Wifi kill
-
галочка Enable Static ARP entries ?
http://www.thin.kiev.ua/router-os/50-pfsense/571-service.html
по ходу арп не поможет ни разу…умный школьнег пропишет настройки интерфейса ручками....
Придется видимо прописывать белые макадреса во всех точках доступа....И то это ничо не гарантирует...Кто ему помешает мак подменить...Блин чо делать то? -
подменить…Блин чо делать то?
Прикольная софтина. Я вчера тестил. Эдак можно любого админа задрочить, отключая у шефа сеть. Отключил включил, 5 раз. И уволили ненавистного админа, забанившего соц. сети.
-
А правда, что делать, если кто-то себе такую прогу поставить, как защититься, как найти человека?
Счастье в неведении!
Перехват аккаунтов пользователей в Wi-Fi-сетях
http://www.thin.kiev.ua/android-kat/752-wi-fi-android.htmlТолько ответ на вопрос остался без ответа.
-
Только ответ на вопрос остался без ответа.
На какой из них? Защитится - см выше про изолированный режим. Про 'найти' - тут список возможных вариантов достаточно широк.
-
см выше про изолированный режим.
Изолированный режим у D-link зовется WLAN Partition
Но на моей древней dwl-2100ap это не работет.
-
см выше про изолированный режим.
Изолированный режим у D-link зовется WLAN Partition
Но на моей древней dwl-2100ap это не работет.
Обновлением прошивки не лечится? Тогда коллекционируйте камни и кирпичи - юзеров отстреливать.
-
Есть вариант залить туда Openwrt (сборка от Kamikaze). Но там только консоль вроде, т.е. веб-морды нет :(
http://wiki.openwrt.org/toh/d-link/dwl-2100ap#install.openwrt
http://forum.nag.ru/forum/index.php?showtopic=43098
https://forum.openwrt.org/viewtopic.php?id=16286
https://forum.openwrt.org/viewtopic.php?pid=61015
http://www.lan23.ru/forum/showthread.php?t=1102P.s. Если есть возможность - приобретайте тот же Asus RT-N12 C1. Заливайте туда Tomato от Shibby. Недорого и ооооочень широкие возможности открываются (en.wikipedia.org/wiki/Tomato_(firmware) ).
Хе-хе, а еще китайцы Tomato 4 WAN недавно начали докручивать :) -
Есть вариант залить туда Openwrt (сборка от Kamikaze).
Я не топик постер. Просто потестил на своей точке доступа. Альтернативные прошивки смотрел - почти все они для роутеров.
P.s. Если есть возможность - приобретайте тот же Asus RT-N12 C1. Заливайте туда Tomato от Shibby.
Не факт.
И изолированный режим может не помочь, так как софтина сканирует и блокирует все найденные IP в подсети. Как проводные, так и беспроводные подключения. -
2 dr.gopher
Как я понимаю, этот т.н. "изолированный режим" - это засовывание каждого подключающегося клиента в отдельный VLAN. Если неправ - поправьте. -
Как я понимаю, этот т.н. "изолированный режим" - это засовывание каждого подключающегося клиента в отдельный VLAN.
Без понятия как оно работает. Протестил на DDWRT.
dvserg как всегда оказался прав.После включения Advanced Wireless Settings -> AP Isolation
WIFIKILL перестал видеть остальные точки доступа.
Но видит и блокирует все компы подключенные по ethernet.
-
Блин чо делать то?
Организуйте отдельный роутер с wifi, с прошивкой DDWRT (отдельную подсеть) для школьников. Включите Advanced Wireless Settings -> AP Isolation.
-
Понимаю что вопрос совершенно не по теме и с пониманием отнесусь к любым действиям модераторов.
Просто как то не знаю особо других форумов по тематике.В школе где пытаюсь админить сегодня произошел казус. Один умный школнег с помощью телефона на андройде и приложения wifi kill положил нафиг всю сеть….
Вот сидим пытаемся придумать решение какое то...Может кто знает в какую сторону копать ?
Начнем с начала.
У вас железка как ТД работает, правильно ? И подключена в один из портов pfsense или же в общий свитч , куда подключен LAN pfsense? Если в свитч , то попробуйте перевоткнуть вашу 1150 в отдельный порт на pfsense. Естественно, что адреса для ви-фи клиентов должны выдаваться pf-ом и из подсети\сети ОТЛИЧНОЙ от вашей LAN. Это будет возможно, после активации интерфейса , куда напрямую будет воткнута 1150.
Затем в настройках fw для LAN и для нового интерфейса запретить\разрешить все что вам нужно. Как вариант, засунуть этот новый интерфейс в отдельный VLAN - тогда из него доступ в LAN вообще пропадет.P.s. По Tomato . Вот ссылки по организации отдельной (guest) сети для клиентов ви-фи:
1. http://www.myopenrouter.com/forum/thread/36384/WNR3500Lv2-tomato-and-multiple-SSID/ - последний пост от Subhra
2. http://www.linksysinfo.org/index.php?threads/possible-to-put-wifi-on-separate-dhcp-range-than-wired.34131/ - пост от TexasFlood с кучей ссылок
3. http://www.seiichiro0185.org/blog:creating_a_seperate_guest_network_with_tomato
4. http://www.linksysinfo.org/index.php?attachments/separate_wlan_from_lan_with_own_subnet_and_dhcp_server-pdf.1142/
5. http://code.google.com/p/tomato-sdhc-vlan/wiki/MultiSSIDHOWTOForWRT54GL
6. http://code.google.com/p/tomato-sdhc-vlan/wiki/MultiSSIDHOWTOForE3000 -
doomerman
Сами виноваты и таких админов и правда надо увольнять!
Кто дает доступ к школьникам к рабочей сети? Надо было делать гостевую сетку.
А если бы я пришел с backtrack то что было бы?
Вы вообще гуглили по запросу защиты от arp атак? -
doomerman
Сами виноваты и таких админов и правда надо увольнять!
Кто дает доступ к школьникам к рабочей сети? Надо было делать гостевую сетку.В большинстве школ админы приходящие, а бюджет мизерный.
Либо вообще просят чьего-либо папу настроить.
Сам часто сталкиваюсь. -
doomerman
Сами виноваты и таких админов и правда надо увольнять!
Кто дает доступ к школьникам к рабочей сети? Надо было делать гостевую сетку.
А если бы я пришел с backtrack то что было бы?
Вы вообще гуглили по запросу защиты от arp атак?Сеть общешкольная. Учителя работают на ноутах. Понятное дело, что в таких условиях сохранить в тайне ключ шифрования довольно сложно.
Пока наверно сегментируем сеть и сделаем фильтрацию по макам. По крайне мере вся сеть не будет падать. -
dvserg
Отмазки, просто уровень знаний большинства IT специалистов не отличается от уровня пользователя.
doomerman
И что?
Всем учетки в AD.
Составляем регламенты и запрещаем передачу оборудования 3 лицам, нарушают - к директору.
На всех Wi-Fi точках закрывайте WPS и ставьте сложный пароль.
Если сервер на pfsense то при атаке arp вы увидите это в логах и мак адрес атакующего.
И вообще через групповые политики запрещаем пользователям просматривать настройки сети.
Фильтрация mac адресов обходиться в течении 10 сек.
Так же смотрим в сторону SNMPv3.Кстати а Вы готовы нести ответственность за утечку конфиденциальной информации? Прошу заметить что это будет лежать на Вас.
-
для гостей не проще отдельную АР организовать?
У меня например на одной карте в pfsense висит 2 AP. Одна с паролем и доступом к другим компам, вторая без пароля и выходом только в интернет с ограничениями по скорости. Можно так же ограничить скорость из подсети wifi к подсети lan, тогда проведение атаки будет затруднено + нормальная настройка firewall. -
А кто нибудь пробовал защищаться от подобных атак при помоши встроенных в коммутаторы функций ?
Наприме в описании D-Link DGS-1210Для предотвращения атак ARP Spoofing коммутатор использует функцию Packet Control ACLs для блокировки пакетов, содержащих ложные ARP-сообщения. Для повышения уровня безопасности используется функция DHCP Server Screening, запрещающая доступ неавторизованным DHCP-серверам.
-
Ув. топикстартер. Вы эти варианты у себя пробовали ?
Начнем с начала.
У вас железка как ТД работает, правильно ? И подключена в один из портов pfsense или же в общий свитч , куда подключен LAN pfsense? Если в свитч , то попробуйте перевоткнуть вашу 1150 в отдельный порт на pfsense. Естественно, что адреса для ви-фи клиентов должны выдаваться pf-ом и из подсети\сети ОТЛИЧНОЙ от вашей LAN. Это будет возможно, после активации интерфейса , куда напрямую будет воткнута 1150. Затем в настройках fw для LAN и для нового интерфейса запретить\разрешить все что вам нужно. Как вариант, засунуть этот новый интерфейс в отдельный VLAN - тогда из него доступ в LAN вообще пропадет.для гостей не проще отдельную АР организовать?
У меня например на одной карте в pfsense висит 2 AP. Одна с паролем и доступом к другим компам, вторая без пароля и выходом только в интернет с ограничениями по скорости. Можно так же ограничить скорость из подсети wifi к подсети lan, тогда проведение атаки будет затруднено + нормальная настройка firewall.Уже готовые руководства к действию. Дерзайте.
P.s. @nomeron:
А кто нибудь пробовал защищаться от подобных атак при помоши встроенных в коммутаторы функций ?
Наприме в описании D-Link DGS-1210Для предотвращения атак ARP Spoofing коммутатор использует функцию Packet Control ACLs для блокировки пакетов, содержащих ложные ARP-сообщения. Для повышения уровня безопасности используется функция DHCP Server Screening, запрещающая доступ неавторизованным DHCP-серверам.
У вас идет речь о защите от неавторизированных DHCP в локальной сети. Самый простой пример - взять на своем роутере, имеющем в своих возможностях раздавать адреса, кабель провайдера воткнуть в LAN-разъем. Если сеть провайдера построена на тупых свитчах , то люди будут получать адреса (частично) от вашего роутера , а не от сервера провайдера.
-
Ув. топикстартер. Вы эти варианты у себя пробовали ?
Начнем с начала.
У вас железка как ТД работает, правильно ? И подключена в один из портов pfsense или же в общий свитч , куда подключен LAN pfsense? Если в свитч , то попробуйте перевоткнуть вашу 1150 в отдельный порт на pfsense. Естественно, что адреса для ви-фи клиентов должны выдаваться pf-ом и из подсети\сети ОТЛИЧНОЙ от вашей LAN. Это будет возможно, после активации интерфейса , куда напрямую будет воткнута 1150. Затем в настройках fw для LAN и для нового интерфейса запретить\разрешить все что вам нужно. Как вариант, засунуть этот новый интерфейс в отдельный VLAN - тогда из него доступ в LAN вообще пропадет.для гостей не проще отдельную АР организовать?
У меня например на одной карте в pfsense висит 2 AP. Одна с паролем и доступом к другим компам, вторая без пароля и выходом только в интернет с ограничениями по скорости. Можно так же ограничить скорость из подсети wifi к подсети lan, тогда проведение атаки будет затруднено + нормальная настройка firewall.Уже готовые руководства к действию. Дерзайте.
P.s. @nomeron:
А кто нибудь пробовал защищаться от подобных атак при помоши встроенных в коммутаторы функций ?
Наприме в описании D-Link DGS-1210Для предотвращения атак ARP Spoofing коммутатор использует функцию Packet Control ACLs для блокировки пакетов, содержащих ложные ARP-сообщения. Для повышения уровня безопасности используется функция DHCP Server Screening, запрещающая доступ неавторизованным DHCP-серверам.
У вас идет речь о защите от неавторизированных DHCP в локальной сети. Самый простой пример - взять на своем роутере, имеющем в своих возможностях раздавать адреса, кабель провайдера воткнуть в LAN-разъем. Если сеть провайдера построена на тупых свитчах , то люди будут получать адреса (частично) от вашего роутера , а не от сервера провайдера.
Я хочу посмотреть чуть в другую сторону. У нас один из свичей - Cisco вроде бы 2960. Там по моему есть защита от арп атак. Надо токо разобраться с ее администрированием.
