PCI DSS и беспроводные сети

В очередной раз воник вопрос о PCI DSS и беспроводных сетях

http://www.securityfocus.com/archive/137/507096

But how can we determine if this rogue AP and especially rogue wireless
clients (WLAN card into a back office server)
are inside CDE? By signal level? But Kismet shows this information only
for APs (not for clients) :(

Я уже отвечал на этот вопрос на сайте информзащиты, повторюсь.


>как узнать, что беспроводная точка с включенным шифрованием принадлежит к нашей локальной сети?


Принадлежность точки может вычисляться различными способами. Самый простой - по трафику, "летающему" в воздухе. Даже есть точка использует нормальное шифрование (не WEP), то в открытом виде передается достаточное количество информации для идентификации сегмента. Например - mac адреса отправителя. Поскольку точка доступа является устройством канального уровня, она будет ретранслировать все широковещательные запросы сегмента "в воздух". А поскольку в сети таких запросов достаточно много (ARP, NetBIOS, IPv6 и т.д.), то сравнив MAC-адреса отправителей пакетов через точку со списком известных MAC-адресов своей сети можно легко идентифицировать место, куда включена точка. Дополнительно можно спровоцировать отправку большого количества широковещательных пакетов в сегменте с помощью утилит, реализующих ARP-ping, таких как Cain или nmap. А бегать с антенной за каждым beacon - задача не для слабонервных.

>А где можно почитать про технологию поиска точек методом
>триангуляции и какую лучше антенну использовать?

Параболические или Yagi антенны для диапазона 2,4 достаточно громоздки, в связи с чем комфортней использовать панельные варианты, не смотря на меньшую направленность и чувствительность к отраженному сигналу.

http://www.wifilab.ru/catalogue/catalogue.php?cat_id=51

Крайне рекомендую мою книгу ;)

http://www.techbook.ru/gordejchik.html


>А если это действительно правильно сконфигурированая точка WPA2+hidden+MAC
> filter. Долго придется искать пока не будет активности.

Такая точка подключенная к сети все равно "фонит":
- рассылает beacon (пусть и с пустыми ESSID)
- транслирует broadcasts и multicast с Mac-адресами источника в открытом виде

Трудно представить себе сеть без широковещательных запросов. А о том как по ним идентифицировать местоположение точки доступа я писал ранее.

>Определение клиентов, подключающимся к внешним точкам доступа

Клиентов, санкционировано подключающихся к "внешним" точкам доступа можно определять с помощью активных средств оценки защищенности. Например в MaxPatrol есть три механизма, позволяющие решать эту задачу: - инвентаризация, в рамках которой анализируются настройки беспроводных клиентов Windows - оценка защищенности, в рамка которой проводится анализ небезопасных конфигураций (например, multihomed, отсутствие шифрование, использование WEP) - контроль соответствия (compliance), позволяющий указывать черные и белые списки точек доступа, разрешенных в сети.

Путем мониторинга беспроводной сети, но для этого надо предварительно составить список "своих" MAC-адресов. Можно это сделать активными средствами (см выше) или пассивными (см. ниже).

>Как понять, твои ли это пользователи?


Немного об этом писал здесь.

Но в любом случае, рабочая станция (особенно под управлением Windows) рассылает очень много интересного трафика, по которому можно определить принадлежность к сети. Это и NetBIOS Broadcast и запросы WPAD и DHCP-запросы в которых передается имя узла и домена...

Остается открытым вопрос - как спровоцировать на отправку данного трафика? Тут нам на помощь приходит Gnivirdraw.

>Активные сканеры нам не помогут!!!

Конечно, полезно иногда пробежаться с ноутбуком :). Но сканеры вполне могут помочь решить следующие задачи:

- инвентаризация (fingerprint) в режиме pentest сетевых устройств (в том числе и AP).
- инвентаризация настроек беспроводных клиентов (MAC-адресов, списков сетей)
- анализ конфигурации точек доступа
- анализ журналов беспроводных устройств с точки зрения "нехороших" событий