Captive Portal gehackt?
-
Hallo!
Heute beim Durchsehen der Logs, ist mir aufgefallen dass 2 fremde MAC Adressen eine IP Adresse im Captive Portal zugewiesen bekommen haben. Dies ist der eingerichtete Hotspot, ohne WEP oder WPA Sicherung und mit Lokaler Userauthentifizierung. Nutzername und Passwort sollen nicht zu erraten sein. Auch ein paar Firewallregeln wurden abgearbeitet, ob tatsächlich Traffic durchgegangen ist weiß ich nicht. Was mich wundert: in der Firewallregel wird als Quelle IP's aus den USA angegeben und als Ziel eine Captive Portal IP.
Was ist da los? Kam jemand nur zur Anmeldeseite, oder gibt es einen Hack/Bug um über den Hotspot auch ohne Nutzerdaten surfen zu können?
-
Hallo,
für mich schaut es eher danach aus als haben sich zwei Smartphones ( lt. MAC Samsung) den offenen AP gschnappt und eine DHCP Adresse bekommen und Android redet halt gerne mit Google (USA).
Wenn du ein Android Handy hast kannst du es ja mal nachstellen und schauen ob da ohne Captive Anmeldung Daten hin und her gehen.
Bei den 2 Screenshots sieht man halt nicht viel um mehr dazu zu sagen.mfg max
-
Ich wüsste auch nicht wo ich mehr sehen sollte. Traffic wird nur vom WAN Interface geloggt.
-
Hi
enable mal das logging auf der LAN Seite und probier dann mal mit einem Smartphone.
Hast du eine Rule für WAN die bei dir logged oder ist das Log für default rules enabled ? -
Ich logge über SNMP und externem Tool. Was meinst Du mit Rule die loggt? Ich lasse sämtliche Firewallregeln des Hotspots loggen.
-
Na weil du schreibst
"in der Firewallregel wird als Quelle IP's aus den USA angegeben und als Ziel eine Captive Portal IP."
und da müsste dann eine Rule auf dem WAN IF definiert sein die logged oder eben
"Log packets blocked by the default rule" enabledWenn du alle Rules loggst und es diese 2 waren dann muss auch ein Traffic von den Clients auf den Server gegangen sein den du im log siehst.
"Ich lasse sämtliche Firewallregeln des Hotspots loggen. <-/->Traffic wird nur vom WAN Interface geloggt" ????
-
Hallo!
Heute beim Durchsehen der Logs, ist mir aufgefallen dass 2 fremde MAC Adressen eine IP Adresse im Captive Portal zugewiesen bekommen haben. Dies ist der eingerichtete Hotspot, ohne WEP oder WPA Sicherung und mit Lokaler Userauthentifizierung. Nutzername und Passwort sollen nicht zu erraten sein. Auch ein paar Firewallregeln wurden abgearbeitet, ob tatsächlich Traffic durchgegangen ist weiß ich nicht. Was mich wundert: in der Firewallregel wird als Quelle IP's aus den USA angegeben und als Ziel eine Captive Portal IP.
Was ist da los? Kam jemand nur zur Anmeldeseite, oder gibt es einen Hack/Bug um über den Hotspot auch ohne Nutzerdaten surfen zu können?
Hallo,
es ist vollkommen normal und auch erforderlich, dass jemand von der pfsense/DHCP eine IP adresse bekomt. Ohne IP könnte der Rechner nicht mit dem CaptivePortal reden und sich daran anmelden. Wenn also jemand im WLAN deines HotSpots ist, dann bekommt er eine IP. Ob die IP sich anmelden konnte, siehst du eigentlich im System Log –> Portal Auth.
Deine Aussage zu den Quell-IPs kommt mir etwas komisch vor. Wenn der traffic aus deinem HotSpot Netz kommt und du dort per DHCP Adressen vergibst, dann kann die Source-Address keine USA Adresse sein. Du hast vielleicht Quelle und Ziel vertauscht? Weiterhin kannst du die Quell-IP ja einmal auflösen lassen und schauen, ob dahinter ein DNS Name liegt.
-
Hallo Nachtfalke,
das die 2 Clients eine IP vom DHCP bekommen wollte ich auch schon schreiben, aber dann hab ich mir gedacht das ist eh logisch und war ja eigentlich nicht die Frage.
Aber möglicherweise hast du recht und da wird Source & Destination IP vertauscht, deswegen meine Frage wo gelogged wird.mfg max
ps: bist du derjenige mit dem FreeRadius thread ?
-
Das mit der IP is klar, ja.
Portalauth Log zeigt keine Einträge, dass eine Eingabe eines Benutzernamen erfolgt hätte.
Heute gab es jedoch wieder Firewalllogs:
Was meint Ihr dazu?
-
Wieso sind auf deinem WLAN IF Internet IP's als Source sichtbar ???
da ist was schräg und DHCP sollte laut Log auf WLAN nicht gehen da gedroped.
Hast du eine bridge gebastelt ?
-
Ja, das ist ja das was ich mich auch frage.
Ich habe DHCP (67,68) gegen LAN geblockt, da dort auch ein DHCP Server läuft. Der DHCP auf dem WLAN Interface weißt die IP's einwandfrei zu. Und nein, eine Bridge habe ich nicht.
-
Irgendwie schaut es so aus als ob da eine loop ins wan gibt .
Dein DHCP auf dem WLAN kann nicht gehen, deine IP's kommen von woanders..…need more input ...
Also bitte deine config/Firewall rules von LAN/WAN/WLANHardware Aufbau wären auch hilfreich zb. so wenn du eine wlan karte in der pfsense hast
DSL_modem----wan-pfsense-lan
|
--wlan -
Ja, ich habe die WLAN Karte in meiner pfsense. Also
ISP - [WAN] pfsense [LAN] - Switch -> Endgeräte
[WLAN] - HotspotHier noch die Regeln für den Hotspot
Im WAN habe ich nur ein paar Serverspezifische Regeln, sowie volle Freigabe aufs LAN für IPsec und OpenVPN.
Im LAN sind nur die IPsec und OpenVPN Freigaben, sowie HTTP, DNS und FTP freigegeben. -
Das ist wirklich etwas komisch, warum am WLAN interface fremde IPs zugelassen werden.
Zumal die Firewall Regel als Source ja nicht "*", aly "any" angeben sondern auch nur WLAN Subnet.Das CP hast du nur am WLAN interface aktiv?
Hast du squid als proxy laufen?
Hast du diese "Source IPs" mal überprüft, auf welchen DNS diese lauten?
Wieso hast du DHCP auf diesem WLAN interface geblockt?
Hast du pfsense als Bridge laufen?
Nutzt du pfsense 2.0.x oder 2.1?
Hast du allowed MAC addresses oder allowed IP addresses beim CP konfiguriert?@MaxHeadroom
Ja, freeradius2 betreue ich -
Also da gibts dann was nicht …
Was sagt den pfsense welche rule zieht wenn du auf den grünen pfeil drückst auf der Log Seite ?Wan ist eine öffentliche IP ?
1 rule ist eigentlich sinnlos ...da sollte eh nur 192.168.2.x/24 rein/raus gehen (24 ist eine Annahme)
Floating rules gibts auch nicht oder interface groups ?
wenn nicht dann hilft nur mehr das config.xml ... oder alle screenshots...
-
das mit dem geblockten DHCP auf der WLAN ist was mich schon seit dem Anfang stört, woher bekommt der Client dann die IP Adresse da gibts was nicht….
-
Das ist wirklich etwas komisch, warum am WLAN interface fremde IPs zugelassen werden.
Zumal die Firewall Regel als Source ja nicht "*", aly "any" angeben sondern auch nur WLAN Subnet.Das CP hast du nur am WLAN interface aktiv?
Hast du squid als proxy laufen?
Hast du diese "Source IPs" mal überprüft, auf welchen DNS diese lauten?
Wieso hast du DHCP auf diesem WLAN interface geblockt?
Hast du pfsense als Bridge laufen?
Nutzt du pfsense 2.0.x oder 2.1?
Hast du allowed MAC addresses oder allowed IP addresses beim CP konfiguriert?Ja, CP ist nur am WLAN aktiv.
Nein, Squid ist zwar installiert, jedoch nicht konfiguriert.
Die Source IP's kommen fast alle von Facebook (bin ich selbst nicht angemeldet, nutze ich nicht) und teilweise aus dem Netz meines ISP.
Ich hatte ursprünglich DHCP geblockt, damit mir der DHCP Server aus dem LAN Interface nicht reinfunkt, was allerdings Quatsch ist, daher habe ich die Regeln nun entfernt.
Die pfsense hat am WAN eine öffentliche IP.
Nutze Version 2.0.1
Am CP sind keine MAC, oder IP reserviert oder eingetragen.EDIT:
Gerade jetzt ist wieder das Androidgerät aktiv, die PFSense kann es jedoch nicht anpingen. Es werden wieder willkürliche IP's abgearbeitet in den Logs.
EDIT2: Verfolgt man die IP's sind es die Adressen von Amazon, Facebook und Google, die bei "If" aufgelistet sind?!
-
Also mir erschließt sich kein Sinn, wieso auf dem lokalen WLAN interface globale adressen zu sehen sind und diese erlaubt werden.
Jetzt mal blöd gefragt - kannst du auf pfsense 2.0.3 aktualisieren?
-
Finde ich auch äußerst unlogisch. Ich habe mich vertan, 2.0.3 ist drauf, also die aktuellste.
-
Heute wurde die ganze Nacht durch diese Regeln abgearbeitet. Seltsamerweise sind es immer die gleichen Adressen. Zu 90% Facebook. Ich frage mich wieso.