PCI DSS и беспроводные сети

В очередной раз воник вопрос о PCI DSS и беспроводных сетях http://www.securityfocus.com/archive/137/507096 But how can we determine if this rogue AP and especially rogue wireless clients (WLAN card into a back office server) are inside CDE? By signal level? But Kismet shows this information only for APs (not for clients) :( Я уже отвечал на этот вопрос на сайте информзащиты , повторюсь. >как узнать, что беспроводная точка с включенным шифрованием принадлежит к нашей локальной сети? Принадлежность точки может вычисляться различными способами. Самый простой - по трафику, "летающему" в воздухе. Даже есть точка использует нормальное шифрование (не WEP), то в открытом виде передается достаточное количество информации для идентификации сегмента. Например - mac адреса отправителя. Поскольку точка доступа является устройством канального уровня, она будет ретранслировать все широковещательные запросы сегмента "в воздух". А поскольку в сети таких запросов достаточно много (ARP, NetBIOS, IPv6 и т.д.), то сравнив MAC-адреса отправителей пакетов через точку со списком известных MAC-адресов своей сети можно легко идентифицировать место, куда включена точка. Дополнительно можно спровоцировать отправку большого количества широковещательных пакетов в сегменте с помощью утилит, реализующих ARP-ping, таких как Cain или nmap. А бегать с антенной за каждым beacon - задача не для слабонервных. >А где можно почитать про технологию поиска точек методом >триангуляции и какую лучше антенну использовать? Параболические или Yagi антенны для диапазона 2,4 достаточно громоздки, в связи с чем комфортней использовать панельные варианты, не смотря на меньшую направленность и чувствительность к отраженному сигналу. http://www.wifilab.ru/catalogue/catalogue.php?cat_id=51 Крайне рекомендую мою книгу ;) http://www.techbook.ru/gordejchik.html >А если это действительно правильно сконфигурированая точка WPA2+hidden+MAC > filter. Долго придется искать пока не будет активности. Такая точка подключенная к сети все равно "фонит": - рассылает beacon (пусть и с пустыми ESSID) - транслирует broadcasts и multicast с Mac-адресами источника в открытом виде Трудно представить себе сеть без широковещательных запросов. А о том как по ним идентифицировать местоположение точки доступа я писал ранее. >Определение клиентов, подключающимся к внешним точкам доступа Клиентов, санкционировано подключающихся к "внешним" точкам доступа можно определять с помощью активных средств оценки защищенности. Например в MaxPatrol есть три механизма, позволяющие решать эту задачу: - инвентаризация, в рамках которой анализируются настройки беспроводных клиентов Windows - оценка защищенности, в рамка которой проводится анализ небезопасных конфигураций (например, multihomed, отсутствие шифрование, использование WEP) - контроль соответствия (compliance), позволяющий указывать черные и белые списки точек доступа, разрешенных в сети. Путем мониторинга беспроводной сети, но для этого надо предварительно составить список "своих" MAC-адресов. Можно это сделать активными средствами (см выше) или пассивными (см. ниже). >Как понять, твои ли это пользователи? Немного об этом писал здесь . Но в любом случае, рабочая станция (особенно под управлением Windows) рассылает очень много интересного трафика, по которому можно определить принадлежность к сети. Это и NetBIOS Broadcast и запросы WPAD и DHCP-запросы в которых передается имя узла и домена... Остается открытым вопрос - как спровоцировать на отправку данного трафика? Тут нам на помощь приходит Gnivirdraw . >Активные сканеры нам не помогут!!! Конечно, полезно иногда пробежаться с ноутбуком :). Но сканеры вполне могут помочь решить следующие задачи: - инвентаризация (fingerprint) в режиме pentest сетевых устройств (в том числе и AP). - инвентаризация настроек беспроводных клиентов (MAC-адресов, списков сетей) - анализ конфигурации точек доступа - анализ журналов беспроводных устройств с точки зрения "нехороших" событий