Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Wifi kill

    Scheduled Pinned Locked Moved Russian
    39 Posts 9 Posters 17.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • N
      nomeron
      last edited by

      А кто нибудь пробовал защищаться от подобных атак при помоши встроенных в коммутаторы функций ?
      Наприме в описании D-Link DGS-1210

      Для предотвращения атак ARP  Spoofing коммутатор использует функцию Packet Control ACLs для блокировки пакетов, содержащих ложные ARP-сообщения. Для повышения уровня безопасности используется функция DHCP Server Screening, запрещающая доступ неавторизованным DHCP-серверам.

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Ув. топикстартер. Вы эти варианты у себя пробовали ?

        Начнем с начала.
        У вас железка как ТД работает, правильно ? И подключена в один из портов pfsense или же в общий свитч , куда подключен LAN pfsense? Если в свитч , то попробуйте перевоткнуть вашу 1150 в отдельный порт на pfsense. Естественно, что адреса для ви-фи клиентов должны выдаваться pf-ом и из подсети\сети ОТЛИЧНОЙ от вашей LAN. Это будет возможно, после активации интерфейса , куда напрямую будет воткнута 1150. Затем в настройках fw для LAN и для нового интерфейса запретить\разрешить все что вам нужно. Как вариант, засунуть этот новый интерфейс в отдельный VLAN - тогда из него доступ в LAN вообще пропадет.

        для гостей не проще отдельную АР организовать?
        У меня например на одной карте в pfsense висит 2 AP. Одна с паролем и доступом к другим компам, вторая без пароля и выходом только в интернет с ограничениями по скорости. Можно так же ограничить скорость из подсети wifi к подсети lan, тогда проведение атаки будет затруднено + нормальная настройка firewall.

        Уже готовые руководства к действию. Дерзайте.

        P.s. @nomeron:

        А кто нибудь пробовал защищаться от подобных атак при помоши встроенных в коммутаторы функций ?
        Наприме в описании D-Link DGS-1210

        Для предотвращения атак ARP  Spoofing коммутатор использует функцию Packet Control ACLs для блокировки пакетов, содержащих ложные ARP-сообщения. Для повышения уровня безопасности используется функция DHCP Server Screening, запрещающая доступ неавторизованным DHCP-серверам.

        У вас идет речь о защите от неавторизированных DHCP в локальной сети. Самый простой пример - взять на своем роутере, имеющем в своих возможностях раздавать адреса, кабель провайдера воткнуть в LAN-разъем. Если сеть провайдера построена на тупых свитчах , то люди будут получать адреса (частично) от вашего роутера , а не от сервера провайдера.

        1 Reply Last reply Reply Quote 0
        • D
          doomerman
          last edited by

          @werter:

          Ув. топикстартер. Вы эти варианты у себя пробовали ?

          Начнем с начала.
          У вас железка как ТД работает, правильно ? И подключена в один из портов pfsense или же в общий свитч , куда подключен LAN pfsense? Если в свитч , то попробуйте перевоткнуть вашу 1150 в отдельный порт на pfsense. Естественно, что адреса для ви-фи клиентов должны выдаваться pf-ом и из подсети\сети ОТЛИЧНОЙ от вашей LAN. Это будет возможно, после активации интерфейса , куда напрямую будет воткнута 1150. Затем в настройках fw для LAN и для нового интерфейса запретить\разрешить все что вам нужно. Как вариант, засунуть этот новый интерфейс в отдельный VLAN - тогда из него доступ в LAN вообще пропадет.

          для гостей не проще отдельную АР организовать?
          У меня например на одной карте в pfsense висит 2 AP. Одна с паролем и доступом к другим компам, вторая без пароля и выходом только в интернет с ограничениями по скорости. Можно так же ограничить скорость из подсети wifi к подсети lan, тогда проведение атаки будет затруднено + нормальная настройка firewall.

          Уже готовые руководства к действию. Дерзайте.

          P.s. @nomeron:

          А кто нибудь пробовал защищаться от подобных атак при помоши встроенных в коммутаторы функций ?
          Наприме в описании D-Link DGS-1210

          Для предотвращения атак ARP  Spoofing коммутатор использует функцию Packet Control ACLs для блокировки пакетов, содержащих ложные ARP-сообщения. Для повышения уровня безопасности используется функция DHCP Server Screening, запрещающая доступ неавторизованным DHCP-серверам.

          У вас идет речь о защите от неавторизированных DHCP в локальной сети. Самый простой пример - взять на своем роутере, имеющем в своих возможностях раздавать адреса, кабель провайдера воткнуть в LAN-разъем. Если сеть провайдера построена на тупых свитчах , то люди будут получать адреса (частично) от вашего роутера , а не от сервера провайдера.

          Я хочу посмотреть чуть в другую сторону. У нас один из свичей - Cisco вроде бы 2960. Там по моему есть защита от арп атак. Надо токо разобраться с ее администрированием.

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            Ага,  с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а девушки циски - потом.

            1 Reply Last reply Reply Quote 0
            • N
              nomeron
              last edited by

              Ага,  с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а девушки циски - потом.

              Для нескольких устройств достаточный и правильный метод как раз и использовать циску.
              Изолировал порты на коммутаторе и сделал всем доступ только к порту pf. Что может быть проще ?
              Хотя мое мнение, такие проблемы надо решать логированием и административными методами.
              Закроете одну уязвимость, школьники найдут другую. Поставите openwrt, а там уже судя по роликам нулевая уязвимость и тп.

              1 Reply Last reply Reply Quote 0
              • D
                dr.gopher
                last edited by

                @nomeron:

                Закроете одну уязвимость, школьники найдут другую.

                Для этого и нужны админы.
                Нет технологий без уязвимости.

                FAQ PfSense 2.0

                И не забываем про Adblock дабы не видеть баннеров.

                И многое другое на www.thin.kiev.ua

                1 Reply Last reply Reply Quote 0
                • R
                  Rezor666
                  last edited by

                  @dr.gopher:

                  @nomeron:

                  Закроете одну уязвимость, школьники найдут другую.

                  Для этого и нужны админы.
                  Нет технологий без уязвимости.

                  Что правда что ли?
                  А я то думал что информационной безопасность заниматься специалисты по ИБ.  >:(
                  Ах да, мы же в России  ;D

                  А вообще в pfsense можно поставить пакеты arpwath и ipguard.

                  (System administrator  | Certified Dr.Web | Office Guru)
                  Мой блог

                  1 Reply Last reply Reply Quote 0
                  • D
                    dr.gopher
                    last edited by

                    @Rezor666:

                    А я то думал что информационной безопасность заниматься специалисты по ИБ.  >:(
                    Ах да, мы же в России  ;D

                    Увы в Украинских школах нет специалистов по ИБ.
                    У нас есть родители, которые по возможности и уровню знаний помогают школе. :-(

                    FAQ PfSense 2.0

                    И не забываем про Adblock дабы не видеть баннеров.

                    И многое другое на www.thin.kiev.ua

                    1 Reply Last reply Reply Quote 0
                    • D
                      doomerman
                      last edited by

                      @werter:

                      Ага,  с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а девушки циски - потом.

                      Ну "неотложную" задачу решили социальными методами….Умного школьника нашли и сказали ему чтоб больше так не делал, иначе отключим вайфай для всех, а по местному радио сделаем объявление, что вайфай отключен из за ученика такого то...Бить мальчика будут все. Мальчик все понял )

                      1 Reply Last reply Reply Quote 0
                      • R
                        Rezor666
                        last edited by

                        @doomerman:

                        @werter:

                        Ага,  с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а девушки циски - потом.

                        Ну "неотложную" задачу решили социальными методами….Умного школьника нашли и сказали ему чтоб больше так не делал, иначе отключим вайфай для всех, а по местному радио сделаем объявление, что вайфай отключен из за ученика такого то...Бить мальчика будут все. Мальчик все понял )

                        А будь я вашим директором то Вас бы уволил сразу после такого объявления нафиг а умного мальчика сумевшего получить рут на телефоне и использовать уязвимость в сети посадил вместо Вас!
                        Так как судя по всему гуглит он лучше Вас.

                        (System administrator  | Certified Dr.Web | Office Guru)
                        Мой блог

                        1 Reply Last reply Reply Quote 0
                        • D
                          doomerman
                          last edited by

                          @Rezor666:

                          @doomerman:

                          @werter:

                          Ага,  с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а девушки циски - потом.

                          Ну "неотложную" задачу решили социальными методами….Умного школьника нашли и сказали ему чтоб больше так не делал, иначе отключим вайфай для всех, а по местному радио сделаем объявление, что вайфай отключен из за ученика такого то...Бить мальчика будут все. Мальчик все понял )

                          А будь я вашим директором то Вас бы уволил сразу после такого объявления нафиг а умного мальчика сумевшего получить рут на телефоне и использовать уязвимость в сети посадил вместо Вас!
                          Так как судя по всему гуглит он лучше Вас.

                          Не будте столь агрессивны. Мир в котором Вы обитаете устроен несколько сложнее чем Вам кажется

                          1 Reply Last reply Reply Quote 0
                          • R
                            Rezor666
                            last edited by

                            @doomerman:

                            Не будте столь агрессивны. Мир в котором Вы обитаете устроен несколько сложнее чем Вам кажется

                            А меня умиляют люди вроде Вас.
                            Которые вместо того что бы закрывать дыры, банально запугивают людей умнее Вас.
                            Сам был 2 года назад студентом и нагляделся на это сполна. В итоге всех админов пере увольняли так как навернуты были все сервера а доступ в инет предоставлен всем желающим.
                            А все потому что вместо того что бы нормально поговорить всегда шли какие то угрозы.
                            Подумайте хорошо что будет если этот мальчик вместо wi-fi-kill решит отомстить Вам exploitом, что будете делать?

                            (System administrator  | Certified Dr.Web | Office Guru)
                            Мой блог

                            1 Reply Last reply Reply Quote 0
                            • A
                              aleksvolgin
                              last edited by

                              А будь я вашим директором то Вас бы уволил сразу после такого объявления нафиг а умного мальчика сумевшего получить рут на телефоне и использовать уязвимость в сети посадил вместо Вас!
                              Так как судя по всему гуглит он лучше Вас.

                              А меня умиляют люди вроде Вас.
                              Которые вместо того что бы закрывать дыры, банально запугивают людей умнее Вас.
                              Сам был 2 года назад студентом и нагляделся на это сполна. В итоге всех админов пере увольняли так как навернуты были все сервера а доступ в инет предоставлен всем желающим.
                              А все потому что вместо того что бы нормально поговорить всегда шли какие то угрозы.
                              Подумайте хорошо что будет если этот мальчик вместо wi-fi-kill решит отомстить Вам exploitом, что будете делать?

                              "Золотые слова, Юрий Венедиктович! (С)"

                              1 Reply Last reply Reply Quote 0
                              • D
                                dvserg
                                last edited by

                                Сори коллеги, но имеется предложение свернуть обсуждение уровня профессиональных навыков и вернуться к теме вопроса.

                                SquidGuardDoc EN  RU Tutorial
                                Localization ru_PFSense

                                1 Reply Last reply Reply Quote 0
                                • N
                                  nomeron
                                  last edited by

                                  Если кому интересно, могу попробовать вредоносы на wifi сети на база http://www.ubnt.com/unifi
                                  Коммутаторы Dlink (самые простые управляемые)
                                  На них есть
                                  ARP Spoofing Prevention (фиксирует ip=mac шлюза)
                                  DHCP Server Screening (отключает dhcp на портах)

                                  По идее, в схеме, когда pf является dhcp и nat, должно очень помогать.

                                  1 Reply Last reply Reply Quote 0
                                  • First post
                                    Last post
                                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.