Niektórzy dzielą urządzenia nieautoryzowane na tzw. białe i czarne. Białe to punkty dostępowe, które nie działają w naszej sieci korporacyjnej, ale np. w sąsiedniej firmie za ścianą. Czarne to takie, które pełnią funkcję bridge'a pomiędzy uprawnionymi punktami dostępu do sieci (np. podłączone "na dziko" access pointy).

Należy mieć świadomość, że w zależności od klasy (typ enterprise lub SOHO), urządzenie bezprzewodowe po podłączeniu do sieci może zgłaszać swoją obecność lub nie. Taką funkcjonalność posiadają tylko rozwiązania klasy enterprise i to tylko wówczas, jeżeli nie zostały wyłączone funkcje raportujące. Wykrycie urządzeń SOHO może więc nie być możliwe z poziomu sieci przewodowej.

Polowanie na RAP

Jakie więc techniki wykorzystywane są do detekcji RAP? Można je podzielić na trzy podstawowe grupy. Pierwsza opiera się na monitorowaniu sieci przewodowej. Jeżeli urządzenie zostanie wykryte, system ściśle współpracując z zarządzanym przełącznikiem może zwyczajnie zamknąć port. Niektóre rozwiązania potrafią także współpracować z systemami zarządzania siecią i do nich kierować polecenia (taka współpraca jest możliwa np. pomiędzy Cisco WLSE i AirDefense).

Monitoring sieci przewodowej nie zawsze jest skuteczny - opiera się na analizowaniu takich informacji, jak komunikaty SNMP czy adresy MAC (BSSID). Jeżeli więc na przykład urządzenie ma wyłączone (lub po prostu nie obsługuje) SNMP, a jego MAC został podmieniony, wówczas monitorowanie sieci przewodowej będzie nieskuteczne.

Druga technika polega na wykorzystaniu funkcjonalności wbudowanych w niektóre access pointy polegającej na wykrywaniu przez nie urządzeń bezprzewodowych w swoim sąsiedztwie i przekazywaniu o nich podstawowych informacji. Technika ta jest skuteczna pod jednym warunkiem - posiadanie odpowiednich punktów dostępowych w takiej liczbie, która zapewni objęcie swoim zasięgiem cały obszar naszej sieci.

Wreszcie trzecia technika to skanowanie fal radiowych. Realizowana jest ona w różnoraki sposób - najczęściej poprzez rozmieszczenie w różnych punktach sieci specjalizowanych czujek, które w połączeniu z centralnym systemem zarządzania będą stale raportować o wykrytych nieprawidłowościach. Odpowiednio rozmieszczone czujki dzięki triangulacji pozwalają także na dosyć dokładne określenie miejsca, w którym znajduje się nieuprawnione urządzenie.

Do wyszukiwania nieautoryzowanych punktów dostępowych oraz stacji klienckich nadają się nie tylko systemy scentralizowane z rozproszonymi sensorami, ale również stanowiska przenośne - np. laptop czy PDA + dobra karta WLAN (z możliwością podłączenia anteny o raczej niskim uzysku) + odpowiednie oprogramowanie (zarówno open source, jak i komercyjne) lub dedykowane urządzenia (np. Fluke OptiView III czy AirMagnet Handheld Analyzer). Wykorzystuje się także analizatory widma, które coraz częściej nie są oddzielnymi produktami, a uzupełniają rozwiązania już istniejące. Dzięki nim możliwe jest wykrycie np. ataków DoS w warstwie pierwszej. Znalezienie nieautoryzowanego urządzenia to nie wszystko. Trzeba je jakoś zablokować. Jak to zrobić? Najprościej, jak już wspomnieliśmy, zamykając port na switchu, do którego jest podpięte.

A co, jeżeli nie jest podłączone do naszej sieci? Wówczas można posłużyć się mniej lub bardziej brutalnymi metodami. Można chociażby rozpocząć transmisję strumienia pakietów oduwierzytelniających skierowanych bądź na adres MAC urządzenia, bądź na adres rozgłoszeniowy punktu dostępowego. Można więc odciąć albo konkretne "złe" stacje, albo wszystkich. Ten drugi sposób powinien być stosowany z zachowaniem dużej ostrożności, bo - choć skuteczniejszy - jeżeli zostanie skierowany przeciwko błędnie wybranemu celowi, może niechcący odciąć punkt dostępowy sąsiada.

Stosuje się także technikę zbliżoną do tej, na którą opierają się honeypoty. Polega ona na "przyciąganiu" uwagi nieuprawnionych urządzeń do tego stopnia, że nie będą one próbowały komunikować się z żadnym innym urządzeniem czy klientem. Jest stosowana z powodzeniem przy likwidowaniu sieci typu ad hoc. Tutaj sensor po prostu udaje drugą stację.

Jeżeli wszystko inne zawiedzie, a zagrożenie jest znaczne, można skorzystać z funkcji tzw. jammera, a więc wygenerować zakłócenia na określonej częstotliwości, które bardzo skutecznie odetną jakąkolwiek (niestety, także prawidłową) komunikację.

A co w przypadku "wrogich" stacji klienckich? Metod ich wykrywania jest również co najmniej kilka. Detekcja polega głównie na analizowania ruchu, które generują. Typowym przejawem "wrogości" danej stacji jest sytuacja, w której klient nie jest powiązany z żadnym punktem dostępowym, a mimo to wysyła pakiety (przede wszystkim rozgłoszeniowe, prośby o połączenie i odłączenie itp.). Innym objawem jest próba podłączania się do punktu dostępowego, wskazując jako jego SSID string "any". Niektóre, źle skonfigurowane punkty dostępowe w takiej sytuacji pozwalają klientowi na podłączenie. Innym sposobem wykrywania wrogich stacji jest stosowanie whitelistingu - a więc określanie np. na podstawie adresów MAC, producentów kart bezprzewodowych czy SSID dozwolonych urządzeń. Pozostałe są blokowane, a odpowiedni raport wysyłany do administratora.