O termo "AP não autorizado" pode significar qualquer AP que seu departamento de TI não deseja operar no alcance de suas instalações, por qualquer motivo. Eles podem ou não estar publicando o SSID corporativo ou estar conectados à rede corporativa. Pode haver muitas coisas diferentes que poderiam ser chamadas de "APs invasores". Aqui estão três grandes categorias nas quais a maioria dos "APs rogue" se enquadram:
- Alguns invasores criam um impostor AP que publica o mesmo SSID que o AP corporativo, esperando que os clientes corporativos participem dele para que o invasor possa bisbilhotar o tráfego e talvez roubar credenciais. Ou talvez apenas como uma espécie de ataque DoS. Mesmo que o SSID corporativo geralmente use uma segurança strong, você pode se surpreender com a quantidade de dispositivos clientes que, por padrão, permitirão que você chegue ao mesmo SSID com menor ou nenhuma segurança se o AP que você está tentando entrar permitir. Na verdade, pode ser um pouco incômodo configurar alguns dispositivos clientes para que eles insista em uma segurança strong para um determinado SSID e se recusem a participar desse SSID sem criptografia. Esse tipo de AP não autorizado pode ou não estar conectado à rede corporativa. Portanto, para responder à sua pergunta 1, é provavelmente mais fácil do que se imagina fazer com que os clientes (especialmente clientes operados por usuários inconscientes) participem de um SSID sem criptografia, mesmo que tenham usado criptografia anteriormente para esse SSID.
- Alguns funcionários (ou invasores) configuram um AP, com qualquer SSID ou configuração de segurança, conectados à LAN Ethernet com fio corporativa , por qualquer motivo. Às vezes, os funcionários fazem isso porque querem uma cobertura Wi-Fi melhor em seu escritório, ou não gostam de ter que lidar com a autenticação 802.1X (WPA2-Enterprise) ou têm algum dispositivo móvel que desejam colocar na rede, mas A política de TI impede que eles sejam conectados ao SSID corporativo. E é claro que os invasores podem configurar isso para dar a eles uma porta dos fundos para a rede corporativa, porque as LANs de escritórios corporativos geralmente são mais confiáveis e menos bem monitoradas do que as conexões com a Internet. Portanto, em resposta à sua pergunta # 2, Sim, as pessoas configuram isso para que os clientes do AP não autorizado possam acessar a LAN Ethernet do escritório e parecerem com qualquer outro PC do escritório e possam se conectar a máquinas e sistemas corporativos internos sem serem detectados como intrusões.
- Alguém dentro de suas instalações (prédio / campus) opera, digamos, um ponto de acesso móvel MiFi por seus próprios motivos. Ele não publica o SSID corporativo nem se conecta à LAN corporativa, mas acaba competindo por tempo de antena em um determinado canal com um AP corporativo próximo. Este é o exemplo menos nocivo e mais mundano de um PA que seu departamento de TI não quer ver operando dentro de suas instalações, mas alguns departamentos de TI ainda os considerarão trapaceiros e tentarão fazer contramedidas eletrônicas contra eles (como enviar 802.11 forjados). (autentique os pacotes para todos os clientes) ou tente localizá-los por meio da intensidade do sinal e faça com que eles sejam desligados e, possivelmente, busque ações corretivas contra o funcionário.