Резвые пользователи WiFi

Недавно в форуме всплыла ситуация, которая периодически встречается в ходе работ по оценке защищенности - "резвые" пользователи корпоративных сетей используют окружающие точки доступа для выхода в Internet "в обход" корпоративных средств защиты. Т.е. гонят свой (а подчас и корпоративный) трафик "по воздуху" без всяких там шифрований, МСЭ, антивирусов и других условностей. А что они при этом могут "слить" из сети, прикинувшись "инсайдером", так просто страшно становится. Я уж не говорю про ситуации, когда об таких пользователях узнает "аутсайдер"... Цитирую: 1 2 Доброго времени суток. Руководством компании поставлена задача выявить Wi-fi подключение сотрудника(ов) компании к точке доступа которая ориентировочно находится в соседнем здании. В крайнем случае просто закрыть этот канал утечки. Глушить весь диапазон не предлагать, поставлено условие: мобильники должны работать. ЗЫ. Уважаемые коллеги, заранее прошу не уходить от темы типа: "все равно есть кпк... коммуникаторы..." и все такое. Конкретно про wi-fi! Как решить проблему? Мой ответ: offtopic Простой вариант - ноутбук с Linux с достаточно мощной антенной, лучше направленной, например http://www.antennas.spb.ru/pdf/2_rus.pdf . Для выявления и "подавления" своих нерадивых сотрудников используется комплект программ aircrack-ng . С помощью airodump-ng составляется список "нерадивых" пользователей, цепляющихся к злобной точке доступа. Туда-же можно добавлять и MAC-адреса, полученные в процессе инвентаризации сети. А с помощью aireplay-ng рвутся коннекты своих клиентов к злобной точке доступа. Вот и все. Можно конечно все это автоматизировать с помощью пары скриптов. Более грубый вариант - просто слать broadcast deauthentication для точки доступа, но это имхо - перебор. Не подгадаешь с зоной покрытия - и будешь посторонних людей от сети отключать. Можно купить коммерческую систему WIDS, например Airmagnet , или задействовать фичи Aironet. В них присутствуют возможности по "отключению" нелегитимных соединений. Но задачу инвентаризации (т.е. составления списка "своих" MAC-адресов) они не отменяют. ЗЫ. Есть хороша книжка, касающаяся этих вопросов: http://www.securitylab.ru/news/306357.php Здесь хорошо всплавает основна систем обнаружения беспроводных атак (WIDS), а именно - аномальный подход. Ограниченные канальным уровнем, WIDS, как правило, содержит небольшое количество сигнатур. Настоящая работа таких систем начинается только после правильной настройки - создания черных и белых списков точек доступа и клиентов, привязка источников сигнала к карте, указания "правильных" протоколов и т.д. А в основе этого - инвентаризация, как базис любых процессов ИБ.