Wifi kill
-
doomerman
Сами виноваты и таких админов и правда надо увольнять!
Кто дает доступ к школьникам к рабочей сети? Надо было делать гостевую сетку.
А если бы я пришел с backtrack то что было бы?
Вы вообще гуглили по запросу защиты от arp атак?Сеть общешкольная. Учителя работают на ноутах. Понятное дело, что в таких условиях сохранить в тайне ключ шифрования довольно сложно.
Пока наверно сегментируем сеть и сделаем фильтрацию по макам. По крайне мере вся сеть не будет падать. -
dvserg
Отмазки, просто уровень знаний большинства IT специалистов не отличается от уровня пользователя.
doomerman
И что?
Всем учетки в AD.
Составляем регламенты и запрещаем передачу оборудования 3 лицам, нарушают - к директору.
На всех Wi-Fi точках закрывайте WPS и ставьте сложный пароль.
Если сервер на pfsense то при атаке arp вы увидите это в логах и мак адрес атакующего.
И вообще через групповые политики запрещаем пользователям просматривать настройки сети.
Фильтрация mac адресов обходиться в течении 10 сек.
Так же смотрим в сторону SNMPv3.Кстати а Вы готовы нести ответственность за утечку конфиденциальной информации? Прошу заметить что это будет лежать на Вас.
-
для гостей не проще отдельную АР организовать?
У меня например на одной карте в pfsense висит 2 AP. Одна с паролем и доступом к другим компам, вторая без пароля и выходом только в интернет с ограничениями по скорости. Можно так же ограничить скорость из подсети wifi к подсети lan, тогда проведение атаки будет затруднено + нормальная настройка firewall. -
А кто нибудь пробовал защищаться от подобных атак при помоши встроенных в коммутаторы функций ?
Наприме в описании D-Link DGS-1210Для предотвращения атак ARP Spoofing коммутатор использует функцию Packet Control ACLs для блокировки пакетов, содержащих ложные ARP-сообщения. Для повышения уровня безопасности используется функция DHCP Server Screening, запрещающая доступ неавторизованным DHCP-серверам.
-
Ув. топикстартер. Вы эти варианты у себя пробовали ?
Начнем с начала.
У вас железка как ТД работает, правильно ? И подключена в один из портов pfsense или же в общий свитч , куда подключен LAN pfsense? Если в свитч , то попробуйте перевоткнуть вашу 1150 в отдельный порт на pfsense. Естественно, что адреса для ви-фи клиентов должны выдаваться pf-ом и из подсети\сети ОТЛИЧНОЙ от вашей LAN. Это будет возможно, после активации интерфейса , куда напрямую будет воткнута 1150. Затем в настройках fw для LAN и для нового интерфейса запретить\разрешить все что вам нужно. Как вариант, засунуть этот новый интерфейс в отдельный VLAN - тогда из него доступ в LAN вообще пропадет.для гостей не проще отдельную АР организовать?
У меня например на одной карте в pfsense висит 2 AP. Одна с паролем и доступом к другим компам, вторая без пароля и выходом только в интернет с ограничениями по скорости. Можно так же ограничить скорость из подсети wifi к подсети lan, тогда проведение атаки будет затруднено + нормальная настройка firewall.Уже готовые руководства к действию. Дерзайте.
P.s. @nomeron:
А кто нибудь пробовал защищаться от подобных атак при помоши встроенных в коммутаторы функций ?
Наприме в описании D-Link DGS-1210Для предотвращения атак ARP Spoofing коммутатор использует функцию Packet Control ACLs для блокировки пакетов, содержащих ложные ARP-сообщения. Для повышения уровня безопасности используется функция DHCP Server Screening, запрещающая доступ неавторизованным DHCP-серверам.
У вас идет речь о защите от неавторизированных DHCP в локальной сети. Самый простой пример - взять на своем роутере, имеющем в своих возможностях раздавать адреса, кабель провайдера воткнуть в LAN-разъем. Если сеть провайдера построена на тупых свитчах , то люди будут получать адреса (частично) от вашего роутера , а не от сервера провайдера.
-
Ув. топикстартер. Вы эти варианты у себя пробовали ?
Начнем с начала.
У вас железка как ТД работает, правильно ? И подключена в один из портов pfsense или же в общий свитч , куда подключен LAN pfsense? Если в свитч , то попробуйте перевоткнуть вашу 1150 в отдельный порт на pfsense. Естественно, что адреса для ви-фи клиентов должны выдаваться pf-ом и из подсети\сети ОТЛИЧНОЙ от вашей LAN. Это будет возможно, после активации интерфейса , куда напрямую будет воткнута 1150. Затем в настройках fw для LAN и для нового интерфейса запретить\разрешить все что вам нужно. Как вариант, засунуть этот новый интерфейс в отдельный VLAN - тогда из него доступ в LAN вообще пропадет.для гостей не проще отдельную АР организовать?
У меня например на одной карте в pfsense висит 2 AP. Одна с паролем и доступом к другим компам, вторая без пароля и выходом только в интернет с ограничениями по скорости. Можно так же ограничить скорость из подсети wifi к подсети lan, тогда проведение атаки будет затруднено + нормальная настройка firewall.Уже готовые руководства к действию. Дерзайте.
P.s. @nomeron:
А кто нибудь пробовал защищаться от подобных атак при помоши встроенных в коммутаторы функций ?
Наприме в описании D-Link DGS-1210Для предотвращения атак ARP Spoofing коммутатор использует функцию Packet Control ACLs для блокировки пакетов, содержащих ложные ARP-сообщения. Для повышения уровня безопасности используется функция DHCP Server Screening, запрещающая доступ неавторизованным DHCP-серверам.
У вас идет речь о защите от неавторизированных DHCP в локальной сети. Самый простой пример - взять на своем роутере, имеющем в своих возможностях раздавать адреса, кабель провайдера воткнуть в LAN-разъем. Если сеть провайдера построена на тупых свитчах , то люди будут получать адреса (частично) от вашего роутера , а не от сервера провайдера.
Я хочу посмотреть чуть в другую сторону. У нас один из свичей - Cisco вроде бы 2960. Там по моему есть защита от арп атак. Надо токо разобраться с ее администрированием.
-
Ага, с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а
девушкициски - потом. -
Ага, с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а девушки циски - потом.
Для нескольких устройств достаточный и правильный метод как раз и использовать циску.
Изолировал порты на коммутаторе и сделал всем доступ только к порту pf. Что может быть проще ?
Хотя мое мнение, такие проблемы надо решать логированием и административными методами.
Закроете одну уязвимость, школьники найдут другую. Поставите openwrt, а там уже судя по роликам нулевая уязвимость и тп. -
Закроете одну уязвимость, школьники найдут другую.
Для этого и нужны админы.
Нет технологий без уязвимости. -
Закроете одну уязвимость, школьники найдут другую.
Для этого и нужны админы.
Нет технологий без уязвимости.Что правда что ли?
А я то думал что информационной безопасность заниматься специалисты по ИБ. >:(
Ах да, мы же в России ;DА вообще в pfsense можно поставить пакеты arpwath и ipguard.
-
А я то думал что информационной безопасность заниматься специалисты по ИБ. >:(
Ах да, мы же в России ;DУвы в Украинских школах нет специалистов по ИБ.
У нас есть родители, которые по возможности и уровню знаний помогают школе. :-( -
Ага, с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а
девушкициски - потом.Ну "неотложную" задачу решили социальными методами….Умного школьника нашли и сказали ему чтоб больше так не делал, иначе отключим вайфай для всех, а по местному радио сделаем объявление, что вайфай отключен из за ученика такого то...Бить мальчика будут все. Мальчик все понял )
-
Ага, с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а
девушкициски - потом.Ну "неотложную" задачу решили социальными методами….Умного школьника нашли и сказали ему чтоб больше так не делал, иначе отключим вайфай для всех, а по местному радио сделаем объявление, что вайфай отключен из за ученика такого то...Бить мальчика будут все. Мальчик все понял )
А будь я вашим директором то Вас бы уволил сразу после такого объявления нафиг а умного мальчика сумевшего получить рут на телефоне и использовать уязвимость в сети посадил вместо Вас!
Так как судя по всему гуглит он лучше Вас. -
Ага, с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а
девушкициски - потом.Ну "неотложную" задачу решили социальными методами….Умного школьника нашли и сказали ему чтоб больше так не делал, иначе отключим вайфай для всех, а по местному радио сделаем объявление, что вайфай отключен из за ученика такого то...Бить мальчика будут все. Мальчик все понял )
А будь я вашим директором то Вас бы уволил сразу после такого объявления нафиг а умного мальчика сумевшего получить рут на телефоне и использовать уязвимость в сети посадил вместо Вас!
Так как судя по всему гуглит он лучше Вас.Не будте столь агрессивны. Мир в котором Вы обитаете устроен несколько сложнее чем Вам кажется
-
Не будте столь агрессивны. Мир в котором Вы обитаете устроен несколько сложнее чем Вам кажется
А меня умиляют люди вроде Вас.
Которые вместо того что бы закрывать дыры, банально запугивают людей умнее Вас.
Сам был 2 года назад студентом и нагляделся на это сполна. В итоге всех админов пере увольняли так как навернуты были все сервера а доступ в инет предоставлен всем желающим.
А все потому что вместо того что бы нормально поговорить всегда шли какие то угрозы.
Подумайте хорошо что будет если этот мальчик вместо wi-fi-kill решит отомстить Вам exploitом, что будете делать? -
А будь я вашим директором то Вас бы уволил сразу после такого объявления нафиг а умного мальчика сумевшего получить рут на телефоне и использовать уязвимость в сети посадил вместо Вас!
Так как судя по всему гуглит он лучше Вас.А меня умиляют люди вроде Вас.
Которые вместо того что бы закрывать дыры, банально запугивают людей умнее Вас.
Сам был 2 года назад студентом и нагляделся на это сполна. В итоге всех админов пере увольняли так как навернуты были все сервера а доступ в инет предоставлен всем желающим.
А все потому что вместо того что бы нормально поговорить всегда шли какие то угрозы.
Подумайте хорошо что будет если этот мальчик вместо wi-fi-kill решит отомстить Вам exploitом, что будете делать?"Золотые слова, Юрий Венедиктович! (С)"
-
Сори коллеги, но имеется предложение свернуть обсуждение уровня профессиональных навыков и вернуться к теме вопроса.
-
Если кому интересно, могу попробовать вредоносы на wifi сети на база http://www.ubnt.com/unifi
Коммутаторы Dlink (самые простые управляемые)
На них есть
ARP Spoofing Prevention (фиксирует ip=mac шлюза)
DHCP Server Screening (отключает dhcp на портах)По идее, в схеме, когда pf является dhcp и nat, должно очень помогать.
