Wifi kill

dvserg

@yragan:

Только ответ на вопрос остался без ответа.

На какой из них? Защитится - см выше про изолированный режим. Про 'найти' - тут список возможных вариантов достаточно широк.

dr.gopher

@dvserg:

см выше про изолированный режим.

Изолированный режим у D-link зовется WLAN Partition

Но на моей древней dwl-2100ap это не работет.

dvserg

@dr.gopher:

@dvserg:

см выше про изолированный режим.

Изолированный режим у D-link зовется WLAN Partition

Но на моей древней dwl-2100ap это не работет.

Обновлением прошивки не лечится? Тогда коллекционируйте камни и кирпичи - юзеров отстреливать.

werter

Есть вариант залить туда Openwrt (сборка от Kamikaze). Но там только консоль вроде, т.е. веб-морды нет :(

http://wiki.openwrt.org/toh/d-link/dwl-2100ap#install.openwrt
http://forum.nag.ru/forum/index.php?showtopic=43098
https://forum.openwrt.org/viewtopic.php?id=16286
https://forum.openwrt.org/viewtopic.php?pid=61015
http://www.lan23.ru/forum/showthread.php?t=1102

P.s. Если есть возможность - приобретайте тот же Asus RT-N12 C1. Заливайте туда Tomato от Shibby. Недорого и ооооочень широкие возможности открываются (en.wikipedia.org/wiki/Tomato_(firmware) ).
Хе-хе, а еще китайцы Tomato 4 WAN недавно начали докручивать :)

dr.gopher

@werter:

Есть вариант залить туда Openwrt (сборка от Kamikaze).

Я не топик постер. Просто потестил на своей точке доступа. Альтернативные прошивки смотрел - почти все они для роутеров.

@werter:

P.s. Если есть возможность - приобретайте тот же Asus RT-N12 C1. Заливайте туда Tomato от Shibby.

Не факт.
И  изолированный режим может не помочь, так как софтина сканирует и блокирует все найденные IP в подсети. Как проводные, так и беспроводные подключения.

werter

2  dr.gopher
Как я понимаю, этот т.н. "изолированный режим" - это засовывание каждого подключающегося клиента в отдельный VLAN. Если неправ - поправьте.

dr.gopher

@werter:

Как я понимаю, этот т.н. "изолированный режим" - это засовывание каждого подключающегося клиента в отдельный VLAN.

Без понятия как оно работает. Протестил на DDWRT.
dvserg как всегда оказался прав.

После включения Advanced Wireless Settings -> AP Isolation
WIFIKILL перестал видеть остальные точки доступа.
Но видит и блокирует все компы подключенные по ethernet.

dr.gopher

@doomerman:

Блин чо делать то?

Организуйте отдельный  роутер с wifi, с прошивкой DDWRT (отдельную подсеть) для школьников. Включите Advanced Wireless Settings -> AP Isolation.

werter

@doomerman:

Понимаю что вопрос совершенно не по теме и с пониманием отнесусь к любым действиям модераторов.
Просто как то не знаю особо других форумов по тематике.

В школе где пытаюсь админить сегодня произошел казус. Один умный школнег с помощью телефона на андройде и приложения wifi kill положил нафиг всю сеть….

Вот сидим пытаемся придумать решение какое то...Может кто знает в какую сторону копать ?

Начнем с начала.
У вас железка как ТД работает, правильно ? И подключена в один из портов pfsense или же в общий свитч , куда подключен LAN pfsense? Если в свитч , то попробуйте перевоткнуть вашу 1150 в отдельный порт на pfsense. Естественно, что адреса для ви-фи клиентов должны выдаваться pf-ом и из подсети\сети ОТЛИЧНОЙ от вашей LAN. Это будет возможно, после активации интерфейса , куда напрямую будет воткнута 1150.
Затем в настройках fw для LAN и для нового интерфейса запретить\разрешить все что вам нужно. Как вариант, засунуть этот новый интерфейс в отдельный VLAN - тогда из него доступ в LAN вообще пропадет.

P.s. По Tomato . Вот ссылки по организации отдельной (guest) сети для клиентов ви-фи:

1. http://www.myopenrouter.com/forum/thread/36384/WNR3500Lv2-tomato-and-multiple-SSID/ - последний пост от Subhra
2. http://www.linksysinfo.org/index.php?threads/possible-to-put-wifi-on-separate-dhcp-range-than-wired.34131/ - пост от TexasFlood с кучей ссылок
3. http://www.seiichiro0185.org/blog:creating_a_seperate_guest_network_with_tomato
4. http://www.linksysinfo.org/index.php?attachments/separate_wlan_from_lan_with_own_subnet_and_dhcp_server-pdf.1142/
5. http://code.google.com/p/tomato-sdhc-vlan/wiki/MultiSSIDHOWTOForWRT54GL
6. http://code.google.com/p/tomato-sdhc-vlan/wiki/MultiSSIDHOWTOForE3000

Rezor666

doomerman
Сами виноваты и таких админов и правда надо увольнять!
Кто дает доступ к школьникам к рабочей сети? Надо было делать гостевую сетку.
А если бы я пришел с backtrack то что было бы?
Вы вообще гуглили по запросу защиты от arp атак?

dvserg

@Rezor666:

doomerman
Сами виноваты и таких админов и правда надо увольнять!
Кто дает доступ к школьникам к рабочей сети? Надо было делать гостевую сетку.

В большинстве школ админы приходящие, а бюджет мизерный.
Либо вообще просят чьего-либо папу настроить.
Сам часто сталкиваюсь.

doomerman

@Rezor666:

doomerman
Сами виноваты и таких админов и правда надо увольнять!
Кто дает доступ к школьникам к рабочей сети? Надо было делать гостевую сетку.
А если бы я пришел с backtrack то что было бы?
Вы вообще гуглили по запросу защиты от arp атак?

Сеть общешкольная. Учителя работают на ноутах. Понятное дело, что в таких условиях сохранить в тайне ключ шифрования довольно сложно.
Пока наверно сегментируем сеть и сделаем фильтрацию по макам. По крайне мере вся сеть не будет падать.

Rezor666

dvserg
Отмазки, просто уровень знаний большинства IT специалистов не отличается от уровня пользователя.
doomerman
И что?
Всем учетки в AD.
Составляем регламенты и запрещаем передачу оборудования 3 лицам, нарушают - к директору.
На всех Wi-Fi точках закрывайте WPS и ставьте сложный пароль.
Если сервер на pfsense то при атаке arp вы увидите это в логах и мак адрес атакующего.
И вообще через групповые политики запрещаем пользователям просматривать настройки сети.
Фильтрация mac адресов обходиться в течении 10 сек.
Так же смотрим в сторону SNMPv3.

Кстати а Вы готовы нести ответственность за утечку конфиденциальной информации? Прошу заметить что это будет лежать на Вас.

MIXa-sp

для гостей не проще отдельную АР организовать?
У меня например на одной карте в pfsense висит 2 AP. Одна с паролем и доступом к другим компам, вторая без пароля и выходом только в интернет с ограничениями по скорости. Можно так же ограничить скорость из подсети wifi к подсети lan, тогда проведение атаки будет затруднено + нормальная настройка firewall.

nomeron

А кто нибудь пробовал защищаться от подобных атак при помоши встроенных в коммутаторы функций ?
Наприме в описании D-Link DGS-1210

Для предотвращения атак ARP  Spoofing коммутатор использует функцию Packet Control ACLs для блокировки пакетов, содержащих ложные ARP-сообщения. Для повышения уровня безопасности используется функция DHCP Server Screening, запрещающая доступ неавторизованным DHCP-серверам.

werter

Ув. топикстартер. Вы эти варианты у себя пробовали ?

Начнем с начала.
У вас железка как ТД работает, правильно ? И подключена в один из портов pfsense или же в общий свитч , куда подключен LAN pfsense? Если в свитч , то попробуйте перевоткнуть вашу 1150 в отдельный порт на pfsense. Естественно, что адреса для ви-фи клиентов должны выдаваться pf-ом и из подсети\сети ОТЛИЧНОЙ от вашей LAN. Это будет возможно, после активации интерфейса , куда напрямую будет воткнута 1150. Затем в настройках fw для LAN и для нового интерфейса запретить\разрешить все что вам нужно. Как вариант, засунуть этот новый интерфейс в отдельный VLAN - тогда из него доступ в LAN вообще пропадет.

для гостей не проще отдельную АР организовать?
У меня например на одной карте в pfsense висит 2 AP. Одна с паролем и доступом к другим компам, вторая без пароля и выходом только в интернет с ограничениями по скорости. Можно так же ограничить скорость из подсети wifi к подсети lan, тогда проведение атаки будет затруднено + нормальная настройка firewall.

Уже готовые руководства к действию. Дерзайте.

P.s. @nomeron:

А кто нибудь пробовал защищаться от подобных атак при помоши встроенных в коммутаторы функций ?
Наприме в описании D-Link DGS-1210

Для предотвращения атак ARP  Spoofing коммутатор использует функцию Packet Control ACLs для блокировки пакетов, содержащих ложные ARP-сообщения. Для повышения уровня безопасности используется функция DHCP Server Screening, запрещающая доступ неавторизованным DHCP-серверам.

У вас идет речь о защите от неавторизированных DHCP в локальной сети. Самый простой пример - взять на своем роутере, имеющем в своих возможностях раздавать адреса, кабель провайдера воткнуть в LAN-разъем. Если сеть провайдера построена на тупых свитчах , то люди будут получать адреса (частично) от вашего роутера , а не от сервера провайдера.

doomerman

@werter:

Ув. топикстартер. Вы эти варианты у себя пробовали ?

Начнем с начала.
У вас железка как ТД работает, правильно ? И подключена в один из портов pfsense или же в общий свитч , куда подключен LAN pfsense? Если в свитч , то попробуйте перевоткнуть вашу 1150 в отдельный порт на pfsense. Естественно, что адреса для ви-фи клиентов должны выдаваться pf-ом и из подсети\сети ОТЛИЧНОЙ от вашей LAN. Это будет возможно, после активации интерфейса , куда напрямую будет воткнута 1150. Затем в настройках fw для LAN и для нового интерфейса запретить\разрешить все что вам нужно. Как вариант, засунуть этот новый интерфейс в отдельный VLAN - тогда из него доступ в LAN вообще пропадет.

для гостей не проще отдельную АР организовать?
У меня например на одной карте в pfsense висит 2 AP. Одна с паролем и доступом к другим компам, вторая без пароля и выходом только в интернет с ограничениями по скорости. Можно так же ограничить скорость из подсети wifi к подсети lan, тогда проведение атаки будет затруднено + нормальная настройка firewall.

Уже готовые руководства к действию. Дерзайте.

P.s. @nomeron:

А кто нибудь пробовал защищаться от подобных атак при помоши встроенных в коммутаторы функций ?
Наприме в описании D-Link DGS-1210

Для предотвращения атак ARP  Spoofing коммутатор использует функцию Packet Control ACLs для блокировки пакетов, содержащих ложные ARP-сообщения. Для повышения уровня безопасности используется функция DHCP Server Screening, запрещающая доступ неавторизованным DHCP-серверам.

У вас идет речь о защите от неавторизированных DHCP в локальной сети. Самый простой пример - взять на своем роутере, имеющем в своих возможностях раздавать адреса, кабель провайдера воткнуть в LAN-разъем. Если сеть провайдера построена на тупых свитчах , то люди будут получать адреса (частично) от вашего роутера , а не от сервера провайдера.

Я хочу посмотреть чуть в другую сторону. У нас один из свичей - Cisco вроде бы 2960. Там по моему есть защита от арп атак. Надо токо разобраться с ее администрированием.

werter

Ага,  с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а девушки циски - потом.

nomeron

Ага,  с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а девушки циски - потом.

Для нескольких устройств достаточный и правильный метод как раз и использовать циску.
Изолировал порты на коммутаторе и сделал всем доступ только к порту pf. Что может быть проще ?
Хотя мое мнение, такие проблемы надо решать логированием и административными методами.
Закроете одну уязвимость, школьники найдут другую. Поставите openwrt, а там уже судя по роликам нулевая уязвимость и тп.

dr.gopher

@nomeron:

Закроете одну уязвимость, школьники найдут другую.

Для этого и нужны админы.
Нет технологий без уязвимости.