?
Вообще-то моя рецензия на статью перед публикацией была крайне положительна.
Что касается сути - то четко обозначена но оставлена в стороне проблема оценки эффективности службы ИБ. Я понимаю, что это большая головная боль для всех. Предлагаемый автором вариант оценки общей прибыли после принятия каких-то конкретных мер видится мне абсолюно неработоспособным, хотя бы потому, что за исключением катострофических рисков напрямую ИБ влияет на бизнес крайне редко. Чтобы бац - и за полгода все прокисло после того, как...  См. в смежной теме о CISO пример про сотовых операторов.
Вариант с "всех под роспись" и "месяц к компу не пущать" мил сердцу любого военного, но в реальном мире просто не работоспособен. Бизнесу нужен выхлоп от работника.
Если честно, я придерживаюсь мнения, что обучение пользователей должно заканчиватся их должностными обязанностями, ну и элементарными запретами. А рассматривать обучние как серьезную контролю - не стоит. Если только денег на технические средства нет (например - на админитратора который квоты на почтовом сервере настроит).
Иначе мы попадаем в бесконечный круг "блэклистов": не делай того, не делай того, не делай того.
Это ИМХО исключительно.

Что касается "инсайдеров" и "аутсайдеров" - я не вижу в современной ситуации разделять эти две группы в модели злоумышленника. В чем по сути разница? Только в том что на "инсайдера" накинута дополнительная "контроля" в виде договора?
Человек, уволившийся из компании и тянующий документы через VPN доступ к которому не закрыт - инсайдер или аудсадер (не путать с лузером ? Или инсайдер - администратор, забывший удалить учетную запись?

Он же не входит в стандарт, не так ли?

Например - Best Practice. Упомянутый тобой 27001 - это организационные вопросы, система управления информационной безопасностью.
Как конкретно должна быть реализована настройка межсетевого экрана в 27001 не написано. и в 17999 тоже. Но в ходе аудита это тоже проверяется. На соотвествие чему? Бест практис и зравый смысл...
Сейчас некоторые из продвинутых компаний, которым комплаенс не очень, нужен вышли на второй, цивилизованный уровень аудита, когда в качестве базы используется ИХ нормативка (требования, инструкции и т.д.). Естественно это работает если нормативка корректна. Но тенденция меня радует.

BG - ORiNOCO® Gold (8470-WD)

А вообще - настоятельно советую ABG, например
SRC Cardbus 802.11a/b/g

Приветсвую.
Возможно, происходит ложное срабатывание на код одной из проверок, работающих по принципу "эксплойта". Проверим, свяжемся с Диалог-Наука, разберемся.

Вы собственно сами ответили на свой вопрос. Один из сенсоров WIDS обычно делается мобильным (например, на базе AirMagnet Laptop Analyzer), чтобы можно было с ним и направленными антеннами выполнять задачи, где сенсоры дают сбой.

Что касается систем позиционирования источника сигнала с всенаправленными антеннами - действительно, они рассчитаны на дипольные антенны (см. http://www.securitylab.ru/foоrum/read.php?PAGEN_1=5&FID=22&TID=4659#nav_start), и используя направленный сигнал, их можно обмануть. Но у меня получалось это сделать в лабораторных условиях, используя две антенны с диаграммой направленности около 8 градусов. Для полевых условий это вряд ли подойдет.

А про DoS - микроволновка
http://www.biznix.org/articles/wirelessdos.html

Точки доступа какие?
Механимз защиты (WPA/WPA2)?
Протокол аутентификации?
Клиенты на чем?

ЗЫ. Вообще-то виндузятный клиент и так по сетям с одним SSID нормально скачет, даже если точки доступа не шарят аутентификационную информацию. Чуть подольше только перескакивают с точки на точку. Лучше не отключать SSID Broadcast, чтобы пассивное сканирование по Beacon работало и они всегда были в курсе о том, какие точки доступа рядом. Ну и естественно - точки доступа должны быть в одном бродкастном домене - иначе Mobile IP, кто такой сам не знаю, но звучит круто

ЗЗЫ. Ключевые слова для гугла: wireless seamless roaming

ЗЗЗЫ. Если циско - то Fast Secure Roaming

Это общая болезнь практически всех беспроводных провайдеров.
И что самое плохое - люди не осознают, что подключаясь к "халявной" точке доступа они на всю округу рассылают свое секретное расписание кормление хомячков.
И как показывает один из моих последниъ "заездов" - ситуация не улучшается.

http://www.securitylab.ru/analytics/270874.php

Ага. Так я и представляю сотрудников провайдера врывающихся в квартиру к злому хакеру.

Я бы порекомендовал не "давать в бубен", а использовать средства разграничения доступа, которые не ограничиваются IP-адресом, например технологии VPN

а зачем?
где располагаются клиенты?

Скорее да. Но я не могу представить с какими целями эту функцию может использовать провайдер.

Если вы подробнее опишите свои задачи - возможно что-то подскажу.

Все это действительно имеет место быть, и с помощью направленной антены данное средство защиты можно обойти.
Для снижения погрешности используются следующие техники:
- предварительная юстировка (в терминологии Cisco RF Fingerprint) с помощью замеров эталонного сигнала в контрольных точках помещения;
- постоянная подстройка по уровню сигнала точек доступа.

Во втором случае на карту помещения наносятся точки доступа и сенсоры WIDS и сенсоры на основе уровня сигнала, знания о мощности передатчиков точек доступа и их месторасположении вносят поправки в свою картину мира.

Реально - если сигнал ловится несколькими сенсорами - то погрешность несколько метров.

Для этого достаточно ознакомиться с современными системами обнаружения беспроводных атак. Определение mac-address spoofing по изменению sequence number в заголовках канального уровня 802.11 – одна из первых сигнатур для WIDS. Кроме того – большинство WIDS имеют возможность определять местоположение передатчика, и таким образом могут понять, что в сети сейчас находится две станции с одинаковыми характеристиками. Более того – они даже могут «отключать» от сети станции пытающиеся работать из-за пределов защищаемого здания.



Та же триангуляция помогает найти плохого парня, и объяснить ему с помощью дипольной антенны на 12 дБ почем фунт лиха. Если, конечно, он не спрятался за 5ть километров от атакуемой сети с параболой на 24 дБи .
Гораздо больше проблем с атаками на физическом уровне – теми же пресловутыми микроволновыми печами. Поскольку большинство WIDS работают на канальном уровне – они будут расценивать такую атаку просто как шум.


Отнюдь… Отнюдь…

К сожалению, количество посредников не уменьшает, а увеличивает количество возможных ошибок. В стандартных Web-приложениях между злоумышленником и СУБД находится один или два посредника, но это не мешает 6% серверов быть уязвимым для этой проблемы.


Куда входят, например, URL для протокола HTTP или SSID сети 802.11x…


У большинства WIDS сенсоры имею как минимум 2 интерфейса. Один проводной, другой беспроводной. И если атака идет через беспроводной и тот «падает» в результате атаки, то «взломанный» сенсор вполне может установить соединение с узлом злоумышленника в Интернет через проводную сеть. Конечно, в идеальном мире сенсоры не должны иметь доступа к внешним сетям, но наш мир далек от идеала.


Я теряюсь. По-моему в статье нет ни слова о honeypot.



Уверяю Вас, более чем практическая. И немного даже обескуражила автора, когда он эту возможность обнаружил. Что касается подбора запроса – дело в том, что в отличии от Web-приложений, которых множество, систем обнаружения беспроводных атак не так уж и много. Например, в России вряд ли придется столкнуться в ближайшее время с чем-либо кроме Cisco или AirMagnet. И если злоумышленник имеет возможность определить тип WIDS – то он прекрасно знает, какие запросы можно использовать для её компрометации.
По поводу определения типа WIDS есть ряд неплохих работ, ссылка на одну из которых приведена в статье (Joshua Wright, «Weaknesses in Wireless LAN Session Containment»).

Не время, но уровень сигнала.



Точки доступа всегда излучаю беконы.
Клиенты - рассылают Probe Request, так что их тоже можно "засечь".

А так?

http://www.google.ru/search?hl=ru&q=getieee&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=

Привет.
Это нормально.
Если взять стандартный 802.11g, то базовая цифра - 54 Мбит/c.
Её мы делим на два (потери за счет метода доступа CSMA/CA) и получаеи 27 МБит/c.
Делим ещё на 10 (мегабиты в мегабайты), получаем 2,7 МБайта в секуду.
Ну и плюс, учитывая то, что пакет сначала идет от одного клиента к точке доступа а потом от точки доступа ко второму клиенту - 2,7/2 = 1,25 МБайт/c.


Отключение режима совместимости с 802.11b (g only) и выбор свободного канала (по мантре 1-6-11) может дать полуторный прирост производительности.

Вот такие пироги

В Windows проблема не с "тулзами" а с драйверами.
Для генерации пакетов, нужен соотвествующий драйвер. Они обычно входят в поставку сетевых анализаторов, например commview for wifi

Через GPO создать пустую политику подключения. Или логонскриптами.http://technet2.microsoft.com/WindowsServer/en/library/e68f8796-b380-4f41-b736-027de55ded831033.mspx?mfr=true

А как назвать "хакера" для которого обязателен опыт взломов, а знание сетевых протоколов только