé, ví dụ cái PSK đó, có hẳn phần mềm Wifi Chùa hay là Wada làm cái việc chia sẻ kia).
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
nktung
Re: Phát hiện và ngăn chặn truy cập trái phép mạng wifi

Giải pháp sử dụng phương pháp bảo mật WPA2-Enterprise của bạn rất hay. Tuy nhiên giải pháp này cần đầu tư cả về trang thiết bị (máy chủ) và chi phí quản lý (tạo và cấp tài khoản cho người dùng). Sếp mình không chịu chi vụ này. Ý mình là có giải pháp nào PHÁT HIỆN và NGĂN CHẶN xâm nhập bất hợp pháp vào mạng của mình không?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Nhựt Trường
Re: Phát hiện và ngăn chặn truy cập trái phép mạng wifi

Gặp em thì xác cmđ nó liền. xài mạng chùa của anh dẽ lắm à
hack ngược lại máy nó dò password, post ngược lên mạng điểm mặt nó trên facebook. Với dân trộm cắp sài chùa thì em nghĩ cách đó thôi chứ giờ đầu tư phần cứng cho mấy việc này là quá tốn kem?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
zEpEr
Re: Phát hiện và ngăn chặn truy cập trái phép mạng wifi

:D các anh nói thế em thấy chột dạ quá ạ , em là sinh viên nghèo , mỗi khi xài wifi chùa ( thường là trái phép ) em đều đổi MAC , bật firewall , chỉ dùng SSL , thế có bị hack ngược như anh Nhựt Trường nói không ạ ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
H
Re: Phát hiện và ngăn chặn truy cập trái phép mạng wifi

Nhựt Trường;25273 đã viết:
Gặp em thì xác cmđ nó liền. xài mạng chùa của anh dẽ lắm à
hack ngược lại máy nó dò password, post ngược lên mạng điểm mặt nó trên facebook. Với dân trộm cắp sài chùa thì em nghĩ cách đó thôi chứ giờ đầu tư phần cứng cho mấy việc này là quá tốn kem?
Nhấn để mở rộng...

hack ngược lại máy nó như thế nào nhỉ? bạn nên thử vài cách tấn công để mọi người cùng tham khảo và thảo luận nhé :D
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
M
Re: Phát hiện và ngăn chặn truy cập trái phép mạng wifi

nktung;25272 đã viết:
Giải pháp sử dụng phương pháp bảo mật WPA2-Enterprise của bạn rất hay. Tuy nhiên giải pháp này cần đầu tư cả về trang thiết bị (máy chủ) và chi phí quản lý (tạo và cấp tài khoản cho người dùng). Sếp mình không chịu chi vụ này. Ý mình là có giải pháp nào PHÁT HIỆN và NGĂN CHẶN xâm nhập bất hợp pháp vào mạng của mình không?
Nhấn để mở rộng...

Hầu như không có nếu giữ nguyên mô hình hiện tại. Ngay cái cụm từ "phát hiện (1) và ngăn chặn (2)", xử lý được (1) và (2) là 2 đề tài khá lớn tách biệt nhau rồi. Không có (1) thì không thể có (2).

Việc phát hiện (sự truy cập, ko phải xâm nhập) trong trường hợp mạng LAN hoặc wifi thì có 1 tool nhỏ tên là arpwatch chạy Linux. Mỗi khi có máy nào cắm vào LAN hoặc Wifi thì cần gửi ARP tìm router chẳng hạn và arpwatch có thể xác định được, gửi mail báo có host với MAC xyz IP abc cho admin => admin đối chiếu danh mục MAC cho phép => xác định được ai bất hợp pháp ai không. Nhược của arpwatch là không thể phát hiện ra MAC hợp lệ nhưng bị giả mạo (trường hợp của bạn bị).
Bạn cũng có thể đọc trong bảng mac-address của thiết bị switch hoặc wifi để ra các host, so sánh mac hợp lệ hay không để xác định. Nhưng nếu giả mạo MAC hợp lệ thì cũng bó tay.

Bạn nếu ko muốn chạy WPA-Enterprise, có thể áp dụng giải pháp gọi là captive portal rất phổ biến ở các điểm wifi công cộng. Ví dụ phần mềm wifidog chẳng hạn. Cái này, dựa theo MAC của host lạ qua router, redirect truy cập web rồi xác thực user/pass bởi 1 web portal, nếu đúng sẽ allow MAC nào đó vào và người sử dụng sẽ dùng được. Cái này, tỉ lệ bị giả mạo thành công sẽ thấp hơn vì sau 1 thời gian (ví dụ 2h) captive portal sẽ hỏi lại user/pass, ai có giả mac cũng chỉ xài sau khi chính chủ họ xác thực captive portal xong và cũng chỉ xài trong 2h là hết. Cái dở là hơi bất tiện 1 chút với user, cũng không tránh được việc quản lý tài khoản và việc setup sẽ phức tạp không kém WPA-Ent, bù lại performance sẽ ok hơn, chấp nhận cả open wifi (nghĩ là không wifi PSK) lẫn mạng LAN cắm dây.

Nói chung, giải pháp kỹ thuật phải kèm điều kiện triển khai, vận hành và chi phí. Chẳng có cái gì tự nhiên sẵn có nếu không chấp nhận sự phức tạp hoặc bỏ công sức tiền bạc cả đâu, nhất là trong ngành an toàn bảo mật thông tin. Sếp không chịu thì nghĩa là như cũ (trong khả năng có thể), nó chả ảnh hưởng gì lắm hoặc ít ảnh hưởng (so với mất mát thiệt hại việc cho xài chùa) thì thôi tìm giải pháp làm gì tốn thời gian. Khi nào sự thiệt hại cao hơn chi phí bỏ ra để làm giải pháp => sếp sẽ cân nhắc lại.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
O
Re: Phát hiện và ngăn chặn truy cập trái phép mạng wifi

Theo mình thì có giải pháp phát hiện và ngăn chặn xâm nhập mạng LAN, đó là dùng phần mềm LANEye hoặc GFI LANGuard. Đây là 2 giải pháp khá hữu hiệu, dễ dàng triển khai trên mạng LAN.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Splunk Boss of Soc - Phát hiện và cảnh báo bất thường trên Server Linux
  • Nghiên cứu về botnet Mirai - Phần 4 Theo dõi diễn biến phát tán
  • Phát hiện và phân tích hoạt động của mạng IoT Botnet Dark Nexus
  • 5 cách để phát hiện lỗ hổng MS15-034
  • Cách phát hiện mật khẩu mặc định trên thiết bị wireless
  • Hệ thống phát hiện và ngăn chặn xâm nhập
    • Bên trên