Wifi kill

Rezor666

dvserg
Отмазки, просто уровень знаний большинства IT специалистов не отличается от уровня пользователя.
doomerman
И что?
Всем учетки в AD.
Составляем регламенты и запрещаем передачу оборудования 3 лицам, нарушают - к директору.
На всех Wi-Fi точках закрывайте WPS и ставьте сложный пароль.
Если сервер на pfsense то при атаке arp вы увидите это в логах и мак адрес атакующего.
И вообще через групповые политики запрещаем пользователям просматривать настройки сети.
Фильтрация mac адресов обходиться в течении 10 сек.
Так же смотрим в сторону SNMPv3.

Кстати а Вы готовы нести ответственность за утечку конфиденциальной информации? Прошу заметить что это будет лежать на Вас.

MIXa-sp

для гостей не проще отдельную АР организовать?
У меня например на одной карте в pfsense висит 2 AP. Одна с паролем и доступом к другим компам, вторая без пароля и выходом только в интернет с ограничениями по скорости. Можно так же ограничить скорость из подсети wifi к подсети lan, тогда проведение атаки будет затруднено + нормальная настройка firewall.

nomeron

А кто нибудь пробовал защищаться от подобных атак при помоши встроенных в коммутаторы функций ?
Наприме в описании D-Link DGS-1210

Для предотвращения атак ARP  Spoofing коммутатор использует функцию Packet Control ACLs для блокировки пакетов, содержащих ложные ARP-сообщения. Для повышения уровня безопасности используется функция DHCP Server Screening, запрещающая доступ неавторизованным DHCP-серверам.

werter

Ув. топикстартер. Вы эти варианты у себя пробовали ?

Начнем с начала.
У вас железка как ТД работает, правильно ? И подключена в один из портов pfsense или же в общий свитч , куда подключен LAN pfsense? Если в свитч , то попробуйте перевоткнуть вашу 1150 в отдельный порт на pfsense. Естественно, что адреса для ви-фи клиентов должны выдаваться pf-ом и из подсети\сети ОТЛИЧНОЙ от вашей LAN. Это будет возможно, после активации интерфейса , куда напрямую будет воткнута 1150. Затем в настройках fw для LAN и для нового интерфейса запретить\разрешить все что вам нужно. Как вариант, засунуть этот новый интерфейс в отдельный VLAN - тогда из него доступ в LAN вообще пропадет.

для гостей не проще отдельную АР организовать?
У меня например на одной карте в pfsense висит 2 AP. Одна с паролем и доступом к другим компам, вторая без пароля и выходом только в интернет с ограничениями по скорости. Можно так же ограничить скорость из подсети wifi к подсети lan, тогда проведение атаки будет затруднено + нормальная настройка firewall.

Уже готовые руководства к действию. Дерзайте.

P.s. @nomeron:

А кто нибудь пробовал защищаться от подобных атак при помоши встроенных в коммутаторы функций ?
Наприме в описании D-Link DGS-1210

Для предотвращения атак ARP  Spoofing коммутатор использует функцию Packet Control ACLs для блокировки пакетов, содержащих ложные ARP-сообщения. Для повышения уровня безопасности используется функция DHCP Server Screening, запрещающая доступ неавторизованным DHCP-серверам.

У вас идет речь о защите от неавторизированных DHCP в локальной сети. Самый простой пример - взять на своем роутере, имеющем в своих возможностях раздавать адреса, кабель провайдера воткнуть в LAN-разъем. Если сеть провайдера построена на тупых свитчах , то люди будут получать адреса (частично) от вашего роутера , а не от сервера провайдера.

doomerman

@werter:

Ув. топикстартер. Вы эти варианты у себя пробовали ?

Начнем с начала.
У вас железка как ТД работает, правильно ? И подключена в один из портов pfsense или же в общий свитч , куда подключен LAN pfsense? Если в свитч , то попробуйте перевоткнуть вашу 1150 в отдельный порт на pfsense. Естественно, что адреса для ви-фи клиентов должны выдаваться pf-ом и из подсети\сети ОТЛИЧНОЙ от вашей LAN. Это будет возможно, после активации интерфейса , куда напрямую будет воткнута 1150. Затем в настройках fw для LAN и для нового интерфейса запретить\разрешить все что вам нужно. Как вариант, засунуть этот новый интерфейс в отдельный VLAN - тогда из него доступ в LAN вообще пропадет.

для гостей не проще отдельную АР организовать?
У меня например на одной карте в pfsense висит 2 AP. Одна с паролем и доступом к другим компам, вторая без пароля и выходом только в интернет с ограничениями по скорости. Можно так же ограничить скорость из подсети wifi к подсети lan, тогда проведение атаки будет затруднено + нормальная настройка firewall.

Уже готовые руководства к действию. Дерзайте.

P.s. @nomeron:

А кто нибудь пробовал защищаться от подобных атак при помоши встроенных в коммутаторы функций ?
Наприме в описании D-Link DGS-1210

Для предотвращения атак ARP  Spoofing коммутатор использует функцию Packet Control ACLs для блокировки пакетов, содержащих ложные ARP-сообщения. Для повышения уровня безопасности используется функция DHCP Server Screening, запрещающая доступ неавторизованным DHCP-серверам.

У вас идет речь о защите от неавторизированных DHCP в локальной сети. Самый простой пример - взять на своем роутере, имеющем в своих возможностях раздавать адреса, кабель провайдера воткнуть в LAN-разъем. Если сеть провайдера построена на тупых свитчах , то люди будут получать адреса (частично) от вашего роутера , а не от сервера провайдера.

Я хочу посмотреть чуть в другую сторону. У нас один из свичей - Cisco вроде бы 2960. Там по моему есть защита от арп атак. Надо токо разобраться с ее администрированием.

werter

Ага,  с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а девушки циски - потом.

nomeron

Ага,  с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а девушки циски - потом.

Для нескольких устройств достаточный и правильный метод как раз и использовать циску.
Изолировал порты на коммутаторе и сделал всем доступ только к порту pf. Что может быть проще ?
Хотя мое мнение, такие проблемы надо решать логированием и административными методами.
Закроете одну уязвимость, школьники найдут другую. Поставите openwrt, а там уже судя по роликам нулевая уязвимость и тп.

dr.gopher

@nomeron:

Закроете одну уязвимость, школьники найдут другую.

Для этого и нужны админы.
Нет технологий без уязвимости.

Rezor666

@dr.gopher:

@nomeron:

Закроете одну уязвимость, школьники найдут другую.

Для этого и нужны админы.
Нет технологий без уязвимости.

Что правда что ли?
А я то думал что информационной безопасность заниматься специалисты по ИБ.  >:(
Ах да, мы же в России  ;D

А вообще в pfsense можно поставить пакеты arpwath и ipguard.

dr.gopher

@Rezor666:

А я то думал что информационной безопасность заниматься специалисты по ИБ.  >:(
Ах да, мы же в России  ;D

Увы в Украинских школах нет специалистов по ИБ.
У нас есть родители, которые по возможности и уровню знаний помогают школе. :-(

doomerman

@werter:

Ага,  с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а девушки циски - потом.

Ну "неотложную" задачу решили социальными методами….Умного школьника нашли и сказали ему чтоб больше так не делал, иначе отключим вайфай для всех, а по местному радио сделаем объявление, что вайфай отключен из за ученика такого то...Бить мальчика будут все. Мальчик все понял )

Rezor666

@doomerman:

@werter:

Ага,  с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а девушки циски - потом.

Ну "неотложную" задачу решили социальными методами….Умного школьника нашли и сказали ему чтоб больше так не делал, иначе отключим вайфай для всех, а по местному радио сделаем объявление, что вайфай отключен из за ученика такого то...Бить мальчика будут все. Мальчик все понял )

А будь я вашим директором то Вас бы уволил сразу после такого объявления нафиг а умного мальчика сумевшего получить рут на телефоне и использовать уязвимость в сети посадил вместо Вас!
Так как судя по всему гуглит он лучше Вас.

doomerman

@Rezor666:

@doomerman:

@werter:

Ага,  с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а девушки циски - потом.

Ну "неотложную" задачу решили социальными методами….Умного школьника нашли и сказали ему чтоб больше так не делал, иначе отключим вайфай для всех, а по местному радио сделаем объявление, что вайфай отключен из за ученика такого то...Бить мальчика будут все. Мальчик все понял )

А будь я вашим директором то Вас бы уволил сразу после такого объявления нафиг а умного мальчика сумевшего получить рут на телефоне и использовать уязвимость в сети посадил вместо Вас!
Так как судя по всему гуглит он лучше Вас.

Не будте столь агрессивны. Мир в котором Вы обитаете устроен несколько сложнее чем Вам кажется

Rezor666

@doomerman:

Не будте столь агрессивны. Мир в котором Вы обитаете устроен несколько сложнее чем Вам кажется

А меня умиляют люди вроде Вас.
Которые вместо того что бы закрывать дыры, банально запугивают людей умнее Вас.
Сам был 2 года назад студентом и нагляделся на это сполна. В итоге всех админов пере увольняли так как навернуты были все сервера а доступ в инет предоставлен всем желающим.
А все потому что вместо того что бы нормально поговорить всегда шли какие то угрозы.
Подумайте хорошо что будет если этот мальчик вместо wi-fi-kill решит отомстить Вам exploitом, что будете делать?

aleksvolgin

А будь я вашим директором то Вас бы уволил сразу после такого объявления нафиг а умного мальчика сумевшего получить рут на телефоне и использовать уязвимость в сети посадил вместо Вас!
Так как судя по всему гуглит он лучше Вас.

А меня умиляют люди вроде Вас.
Которые вместо того что бы закрывать дыры, банально запугивают людей умнее Вас.
Сам был 2 года назад студентом и нагляделся на это сполна. В итоге всех админов пере увольняли так как навернуты были все сервера а доступ в инет предоставлен всем желающим.
А все потому что вместо того что бы нормально поговорить всегда шли какие то угрозы.
Подумайте хорошо что будет если этот мальчик вместо wi-fi-kill решит отомстить Вам exploitом, что будете делать?

"Золотые слова, Юрий Венедиктович! (С)"

dvserg

Сори коллеги, но имеется предложение свернуть обсуждение уровня профессиональных навыков и вернуться к теме вопроса.

nomeron

Если кому интересно, могу попробовать вредоносы на wifi сети на база http://www.ubnt.com/unifi
Коммутаторы Dlink (самые простые управляемые)
На них есть
ARP Spoofing Prevention (фиксирует ip=mac шлюза)
DHCP Server Screening (отключает dhcp на портах)

По идее, в схеме, когда pf является dhcp и nat, должно очень помогать.