вторник, 27 января 2009 г.

Резвые пользователи WiFi

Недавно в форуме всплыла ситуация, которая периодически встречается в ходе работ по оценке защищенности - "резвые" пользователи корпоративных сетей используют окружающие точки доступа для выхода в Internet "в обход" корпоративных средств защиты.
Т.е. гонят свой (а подчас и корпоративный) трафик "по воздуху" без всяких там шифрований, МСЭ, антивирусов и других условностей. А что они при этом могут "слить" из сети, прикинувшись "инсайдером", так просто страшно становится. Я уж не говорю про ситуации, когда об таких пользователях узнает "аутсайдер"...

Цитирую:
1 2
Доброго времени суток. Руководством компании поставлена задача выявить Wi-fi подключение сотрудника(ов) компании к точке доступа которая ориентировочно находится в соседнем здании. В крайнем случае просто закрыть этот канал утечки. Глушить весь диапазон не предлагать, поставлено условие: мобильники должны работать.
ЗЫ. Уважаемые коллеги, заранее прошу не уходить от темы типа: "все равно есть кпк... коммуникаторы..." и все такое. Конкретно про wi-fi!
Как решить проблему?

Мой ответ:
offtopic
Простой вариант - ноутбук с Linux с достаточно мощной антенной, лучше направленной, например http://www.antennas.spb.ru/pdf/2_rus.pdf.
Для выявления и "подавления" своих нерадивых сотрудников используется комплект программ aircrack-ng.
С помощью airodump-ng составляется список "нерадивых" пользователей, цепляющихся к злобной точке доступа. Туда-же можно добавлять и MAC-адреса, полученные в процессе инвентаризации сети.
А с помощью aireplay-ng рвутся коннекты своих клиентов к злобной точке доступа.
Вот и все. Можно конечно все это автоматизировать с помощью пары скриптов.
Более грубый вариант - просто слать broadcast deauthentication для точки доступа, но это имхо - перебор. Не подгадаешь с зоной покрытия - и будешь посторонних людей от сети отключать.

Можно купить коммерческую систему WIDS, например Airmagnet, или задействовать фичи Aironet. В них присутствуют возможности по "отключению" нелегитимных соединений. Но задачу инвентаризации (т.е. составления списка "своих" MAC-адресов) они не отменяют.

ЗЫ. Есть хороша книжка, касающаяся этих вопросов:
http://www.securitylab.ru/news/306357.php

Здесь хорошо всплавает основна систем обнаружения беспроводных атак (WIDS), а именно - аномальный подход. Ограниченные канальным уровнем, WIDS, как правило, содержит небольшое количество сигнатур. Настоящая работа таких систем начинается только после правильной настройки - создания черных и белых списков точек доступа и клиентов, привязка источников сигнала к карте, указания "правильных" протоколов и т.д. А в основе этого - инвентаризация, как базис любых процессов ИБ.

Комментариев нет: