Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Wifi kill

    Scheduled Pinned Locked Moved Russian
    39 Posts 9 Posters 17.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dr.gopher
      last edited by

      @doomerman:

      Блин чо делать то?

      Организуйте отдельный  роутер с wifi, с прошивкой DDWRT (отдельную подсеть) для школьников. Включите Advanced Wireless Settings -> AP Isolation.

      FAQ PfSense 2.0

      И не забываем про Adblock дабы не видеть баннеров.

      И многое другое на www.thin.kiev.ua

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        @doomerman:

        Понимаю что вопрос совершенно не по теме и с пониманием отнесусь к любым действиям модераторов.
        Просто как то не знаю особо других форумов по тематике.

        В школе где пытаюсь админить сегодня произошел казус. Один умный школнег с помощью телефона на андройде и приложения wifi kill положил нафиг всю сеть….

        Вот сидим пытаемся придумать решение какое то...Может кто знает в какую сторону копать ?

        Начнем с начала.
        У вас железка как ТД работает, правильно ? И подключена в один из портов pfsense или же в общий свитч , куда подключен LAN pfsense? Если в свитч , то попробуйте перевоткнуть вашу 1150 в отдельный порт на pfsense. Естественно, что адреса для ви-фи клиентов должны выдаваться pf-ом и из подсети\сети ОТЛИЧНОЙ от вашей LAN. Это будет возможно, после активации интерфейса , куда напрямую будет воткнута 1150.
        Затем в настройках fw для LAN и для нового интерфейса запретить\разрешить все что вам нужно. Как вариант, засунуть этот новый интерфейс в отдельный VLAN - тогда из него доступ в LAN вообще пропадет.

        P.s. По Tomato . Вот ссылки по организации отдельной (guest) сети для клиентов ви-фи:

        1. http://www.myopenrouter.com/forum/thread/36384/WNR3500Lv2-tomato-and-multiple-SSID/ - последний пост от Subhra
        2. http://www.linksysinfo.org/index.php?threads/possible-to-put-wifi-on-separate-dhcp-range-than-wired.34131/ - пост от TexasFlood с кучей ссылок
        3. http://www.seiichiro0185.org/blog:creating_a_seperate_guest_network_with_tomato
        4. http://www.linksysinfo.org/index.php?attachments/separate_wlan_from_lan_with_own_subnet_and_dhcp_server-pdf.1142/
        5. http://code.google.com/p/tomato-sdhc-vlan/wiki/MultiSSIDHOWTOForWRT54GL
        6. http://code.google.com/p/tomato-sdhc-vlan/wiki/MultiSSIDHOWTOForE3000

        1 Reply Last reply Reply Quote 0
        • R
          Rezor666
          last edited by

          doomerman
          Сами виноваты и таких админов и правда надо увольнять!
          Кто дает доступ к школьникам к рабочей сети? Надо было делать гостевую сетку.
          А если бы я пришел с backtrack то что было бы?
          Вы вообще гуглили по запросу защиты от arp атак?

          (System administrator  | Certified Dr.Web | Office Guru)
          Мой блог

          1 Reply Last reply Reply Quote 0
          • D
            dvserg
            last edited by

            @Rezor666:

            doomerman
            Сами виноваты и таких админов и правда надо увольнять!
            Кто дает доступ к школьникам к рабочей сети? Надо было делать гостевую сетку.

            В большинстве школ админы приходящие, а бюджет мизерный.
            Либо вообще просят чьего-либо папу настроить.
            Сам часто сталкиваюсь.

            SquidGuardDoc EN  RU Tutorial
            Localization ru_PFSense

            1 Reply Last reply Reply Quote 0
            • D
              doomerman
              last edited by

              @Rezor666:

              doomerman
              Сами виноваты и таких админов и правда надо увольнять!
              Кто дает доступ к школьникам к рабочей сети? Надо было делать гостевую сетку.
              А если бы я пришел с backtrack то что было бы?
              Вы вообще гуглили по запросу защиты от arp атак?

              Сеть общешкольная. Учителя работают на ноутах. Понятное дело, что в таких условиях сохранить в тайне ключ шифрования довольно сложно.
              Пока наверно сегментируем сеть и сделаем фильтрацию по макам. По крайне мере вся сеть не будет падать.

              1 Reply Last reply Reply Quote 0
              • R
                Rezor666
                last edited by

                dvserg
                Отмазки, просто уровень знаний большинства IT специалистов не отличается от уровня пользователя.
                doomerman
                И что?
                Всем учетки в AD.
                Составляем регламенты и запрещаем передачу оборудования 3 лицам, нарушают - к директору.
                На всех Wi-Fi точках закрывайте WPS и ставьте сложный пароль.
                Если сервер на pfsense то при атаке arp вы увидите это в логах и мак адрес атакующего.
                И вообще через групповые политики запрещаем пользователям просматривать настройки сети.
                Фильтрация mac адресов обходиться в течении 10 сек.
                Так же смотрим в сторону SNMPv3.

                Кстати а Вы готовы нести ответственность за утечку конфиденциальной информации? Прошу заметить что это будет лежать на Вас.

                (System administrator  | Certified Dr.Web | Office Guru)
                Мой блог

                1 Reply Last reply Reply Quote 0
                • M
                  MIXa-sp
                  last edited by

                  для гостей не проще отдельную АР организовать?
                  У меня например на одной карте в pfsense висит 2 AP. Одна с паролем и доступом к другим компам, вторая без пароля и выходом только в интернет с ограничениями по скорости. Можно так же ограничить скорость из подсети wifi к подсети lan, тогда проведение атаки будет затруднено + нормальная настройка firewall.

                  1 Reply Last reply Reply Quote 0
                  • N
                    nomeron
                    last edited by

                    А кто нибудь пробовал защищаться от подобных атак при помоши встроенных в коммутаторы функций ?
                    Наприме в описании D-Link DGS-1210

                    Для предотвращения атак ARP  Spoofing коммутатор использует функцию Packet Control ACLs для блокировки пакетов, содержащих ложные ARP-сообщения. Для повышения уровня безопасности используется функция DHCP Server Screening, запрещающая доступ неавторизованным DHCP-серверам.

                    1 Reply Last reply Reply Quote 0
                    • werterW
                      werter
                      last edited by

                      Ув. топикстартер. Вы эти варианты у себя пробовали ?

                      Начнем с начала.
                      У вас железка как ТД работает, правильно ? И подключена в один из портов pfsense или же в общий свитч , куда подключен LAN pfsense? Если в свитч , то попробуйте перевоткнуть вашу 1150 в отдельный порт на pfsense. Естественно, что адреса для ви-фи клиентов должны выдаваться pf-ом и из подсети\сети ОТЛИЧНОЙ от вашей LAN. Это будет возможно, после активации интерфейса , куда напрямую будет воткнута 1150. Затем в настройках fw для LAN и для нового интерфейса запретить\разрешить все что вам нужно. Как вариант, засунуть этот новый интерфейс в отдельный VLAN - тогда из него доступ в LAN вообще пропадет.

                      для гостей не проще отдельную АР организовать?
                      У меня например на одной карте в pfsense висит 2 AP. Одна с паролем и доступом к другим компам, вторая без пароля и выходом только в интернет с ограничениями по скорости. Можно так же ограничить скорость из подсети wifi к подсети lan, тогда проведение атаки будет затруднено + нормальная настройка firewall.

                      Уже готовые руководства к действию. Дерзайте.

                      P.s. @nomeron:

                      А кто нибудь пробовал защищаться от подобных атак при помоши встроенных в коммутаторы функций ?
                      Наприме в описании D-Link DGS-1210

                      Для предотвращения атак ARP  Spoofing коммутатор использует функцию Packet Control ACLs для блокировки пакетов, содержащих ложные ARP-сообщения. Для повышения уровня безопасности используется функция DHCP Server Screening, запрещающая доступ неавторизованным DHCP-серверам.

                      У вас идет речь о защите от неавторизированных DHCP в локальной сети. Самый простой пример - взять на своем роутере, имеющем в своих возможностях раздавать адреса, кабель провайдера воткнуть в LAN-разъем. Если сеть провайдера построена на тупых свитчах , то люди будут получать адреса (частично) от вашего роутера , а не от сервера провайдера.

                      1 Reply Last reply Reply Quote 0
                      • D
                        doomerman
                        last edited by

                        @werter:

                        Ув. топикстартер. Вы эти варианты у себя пробовали ?

                        Начнем с начала.
                        У вас железка как ТД работает, правильно ? И подключена в один из портов pfsense или же в общий свитч , куда подключен LAN pfsense? Если в свитч , то попробуйте перевоткнуть вашу 1150 в отдельный порт на pfsense. Естественно, что адреса для ви-фи клиентов должны выдаваться pf-ом и из подсети\сети ОТЛИЧНОЙ от вашей LAN. Это будет возможно, после активации интерфейса , куда напрямую будет воткнута 1150. Затем в настройках fw для LAN и для нового интерфейса запретить\разрешить все что вам нужно. Как вариант, засунуть этот новый интерфейс в отдельный VLAN - тогда из него доступ в LAN вообще пропадет.

                        для гостей не проще отдельную АР организовать?
                        У меня например на одной карте в pfsense висит 2 AP. Одна с паролем и доступом к другим компам, вторая без пароля и выходом только в интернет с ограничениями по скорости. Можно так же ограничить скорость из подсети wifi к подсети lan, тогда проведение атаки будет затруднено + нормальная настройка firewall.

                        Уже готовые руководства к действию. Дерзайте.

                        P.s. @nomeron:

                        А кто нибудь пробовал защищаться от подобных атак при помоши встроенных в коммутаторы функций ?
                        Наприме в описании D-Link DGS-1210

                        Для предотвращения атак ARP  Spoofing коммутатор использует функцию Packet Control ACLs для блокировки пакетов, содержащих ложные ARP-сообщения. Для повышения уровня безопасности используется функция DHCP Server Screening, запрещающая доступ неавторизованным DHCP-серверам.

                        У вас идет речь о защите от неавторизированных DHCP в локальной сети. Самый простой пример - взять на своем роутере, имеющем в своих возможностях раздавать адреса, кабель провайдера воткнуть в LAN-разъем. Если сеть провайдера построена на тупых свитчах , то люди будут получать адреса (частично) от вашего роутера , а не от сервера провайдера.

                        Я хочу посмотреть чуть в другую сторону. У нас один из свичей - Cisco вроде бы 2960. Там по моему есть защита от арп атак. Надо токо разобраться с ее администрированием.

                        1 Reply Last reply Reply Quote 0
                        • werterW
                          werter
                          last edited by

                          Ага,  с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а девушки циски - потом.

                          1 Reply Last reply Reply Quote 0
                          • N
                            nomeron
                            last edited by

                            Ага,  с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а девушки циски - потом.

                            Для нескольких устройств достаточный и правильный метод как раз и использовать циску.
                            Изолировал порты на коммутаторе и сделал всем доступ только к порту pf. Что может быть проще ?
                            Хотя мое мнение, такие проблемы надо решать логированием и административными методами.
                            Закроете одну уязвимость, школьники найдут другую. Поставите openwrt, а там уже судя по роликам нулевая уязвимость и тп.

                            1 Reply Last reply Reply Quote 0
                            • D
                              dr.gopher
                              last edited by

                              @nomeron:

                              Закроете одну уязвимость, школьники найдут другую.

                              Для этого и нужны админы.
                              Нет технологий без уязвимости.

                              FAQ PfSense 2.0

                              И не забываем про Adblock дабы не видеть баннеров.

                              И многое другое на www.thin.kiev.ua

                              1 Reply Last reply Reply Quote 0
                              • R
                                Rezor666
                                last edited by

                                @dr.gopher:

                                @nomeron:

                                Закроете одну уязвимость, школьники найдут другую.

                                Для этого и нужны админы.
                                Нет технологий без уязвимости.

                                Что правда что ли?
                                А я то думал что информационной безопасность заниматься специалисты по ИБ.  >:(
                                Ах да, мы же в России  ;D

                                А вообще в pfsense можно поставить пакеты arpwath и ipguard.

                                (System administrator  | Certified Dr.Web | Office Guru)
                                Мой блог

                                1 Reply Last reply Reply Quote 0
                                • D
                                  dr.gopher
                                  last edited by

                                  @Rezor666:

                                  А я то думал что информационной безопасность заниматься специалисты по ИБ.  >:(
                                  Ах да, мы же в России  ;D

                                  Увы в Украинских школах нет специалистов по ИБ.
                                  У нас есть родители, которые по возможности и уровню знаний помогают школе. :-(

                                  FAQ PfSense 2.0

                                  И не забываем про Adblock дабы не видеть баннеров.

                                  И многое другое на www.thin.kiev.ua

                                  1 Reply Last reply Reply Quote 0
                                  • D
                                    doomerman
                                    last edited by

                                    @werter:

                                    Ага,  с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а девушки циски - потом.

                                    Ну "неотложную" задачу решили социальными методами….Умного школьника нашли и сказали ему чтоб больше так не делал, иначе отключим вайфай для всех, а по местному радио сделаем объявление, что вайфай отключен из за ученика такого то...Бить мальчика будут все. Мальчик все понял )

                                    1 Reply Last reply Reply Quote 0
                                    • R
                                      Rezor666
                                      last edited by

                                      @doomerman:

                                      @werter:

                                      Ага,  с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а девушки циски - потом.

                                      Ну "неотложную" задачу решили социальными методами….Умного школьника нашли и сказали ему чтоб больше так не делал, иначе отключим вайфай для всех, а по местному радио сделаем объявление, что вайфай отключен из за ученика такого то...Бить мальчика будут все. Мальчик все понял )

                                      А будь я вашим директором то Вас бы уволил сразу после такого объявления нафиг а умного мальчика сумевшего получить рут на телефоне и использовать уязвимость в сети посадил вместо Вас!
                                      Так как судя по всему гуглит он лучше Вас.

                                      (System administrator  | Certified Dr.Web | Office Guru)
                                      Мой блог

                                      1 Reply Last reply Reply Quote 0
                                      • D
                                        doomerman
                                        last edited by

                                        @Rezor666:

                                        @doomerman:

                                        @werter:

                                        Ага,  с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а девушки циски - потом.

                                        Ну "неотложную" задачу решили социальными методами….Умного школьника нашли и сказали ему чтоб больше так не делал, иначе отключим вайфай для всех, а по местному радио сделаем объявление, что вайфай отключен из за ученика такого то...Бить мальчика будут все. Мальчик все понял )

                                        А будь я вашим директором то Вас бы уволил сразу после такого объявления нафиг а умного мальчика сумевшего получить рут на телефоне и использовать уязвимость в сети посадил вместо Вас!
                                        Так как судя по всему гуглит он лучше Вас.

                                        Не будте столь агрессивны. Мир в котором Вы обитаете устроен несколько сложнее чем Вам кажется

                                        1 Reply Last reply Reply Quote 0
                                        • R
                                          Rezor666
                                          last edited by

                                          @doomerman:

                                          Не будте столь агрессивны. Мир в котором Вы обитаете устроен несколько сложнее чем Вам кажется

                                          А меня умиляют люди вроде Вас.
                                          Которые вместо того что бы закрывать дыры, банально запугивают людей умнее Вас.
                                          Сам был 2 года назад студентом и нагляделся на это сполна. В итоге всех админов пере увольняли так как навернуты были все сервера а доступ в инет предоставлен всем желающим.
                                          А все потому что вместо того что бы нормально поговорить всегда шли какие то угрозы.
                                          Подумайте хорошо что будет если этот мальчик вместо wi-fi-kill решит отомстить Вам exploitом, что будете делать?

                                          (System administrator  | Certified Dr.Web | Office Guru)
                                          Мой блог

                                          1 Reply Last reply Reply Quote 0
                                          • A
                                            aleksvolgin
                                            last edited by

                                            А будь я вашим директором то Вас бы уволил сразу после такого объявления нафиг а умного мальчика сумевшего получить рут на телефоне и использовать уязвимость в сети посадил вместо Вас!
                                            Так как судя по всему гуглит он лучше Вас.

                                            А меня умиляют люди вроде Вас.
                                            Которые вместо того что бы закрывать дыры, банально запугивают людей умнее Вас.
                                            Сам был 2 года назад студентом и нагляделся на это сполна. В итоге всех админов пере увольняли так как навернуты были все сервера а доступ в инет предоставлен всем желающим.
                                            А все потому что вместо того что бы нормально поговорить всегда шли какие то угрозы.
                                            Подумайте хорошо что будет если этот мальчик вместо wi-fi-kill решит отомстить Вам exploitом, что будете делать?

                                            "Золотые слова, Юрий Венедиктович! (С)"

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.