Wifi kill



  • Понимаю что вопрос совершенно не по теме и с пониманием отнесусь к любым действиям модераторов.
    Просто как то не знаю особо других форумов по тематике.

    В школе где пытаюсь админить сегодня произошел казус. Один умный школнег с помощью телефона на андройде и приложения wifi kill положил нафиг всю сеть….

    Вот сидим пытаемся придумать решение какое то...Может кто знает в какую сторону копать ?



  • Вот сидим пытаемся придумать решение какое то…Может кто знает в какую сторону копать ?

    Копать нужно в сторону алгоритма работы проги. Вот, к примеру.



  • Цитата http://www.droidnews.ru/wifikill-ubiyca-v-seti

    Кстати в защита от этого есть — новые WiFi точки умеют работать в изолированном режиме, когда ни один клиент не видит другого. В таком варианте эту хрень не сработает.



  • @dvserg:

    Цитата http://www.droidnews.ru/wifikill-ubiyca-v-seti

    Кстати в защита от этого есть — новые WiFi точки умеют работать в изолированном режиме, когда ни один клиент не видит другого. В таком варианте эту хрень не сработает.

    да но к сожалению у нас dlink dap-1150
    в ее админке я ничего похожего не нашел

    в связи с этим вопрос поможет ли установка в dhcp сервере галочка Enable Static ARP entries ?
    Что собственно она даст?





  • А правда, что делать, если кто-то себе такую прогу поставить, как защититься, как найти человека?



  • @yragan:

    А правда, что делать, если кто-то себе такую прогу поставить, как защититься, как найти человека?

    Счастье в неведении!

    Перехват аккаунтов пользователей в Wi-Fi-сетях
    http://www.thin.kiev.ua/android-kat/752-wi-fi-android.html



  • @dr.gopher:

    @doomerman:

    галочка Enable Static ARP entries ?

    http://www.thin.kiev.ua/router-os/50-pfsense/571-service.html

    по ходу арп не поможет ни разу…умный школьнег пропишет настройки интерфейса ручками....
    Придется видимо прописывать белые макадреса во всех точках доступа....И то это ничо не гарантирует...Кто ему помешает мак подменить...Блин чо делать то?



  • @doomerman:

    подменить…Блин чо делать то?

    Прикольная софтина. Я вчера тестил. Эдак можно любого админа задрочить, отключая у шефа сеть. Отключил включил, 5 раз. И уволили ненавистного админа, забанившего соц. сети.



  • @dr.gopher:

    @yragan:

    А правда, что делать, если кто-то себе такую прогу поставить, как защититься, как найти человека?

    Счастье в неведении!

    Перехват аккаунтов пользователей в Wi-Fi-сетях
    http://www.thin.kiev.ua/android-kat/752-wi-fi-android.html

    Только ответ на вопрос остался без ответа.



  • @yragan:

    Только ответ на вопрос остался без ответа.

    На какой из них? Защитится - см выше про изолированный режим. Про 'найти' - тут список возможных вариантов достаточно широк.



  • @dvserg:

    см выше про изолированный режим.

    Изолированный режим у D-link зовется WLAN Partition

    Но на моей древней dwl-2100ap это не работет.



  • @dr.gopher:

    @dvserg:

    см выше про изолированный режим.

    Изолированный режим у D-link зовется WLAN Partition

    Но на моей древней dwl-2100ap это не работет.

    Обновлением прошивки не лечится? Тогда коллекционируйте камни и кирпичи - юзеров отстреливать.



  • Есть вариант залить туда Openwrt (сборка от Kamikaze). Но там только консоль вроде, т.е. веб-морды нет :(

    http://wiki.openwrt.org/toh/d-link/dwl-2100ap#install.openwrt
    http://forum.nag.ru/forum/index.php?showtopic=43098
    https://forum.openwrt.org/viewtopic.php?id=16286
    https://forum.openwrt.org/viewtopic.php?pid=61015
    http://www.lan23.ru/forum/showthread.php?t=1102

    P.s. Если есть возможность - приобретайте тот же Asus RT-N12 C1. Заливайте туда Tomato от Shibby. Недорого и ооооочень широкие возможности открываются (en.wikipedia.org/wiki/Tomato_(firmware) ).
    Хе-хе, а еще китайцы Tomato 4 WAN недавно начали докручивать :)



  • @werter:

    Есть вариант залить туда Openwrt (сборка от Kamikaze).

    Я не топик постер. Просто потестил на своей точке доступа. Альтернативные прошивки смотрел - почти все они для роутеров.

    @werter:

    P.s. Если есть возможность - приобретайте тот же Asus RT-N12 C1. Заливайте туда Tomato от Shibby.

    Не факт.
    И  изолированный режим может не помочь, так как софтина сканирует и блокирует все найденные IP в подсети. Как проводные, так и беспроводные подключения.



  • 2  dr.gopher
    Как я понимаю, этот т.н. "изолированный режим" - это засовывание каждого подключающегося клиента в отдельный VLAN. Если неправ - поправьте.



  • @werter:

    Как я понимаю, этот т.н. "изолированный режим" - это засовывание каждого подключающегося клиента в отдельный VLAN.

    Без понятия как оно работает. Протестил на DDWRT.
    dvserg как всегда оказался прав.

    После включения Advanced Wireless Settings -> AP Isolation
    WIFIKILL перестал видеть остальные точки доступа.
    Но видит и блокирует все компы подключенные по ethernet.




  • @doomerman:

    Блин чо делать то?

    Организуйте отдельный  роутер с wifi, с прошивкой DDWRT (отдельную подсеть) для школьников. Включите Advanced Wireless Settings -> AP Isolation.



  • @doomerman:

    Понимаю что вопрос совершенно не по теме и с пониманием отнесусь к любым действиям модераторов.
    Просто как то не знаю особо других форумов по тематике.

    В школе где пытаюсь админить сегодня произошел казус. Один умный школнег с помощью телефона на андройде и приложения wifi kill положил нафиг всю сеть….

    Вот сидим пытаемся придумать решение какое то...Может кто знает в какую сторону копать ?

    Начнем с начала.
    У вас железка как ТД работает, правильно ? И подключена в один из портов pfsense или же в общий свитч , куда подключен LAN pfsense? Если в свитч , то попробуйте перевоткнуть вашу 1150 в отдельный порт на pfsense. Естественно, что адреса для ви-фи клиентов должны выдаваться pf-ом и из подсети\сети ОТЛИЧНОЙ от вашей LAN. Это будет возможно, после активации интерфейса , куда напрямую будет воткнута 1150.
    Затем в настройках fw для LAN и для нового интерфейса запретить\разрешить все что вам нужно. Как вариант, засунуть этот новый интерфейс в отдельный VLAN - тогда из него доступ в LAN вообще пропадет.

    P.s. По Tomato . Вот ссылки по организации отдельной (guest) сети для клиентов ви-фи:

    1. http://www.myopenrouter.com/forum/thread/36384/WNR3500Lv2-tomato-and-multiple-SSID/ - последний пост от Subhra
    2. http://www.linksysinfo.org/index.php?threads/possible-to-put-wifi-on-separate-dhcp-range-than-wired.34131/ - пост от TexasFlood с кучей ссылок
    3. http://www.seiichiro0185.org/blog:creating_a_seperate_guest_network_with_tomato
    4. http://www.linksysinfo.org/index.php?attachments/separate_wlan_from_lan_with_own_subnet_and_dhcp_server-pdf.1142/
    5. http://code.google.com/p/tomato-sdhc-vlan/wiki/MultiSSIDHOWTOForWRT54GL
    6. http://code.google.com/p/tomato-sdhc-vlan/wiki/MultiSSIDHOWTOForE3000



  • doomerman
    Сами виноваты и таких админов и правда надо увольнять!
    Кто дает доступ к школьникам к рабочей сети? Надо было делать гостевую сетку.
    А если бы я пришел с backtrack то что было бы?
    Вы вообще гуглили по запросу защиты от arp атак?



  • @Rezor666:

    doomerman
    Сами виноваты и таких админов и правда надо увольнять!
    Кто дает доступ к школьникам к рабочей сети? Надо было делать гостевую сетку.

    В большинстве школ админы приходящие, а бюджет мизерный.
    Либо вообще просят чьего-либо папу настроить.
    Сам часто сталкиваюсь.



  • @Rezor666:

    doomerman
    Сами виноваты и таких админов и правда надо увольнять!
    Кто дает доступ к школьникам к рабочей сети? Надо было делать гостевую сетку.
    А если бы я пришел с backtrack то что было бы?
    Вы вообще гуглили по запросу защиты от arp атак?

    Сеть общешкольная. Учителя работают на ноутах. Понятное дело, что в таких условиях сохранить в тайне ключ шифрования довольно сложно.
    Пока наверно сегментируем сеть и сделаем фильтрацию по макам. По крайне мере вся сеть не будет падать.



  • dvserg
    Отмазки, просто уровень знаний большинства IT специалистов не отличается от уровня пользователя.
    doomerman
    И что?
    Всем учетки в AD.
    Составляем регламенты и запрещаем передачу оборудования 3 лицам, нарушают - к директору.
    На всех Wi-Fi точках закрывайте WPS и ставьте сложный пароль.
    Если сервер на pfsense то при атаке arp вы увидите это в логах и мак адрес атакующего.
    И вообще через групповые политики запрещаем пользователям просматривать настройки сети.
    Фильтрация mac адресов обходиться в течении 10 сек.
    Так же смотрим в сторону SNMPv3.

    Кстати а Вы готовы нести ответственность за утечку конфиденциальной информации? Прошу заметить что это будет лежать на Вас.



  • для гостей не проще отдельную АР организовать?
    У меня например на одной карте в pfsense висит 2 AP. Одна с паролем и доступом к другим компам, вторая без пароля и выходом только в интернет с ограничениями по скорости. Можно так же ограничить скорость из подсети wifi к подсети lan, тогда проведение атаки будет затруднено + нормальная настройка firewall.



  • А кто нибудь пробовал защищаться от подобных атак при помоши встроенных в коммутаторы функций ?
    Наприме в описании D-Link DGS-1210

    Для предотвращения атак ARP  Spoofing коммутатор использует функцию Packet Control ACLs для блокировки пакетов, содержащих ложные ARP-сообщения. Для повышения уровня безопасности используется функция DHCP Server Screening, запрещающая доступ неавторизованным DHCP-серверам.



  • Ув. топикстартер. Вы эти варианты у себя пробовали ?

    Начнем с начала.
    У вас железка как ТД работает, правильно ? И подключена в один из портов pfsense или же в общий свитч , куда подключен LAN pfsense? Если в свитч , то попробуйте перевоткнуть вашу 1150 в отдельный порт на pfsense. Естественно, что адреса для ви-фи клиентов должны выдаваться pf-ом и из подсети\сети ОТЛИЧНОЙ от вашей LAN. Это будет возможно, после активации интерфейса , куда напрямую будет воткнута 1150. Затем в настройках fw для LAN и для нового интерфейса запретить\разрешить все что вам нужно. Как вариант, засунуть этот новый интерфейс в отдельный VLAN - тогда из него доступ в LAN вообще пропадет.

    для гостей не проще отдельную АР организовать?
    У меня например на одной карте в pfsense висит 2 AP. Одна с паролем и доступом к другим компам, вторая без пароля и выходом только в интернет с ограничениями по скорости. Можно так же ограничить скорость из подсети wifi к подсети lan, тогда проведение атаки будет затруднено + нормальная настройка firewall.

    Уже готовые руководства к действию. Дерзайте.

    P.s. @nomeron:

    А кто нибудь пробовал защищаться от подобных атак при помоши встроенных в коммутаторы функций ?
    Наприме в описании D-Link DGS-1210

    Для предотвращения атак ARP  Spoofing коммутатор использует функцию Packet Control ACLs для блокировки пакетов, содержащих ложные ARP-сообщения. Для повышения уровня безопасности используется функция DHCP Server Screening, запрещающая доступ неавторизованным DHCP-серверам.

    У вас идет речь о защите от неавторизированных DHCP в локальной сети. Самый простой пример - взять на своем роутере, имеющем в своих возможностях раздавать адреса, кабель провайдера воткнуть в LAN-разъем. Если сеть провайдера построена на тупых свитчах , то люди будут получать адреса (частично) от вашего роутера , а не от сервера провайдера.



  • @werter:

    Ув. топикстартер. Вы эти варианты у себя пробовали ?

    Начнем с начала.
    У вас железка как ТД работает, правильно ? И подключена в один из портов pfsense или же в общий свитч , куда подключен LAN pfsense? Если в свитч , то попробуйте перевоткнуть вашу 1150 в отдельный порт на pfsense. Естественно, что адреса для ви-фи клиентов должны выдаваться pf-ом и из подсети\сети ОТЛИЧНОЙ от вашей LAN. Это будет возможно, после активации интерфейса , куда напрямую будет воткнута 1150. Затем в настройках fw для LAN и для нового интерфейса запретить\разрешить все что вам нужно. Как вариант, засунуть этот новый интерфейс в отдельный VLAN - тогда из него доступ в LAN вообще пропадет.

    для гостей не проще отдельную АР организовать?
    У меня например на одной карте в pfsense висит 2 AP. Одна с паролем и доступом к другим компам, вторая без пароля и выходом только в интернет с ограничениями по скорости. Можно так же ограничить скорость из подсети wifi к подсети lan, тогда проведение атаки будет затруднено + нормальная настройка firewall.

    Уже готовые руководства к действию. Дерзайте.

    P.s. @nomeron:

    А кто нибудь пробовал защищаться от подобных атак при помоши встроенных в коммутаторы функций ?
    Наприме в описании D-Link DGS-1210

    Для предотвращения атак ARP  Spoofing коммутатор использует функцию Packet Control ACLs для блокировки пакетов, содержащих ложные ARP-сообщения. Для повышения уровня безопасности используется функция DHCP Server Screening, запрещающая доступ неавторизованным DHCP-серверам.

    У вас идет речь о защите от неавторизированных DHCP в локальной сети. Самый простой пример - взять на своем роутере, имеющем в своих возможностях раздавать адреса, кабель провайдера воткнуть в LAN-разъем. Если сеть провайдера построена на тупых свитчах , то люди будут получать адреса (частично) от вашего роутера , а не от сервера провайдера.

    Я хочу посмотреть чуть в другую сторону. У нас один из свичей - Cisco вроде бы 2960. Там по моему есть защита от арп атак. Надо токо разобраться с ее администрированием.



  • Ага,  с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а девушки циски - потом.



  • Ага,  с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а девушки циски - потом.

    Для нескольких устройств достаточный и правильный метод как раз и использовать циску.
    Изолировал порты на коммутаторе и сделал всем доступ только к порту pf. Что может быть проще ?
    Хотя мое мнение, такие проблемы надо решать логированием и административными методами.
    Закроете одну уязвимость, школьники найдут другую. Поставите openwrt, а там уже судя по роликам нулевая уязвимость и тп.



  • @nomeron:

    Закроете одну уязвимость, школьники найдут другую.

    Для этого и нужны админы.
    Нет технологий без уязвимости.



  • @dr.gopher:

    @nomeron:

    Закроете одну уязвимость, школьники найдут другую.

    Для этого и нужны админы.
    Нет технологий без уязвимости.

    Что правда что ли?
    А я то думал что информационной безопасность заниматься специалисты по ИБ.  >:(
    Ах да, мы же в России  ;D

    А вообще в pfsense можно поставить пакеты arpwath и ipguard.



  • @Rezor666:

    А я то думал что информационной безопасность заниматься специалисты по ИБ.  >:(
    Ах да, мы же в России  ;D

    Увы в Украинских школах нет специалистов по ИБ.
    У нас есть родители, которые по возможности и уровню знаний помогают школе. :-(



  • @werter:

    Ага,  с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а девушки циски - потом.

    Ну "неотложную" задачу решили социальными методами….Умного школьника нашли и сказали ему чтоб больше так не делал, иначе отключим вайфай для всех, а по местному радио сделаем объявление, что вайфай отключен из за ученика такого то...Бить мальчика будут все. Мальчик все понял )



  • @doomerman:

    @werter:

    Ага,  с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а девушки циски - потом.

    Ну "неотложную" задачу решили социальными методами….Умного школьника нашли и сказали ему чтоб больше так не делал, иначе отключим вайфай для всех, а по местному радио сделаем объявление, что вайфай отключен из за ученика такого то...Бить мальчика будут все. Мальчик все понял )

    А будь я вашим директором то Вас бы уволил сразу после такого объявления нафиг а умного мальчика сумевшего получить рут на телефоне и использовать уязвимость в сети посадил вместо Вас!
    Так как судя по всему гуглит он лучше Вас.



  • @Rezor666:

    @doomerman:

    @werter:

    Ага,  с CCNA прям и начнете немного разбираться. Это похвально , что есть желание мучать "кошку" , но задача у вас стоит , я так понял, почти неотложная и тут вступает в силу принцип разумной достаточности. Решите проблему выше вам предложенными способами (или своим) с помощью pfsense, ну а девушки циски - потом.

    Ну "неотложную" задачу решили социальными методами….Умного школьника нашли и сказали ему чтоб больше так не делал, иначе отключим вайфай для всех, а по местному радио сделаем объявление, что вайфай отключен из за ученика такого то...Бить мальчика будут все. Мальчик все понял )

    А будь я вашим директором то Вас бы уволил сразу после такого объявления нафиг а умного мальчика сумевшего получить рут на телефоне и использовать уязвимость в сети посадил вместо Вас!
    Так как судя по всему гуглит он лучше Вас.

    Не будте столь агрессивны. Мир в котором Вы обитаете устроен несколько сложнее чем Вам кажется



  • @doomerman:

    Не будте столь агрессивны. Мир в котором Вы обитаете устроен несколько сложнее чем Вам кажется

    А меня умиляют люди вроде Вас.
    Которые вместо того что бы закрывать дыры, банально запугивают людей умнее Вас.
    Сам был 2 года назад студентом и нагляделся на это сполна. В итоге всех админов пере увольняли так как навернуты были все сервера а доступ в инет предоставлен всем желающим.
    А все потому что вместо того что бы нормально поговорить всегда шли какие то угрозы.
    Подумайте хорошо что будет если этот мальчик вместо wi-fi-kill решит отомстить Вам exploitом, что будете делать?



  • А будь я вашим директором то Вас бы уволил сразу после такого объявления нафиг а умного мальчика сумевшего получить рут на телефоне и использовать уязвимость в сети посадил вместо Вас!
    Так как судя по всему гуглит он лучше Вас.

    А меня умиляют люди вроде Вас.
    Которые вместо того что бы закрывать дыры, банально запугивают людей умнее Вас.
    Сам был 2 года назад студентом и нагляделся на это сполна. В итоге всех админов пере увольняли так как навернуты были все сервера а доступ в инет предоставлен всем желающим.
    А все потому что вместо того что бы нормально поговорить всегда шли какие то угрозы.
    Подумайте хорошо что будет если этот мальчик вместо wi-fi-kill решит отомстить Вам exploitом, что будете делать?

    "Золотые слова, Юрий Венедиктович! (С)"



  • Сори коллеги, но имеется предложение свернуть обсуждение уровня профессиональных навыков и вернуться к теме вопроса.



  • Если кому интересно, могу попробовать вредоносы на wifi сети на база http://www.ubnt.com/unifi
    Коммутаторы Dlink (самые простые управляемые)
    На них есть
    ARP Spoofing Prevention (фиксирует ip=mac шлюза)
    DHCP Server Screening (отключает dhcp на портах)

    По идее, в схеме, когда pf является dhcp и nat, должно очень помогать.


Log in to reply