Quelque chose n'a pas été dit, pourquoi l'utilisateur souhaite-t-il un WiFi? Tant que l'utilisateur sent qu'il a un besoin légitime, il continuera à trouver des solutions de contournement à toutes vos tentatives de blocage.

Discutez avec les utilisateurs de ce qu'ils essaient d'accomplir. Créez peut-être un réseau wifi officiel (utilisez toutes les méthodes de sécurité que vous souhaitez - ce sera «le vôtre»). Ou, mieux, deux - WAP pour les invités et l'entreprise.

Le WiFi n'est pas quelque chose qui doit être interdit «juste parce que», mais il nécessite une attention particulière, tout comme tous les autres aspects de la sécurité.

Les pare-feu ne peuvent pas dire d'où provient votre trafic en termes de réseau physique - ils ne voient que les données fournies par le protocole, telles que MAC / IP, qui ne sont pas très utiles dans ce cas.

Je pense que vous tombez dans le piège de la recherche d'une solution technique à un problème de gestion. Souvenez-vous de la loi immuable de la sécurité # 10: la technologie n’est pas une panacée. Bien que la technologie puisse faire des choses incroyables, elle ne peut pas imposer le comportement des utilisateurs.

Vous avez un utilisateur qui présente un risque indu pour l'organisation, et ce risque doit être traité. La solution à votre problème est la politique , pas la technologie. Configurez une stratégie de sécurité qui détaille explicitement les comportements non autorisés et demandez à vos utilisateurs de la signer. S'ils enfreignent cette politique, vous pouvez vous adresser à vos supérieurs avec des preuves de la violation et une sanction peut être appliquée.

Il n'y a pas de règle de pare-feu qui puisse vous y aider: par construction, l'AP non autorisé fournit un chemin réseau qui contourne vos pare-feu. Tant que les utilisateurs ont un accès physique aux machines qu'ils utilisent et à leurs ports USB (c'est difficile à éviter, à moins que vous ne versiez de la colle dans tous les ports USB ...) et que les systèmes d'exploitation installés le permettent (là encore, difficile à éviter si les utilisateurs sont des «administrateurs» sur leurs systèmes, en particulier dans les contextes BYOD), alors les utilisateurs peuvent configurer des points d’accès personnalisés qui donnent au moins accès à leur machine .

Ce que vous pouvez faire est d'utiliser un ordinateur portable, un smartphone ou une tablette pour répertorier les points d'accès existants et les localiser, en utilisant la force du signal comme indice de l'emplacement physique du point d'accès. Cependant, en fin de compte, il s'agit d'un problème de politique: informez vos utilisateurs des dangers de la configuration de points d'accès personnalisés; les avertir que cela est interdit par les politiques de sécurité locales et qu'ils seront tenus responsables (légalement et financièrement) de ce qui pourrait résulter d'une telle mauvaise conduite.

En plus des réponses concernant l'aspect politique des choses, il existe quelques approches techniques qui peuvent vous aider ici, selon le degré de contrôle de votre environnement informatique.

1. Verrouillage du port USB - dans votre cas particulier, l'utilisateur a utilisé une clé USB Wi-Fi pour créer l'AP. Si vous avez un logiciel qui peut verrouiller les classes de périphériques USB autorisées (et que vos utilisateurs n'ont pas les droits d'administrateur local pour les désactiver), alors ce serait une option pour restreindre ce type d'activité.
2. Contrôle d'accès au réseau - une autre façon de voir les points d'accès non fiables sur le réseau serait que l'utilisateur branche un point d'accès sans fil standard à un port Ethernet du réseau. Pour aider à bloquer ce NAC pourrait être utilisé pour restreindre l'accès au réseau aux appareils approuvés.
3. Comme @ thomas-pornin le mentionne ci-dessus, la détection de l'AP peut être effectuée avec un scanner portable, même si vous avez un réseau sans fil d'entreprise, alors de nombreux fournisseurs (par exemple Cisco) fourniront un mécanisme de détection de point d'accès non autorisé qui utilise les points d'accès légitimes pour détecter les voyous.

Je mentionnerai que tout cela les mesures peuvent être contournées par un attaquant déterminé / averti, mais elles seraient probablement efficaces avec des utilisateurs ordinaires.

Je suis en fait assez choqué par le nombre de personnes qui considèrent cela comme un problème de politique ou de gestion.

Oui, une politique doit être créée / appliquée afin que des mesures disciplinaires appropriées puissent être prises si ou quand un utilisateur est surpris en train d'enfreindre la politique.

Cependant , la politique seule n'empêchera pas votre réseau / données d'être compromis si un utilisateur ne suit pas la politique!

Si cela est dans votre capacité de le faire, un contrôle technique doit certainement être mis en œuvre.

Cela étant dit, si vos utilisateurs sont sous Windows, vous pouvez jeter un œil à : http://www.wirelessautoswitch.com/about.aspx

Une stratégie de groupe peut être mise en œuvre pour empêcher d'autres utilisateurs de votre réseau de se connecter à des points d'accès non autorisés: http : //social.technet.microsoft.com/Forums/en/w7itpronetworking/thread/7130f1a5-70fd-429f-8d41-575085489bd1 cependant, cela n'empêchera pas les méchants de se connecter à votre AP malveillant.

Comme Rory l'a mentionné, vous pouvez choisir de désactiver les ports USB, mais ce n'est pas toujours pratique selon votre situation.

Divulgation complète Je travaille pour un grand partenaire de solution Cisco.

Comme d'autres l'ont mentionné, un pare-feu n'aidera pas beaucoup.

Il y a un classe entière de produits appelés système de détection / prévention des intrusions sans fil (WIDS / WIPS). Cisco, Aruba, Motorola Air Defence et Airtight Networks Spectraguard sont quelques fournisseurs / produits de cette catégorie. Pas une liste exhaustive. Pour un petit client, j'ai eu de la chance de déployer Airtight Networks car ils ont un modèle hybride sur site / cloud qui est peu coûteux et facile à faire fonctionner rapidement. C'est aussi très efficace. L'une de ses fonctionnalités était qu'il pouvait apprendre les adresses MAC des points de terminaison de votre organisation (ordinateurs portables) et détecter quand il en observait un rejoignant un réseau sans fil non exploité par votre organisation. Il pourrait alors vous alerter et / ou "brouiller" le point de terminaison ou AP (faites très attention de ne pas enfreindre les lois applicables dans votre région!)

Kismet est un outil sans fil open source qui peut être utilisé (parmi d'autres autres choses) comme système de détection d'intrusion sans fil. Voir http://www.kismetwireless.net/documentation.shtml

Se promener avec un ordinateur portable ou un autre scanner portable fonctionne certainement - mais seulement lorsque vous vous promenez: - ) Idéal pour la réponse aux incidents ou le dépannage, mais pas une solution de surveillance sans fil à long terme.

Une autre approche technique consiste à empêcher cela sur l'ordinateur d'extrémité incriminé lui-même. D'autres ont offert de bons conseils à ce sujet, je ne vais donc pas répéter.

Bien sûr, il est très important de créer une politique et de fournir aux utilisateurs un moyen légitime et sécurisé de répondre à leurs besoins commerciaux justifiés. Comme pour de nombreux sujets de sécurité, il faut un mélange de contrôles techniques et administratifs (politiques) pour réussir.

Bonne chance!

Si le point d'accès non autorisé fonctionne en mode ponté (ce qui sera le plus souvent le cas), vous verrez les adresses mac du ou des clients sans fil sur le port de commutation du bureau.

Vous pouvez bloquez ces adresses mac inconnues sur la plupart des commutateurs en définissant le filtrage des adresses de port des commutateurs sur le mode «apprendre puis bloquer» - il apprendra la première adresse mac vue et bloquera les nouvelles. Le commutateur peut également se connecter lorsqu'il bloque une adresse mac inconnue.

Vous pouvez également le faire en déployant 802.1x et en authentifiant chaque appareil sur votre réseau, ce qui serait plus compliqué à configurer.

Développez un script qui, exécuté sur une machine avec du matériel sans fil, analyse périodiquement l'environnement sans fil pour la présence de points d'accès, et les met en cache dans une liste persistante. Le programme peut déclencher une alarme (par exemple, un e-mail aux administrateurs) chaque fois qu'un point d'accès jusqu'ici invisible émerge et est ajouté à la liste. À ce stade, il est à la discrétion de l'administrateur si ce point d'accès entre dans la liste persistante, ou doit être recherché et désactivé.

Une réponse appropriée à l'alarme pourrait être d'envoyer un e-mail à tous personnel dans le bâtiment:

Quiconque a démarré un point d'accès avec le SSID "FooBar" a 10 minutes pour le démonter, et nous oublierons tout. Sinon, vous pouvez nous laisser nous le trouver. Vous ne voulez pas de ça.

Je dirais que c'est mieux si vous pouvez résoudre ce problème entre les administrateurs et les utilisateurs, car l'administrateur n'est pas là pour bloquer `` juste parce que '' mais plutôt pour prendre en charge l'infrastructure de l'organisation et aider les utilisateurs à effectuer leur travail plus facilement (pas plus difficile ). En suivant la voie de la mesure par rapport à la contre-mesure pour chaque politique, il est plus probable que les utilisateurs seront moins enclins à voir l'administrateur réseau comme utile et leur respect pour l'administrateur peut plonger dans le nez. Cela dit, si le wifi est un très gros problème qui est absolument nécessaire pour réduire (pas seulement parce que c'est la politique que vous pensez), vous pouvez alors configurer 802.1x et faire authentifier tous les nœuds qui se connectent par wifi avant d'obtenir l'accès (cela tiendra également compte des sessions afin que tout ce qui se passe soit surveillé ). En outre, la sécurité des ports peut être mise en œuvre si le nombre de nœuds dans un réseau local ou un vlan est connu, le routeur non autorisé peut être détecté et neutralisé. La sécurité des ports n'est vraiment pas une bonne solution ici car une simple clé USB wifi peut la contourner (dans cette situation), mais elle peut au moins étouffer l'activité des routeurs non fiables. Ce que l'on appelle la `` conduite de guerre '' fonctionne bien et, si nécessaire et connu essentiellement où les AP pourraient se cacher, les administrateurs sont connus pour envoyer des techniciens se promener avec un ordinateur portable ou un téléphone à la recherche à des moments aléatoires pour rechercher les emplacements des AP. Si cela ne vous dérange pas d'envahir la vie privée, vous pouvez ajuster les privilèges de tous les ordinateurs portables contrôlés par l'organisation pour surveiller l'activité et recevoir des alertes sur toute tentative de connexion à des points Wi-Fi (et donc à des points d'accès non autorisés).

Plusieurs réponses précédentes (telles que celles de Thomas Pornin) ont souligné la nécessité de sensibiliser les utilisateurs et d'appliquer les politiques, et ont noté que, si les utilisateurs ont un accès administrateur sur leurs ordinateurs (ou peuvent brancher leurs propres appareils sur le réseau filaire), un utilisateur déterminé peut toujours configurer un point d'accès non autorisé d'une manière qui le rend invisible pour le réseau.

Cependant, je dirais qu'une telle éducation serait néanmoins plus efficace si elle était complétée avec une solution technique qui empêcherait les utilisateurs de mettre en place des points d'accès non autorisés simplement en branchant une clé USB. Bien sûr, un utilisateur disposant d'un accès administrateur peut toujours le contourner s'il le souhaite vraiment et sait comment le faire, mais au moins il devra y travailler et, espérons-le, ne pourra pas le faire sans le savoir qu'ils contournent une mesure de sécurité.

C'est un peu comme protéger votre réseau contre les virus: pour le faire efficacement, vous voulez vraiment les deux éduquer vos utilisateurs et exécutez un antivirus. L’une ou l’autre de ces mesures est sous-optimale.

Quant à la façon de mettre en œuvre une telle solution, une approche évidente serait de mettre en place une règle de pare-feu sur tous les postes de travail pour rejeter les paquets IP qui ne le provenir de l'hôte local ou lui être destiné. Sur les systèmes Linux, par exemple, je pense que la politique iptables suivante devrait être suffisante:

  iptables -F FORWARDiptables -P FORWARD DROP  

Cela garantit que tous les paquets entrant dans la chaîne FORWARD (c'est-à-dire ceux qui ne sont ni générés localement ni destinés aux sockets locaux) seront abandonnés sans condition. Si vous voulez être gentil, vous pouvez aussi leur faire générer un message de rejet ICMP:

  iptables -I FORWARD -j REJECT --reject-with icmp-host-uneachable  
 Bien sûr, vous devez vous assurer que ces règles sont réappliquées à chaque redémarrage. Sinon, vous pouvez simplement désactiver le transfert IPv4 dans le noyau en ajoutant la ligne suivante à /etc/sysctl.conf:
  net.ipv4.ip_forward = 0  
 
 et exécutez  sysctl -p  pour recharger le fichier (ce qui se produira automatiquement au redémarrage). 
 
 Malheureusement, je ne suis pas assez familier avec Administration du réseau Windows pour pouvoir dire ce qui pourrait faire la même chose là-bas. (De plus, je dois avertir que je n'ai pas réellement testé que ces solutions fonctionnent dans le scénario de l'OP. Veuillez faire vos propres tests avant de vous y fier.) 

Au moment où j'écris ceci, vous avez reçu quelques réponses. J'en offre simplement quelques autres:

1.) Politique - ugh! Beaucoup ont mentionné le mot sale, mais c'est vrai. Vous devez commencer par une stratégie, qui existe en tant que déclaration commerciale que les utilisateurs doivent suivre. Cette politique doit être claire dans son intention et étayée par des normes et des références.

2.) Je ne suis pas fan de réinventer la roue ou de construire une fusée quand une solution simple fonctionnera très bien. SANS avait une série de webémissions en plein essor pendant un certain temps où David Hoelzer a enseigné diverses astuces rapides sur l'audit. Un de ces épisodes a abordé la détection des points d'accès et est lié à votre question. Vous pouvez voir cet épisode ici: http://auditcasts.com/screencasts/4-can-you-hear-me-now

Bien que ce ne soit pas complètement lié, j'ai trouvé que regarder l'épisode 3 a également été utile pour comprendre la technologie sans fil. http://auditcasts.com/screencasts/3-auditing-hacking-wpa-wpa2 (je ne peux pas être assez clair ici, NE FAITES PAS cela sans autorisation explicite).

J'ai un peu modifié la solution de David, mais je l'ai appliquée à mon bureau et elle est passée pour la conformité PCI.

3.) Nessus propose un plug-in, où il scanne l'extrémité câblée d'un Rogue AP et en rend compte lorsqu'il est détecté. Vous devrez vous abonner au flux professionnel Nessus si vous comptez l'utiliser au bureau. Il est abordable à 1 200,00 $ par an et vous permettra d'analyser et de prendre en charge d'autres politiques telles que la conformité des correctifs, les normes de construction, les vulnérabilités.

J'espère que cela vous donne une direction, dites-nous ce que vous finissez par utiliser et comment il est implémenté.

Cordialement,

Voici une possibilité en attendant que les autres y trouvent des trous:

1. Toutes les connexions réseau internes utilisent le chiffrement entre les points d'extrémité et un (ensemble de) routeurs / commutateurs centraux. Il peut s'agir d'un VPN ou d'autres solutions.

2. Personnalisez la technologie de cryptage sur chaque point de terminaison qui valide que ce point de terminaison ne permet pas le routage / pont à travers lui.

Il ne reste plus qu’un moyen de valider que la technologie de chiffrement du point de terminaison est uniquement ce que vous avez fourni et non piraté.

Un exemple - PAS UNE APPROBATION - de disponible solutions comprend http://juniper.net/us/en/solutions/enterprise/security-compliance/…

La solution la plus radicale pour atténuer ce type de risque est d'éloigner le réseau de l'utilisateur en implémentant VDI / Thin Client (Bienvenue à l'ère du mainframe :-)). Combiné avec d'autres fonctions de sécurité, cela devrait reléguer le problème à l'accès à distance.

Si cela n'est pas pratique, il est préférable d'avoir un système qui détecte l'insertion de type de périphérique USB et déclenche silencieusement une alerte à l'équipe de sécurité plutôt que de bloquer Périphérique USB, car l'utilisateur trouvera un autre moyen d'obtenir ce dont il a besoin contre lequel vous ne serez peut-être pas protégé (par exemple, apportez son routeur sans fil domestique et branchez-le à votre réseau si vous n'avez pas d'authentification).

Comme cela a été mentionné, l'engagement des utilisateurs est la meilleure solution ici. Pourtant, il convient de mentionner que dans certaines situations, vous ne voudrez peut-être absolument pas qu'un wifi soit activé sur votre réseau.

Une solution possible non mentionnée ici. Si vous travaillez dans un bureau de haute sécurité. Là où le wifi a été considéré comme un risque élevé.

Vous pouvez configurer une liste d'accès restreint basée sur les adresses mac des cartes réseau des appareils / postes de travail qui autorisent spécifiquement l'accès sur ce réseau. Cela peut demander beaucoup de travail, avoir à obtenir l'adresse mac de chaque appareil qui a besoin d'un accès sur votre système.

Il existe encore des moyens de contourner ce problème en usurpant l'adresse Mac d'un autre poste de travail pour autoriser un appareil inconnu sur le réseau. Cela demande encore des compétences et un savoir-faire. La plupart des appareils Wifi n'ont pas la possibilité d'usurper une adresse mac à moins que vous ne sachiez comment modifier le micrologiciel de l'appareil et que vous soyez à l'aise avec la configuration des appareils au niveau de la ligne de commande.

De nombreuses universités définissent un accès réseau par adresse mac. Avant de pouvoir accéder à Internet, vous devez entrer l'adresse Mac de votre ordinateur sur un site d'enregistrement. Cela relie votre compte d'utilisateur système à l'adresse Mac de votre ordinateur. Vous avez besoin des deux pour pouvoir accéder au réseau et à Internet. Ce lien explique comment cela fonctionne. http://netreg.sourceforge.net/SysAdmin/

Vous pouvez le faire au niveau DHCP, où l'adresse IP est attribuée sur le réseau. Pas d'adresse IP pas d'accès sur le réseau

http://www.yolinux.com/TUTORIALS/DHCP-Server.html

Vous pouvez également faire ceci au niveau du pare-feu, qui est beaucoup plus sécurisé.

http://www.cyberciti.biz/tips/iptables-mac-address-filtering.html

Comme je l'ai dit, ce n'est pas une preuve complète car tout organisme disposant de suffisamment de temps et d'efforts peut contourner tout type de sécurité. Plus précisément via l'usurpation d'identité Mac.

Je suppose que j'ai une solution complètement différente.
One Single Sentence:
Accès Internet via un VPN qui n'autorise qu'une seule session par utilisateur.