wtyd Опубликовано 3 июня, 2015 · Жалоба Вчера попробовал дома следующую операцию: подключился к своему запароленному ви-фи дома, сперва получил адрес по dhcp, потом снёс его и прописал соседний -- сеть работает. Значит в стандартной поставке SOHO роутеров защиты от подмены адресов нет, но это там и не требуется. Однако, если оператор связи решит раздавать доступ в internet через wi-fi с разными тарифами, то определённые проблемы будут. Чисто теоретически, имея логин с паролем для подключения, можно себе выставить любой ip-адрес, например, из пула адресов с другим тарифом с более широкой полосой. Можно конечно попробовать превентить такой вид безобразия на уровне распределения/ядра, но мой вопрос о другом: Можно ли на точке доступа сделать определённую защиту от подмены ip-адреса ? Аналог ip source guard на ethernet коммутаторах доступа. Или ip-mac-port-binding или как-то так :-). Интересует, как такое сделать, например, на openwrt (скрипты, которые правят фаервол на основе ответа радиуса или dhcp?) или может быть есть фичи у точек доступа ruckus ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 3 июня, 2015 · Жалоба вы не путаете выдача адреса по днсп и по впн соединению ??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wtyd Опубликовано 3 июня, 2015 · Жалоба вы не путаете выдача адреса по днсп и по впн соединению ??? Не путаю :-). Причём тут впн ? ВПН нам не нужен. Хотим сделать так: клиент авторизуется на точки доступа, получает ip-адрес по dhcp и работает. При этом точка должна фильтровать пакеты от клиента (можно и к клиенту) по типу фичи ip source guard как в езернет свичах. Пока что наблюдаю картину, что после успешного подключения к точке доступа я оказываюсь подключенным в неуправляемый хаб, можно конечно изоляцию клиентов друг от друга включить, но это не запретит мне поменять ойпи на адрес соседа и работать. Хочу чтобы так было нельзя делать и чтобы этим занималась точка доступа, а не вышестоящее оборудование, если это вообще возможно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shipilev Опубликовано 3 июня, 2015 (изменено) · Жалоба Пользователь пришёл из правильной подсети, ну дак роутер и рад. Навелосипедить скрипты, которые в файрвол выписывают все пары mac-ip из dhcp lease-ы можно, но так юзеры и маки подменят. Благо их в вайфае можно снюхать, в отличие от проводного коммутатора (не, его тоже можно в броадкаст завалить, но придут злые дяди и будут задавать неудобные вопросы). В целом ситуация не отличается от того, как если бы в контролируемый коммутатор с port security был вставлен тупой хаб и на него повешено N пользователей -- как их друг от друга отличить? Можно каждому пользователю поднять свою virtual AP с уникальным SSID-ом и уникальный ключом (убегает в ужасе, дико хохоча). А если можно кошмарить пользователей, так и просто их аутентифицировать на доступе с 802.1X. А проще (как большинство и делает), выдать каждому свой собственный PPPoE/PPtP/etc туннель с аутентификацией. Ну или если точка -- не совсем мыльница и понимает RADIUS, то пользователей во вланах изолировать, а там пусть хоть заменяются адресов. Изменено 3 июня, 2015 пользователем shipilev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 3 июня, 2015 · Жалоба Можно ли на точке доступа сделать определённую защиту от подмены ip-адреса ? Аналог ip source guard на ethernet коммутаторах доступа. Или ip-mac-port-binding или как-то так :-). На микротике на радиоинтерфейсе или бридже, куда он добавлен, отключаете ARP и устанавливаете его в режим Reply-only, в настройках DHCP сервера устанавливаете галочку добавления статических арп записей, время аренды адреса устанавливаете 5 минут. В настройках радиоинтерфейса включаете изоляцию клиентов. Пользователь пришёл из правильной подсети, ну дак роутер и рад. Навелосипедить скрипты, которые в файрвол выписывают все пары mac-ip из dhcp lease-ы можно, но так юзеры и маки подменят. Благо их в вайфае можно снюхать, в отличие от проводного коммутатора (не, его тоже можно в броадкаст завалить, но придут злые дяди и будут задавать неудобные вопросы). В целом ситуация не отличается от того, как если бы в контролируемый коммутатор с port security был вставлен тупой хаб и на него повешено N пользователей -- как их друг от друга отличить? Даже если 1-2 клиента поставят себе чужие адреса, от оператора ничего не убудет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[anp/hsw] Опубликовано 3 июня, 2015 · Жалоба На микротике на радиоинтерфейсе или бридже, куда он добавлен, отключаете ARP и устанавливаете его в режим Reply-only, в настройках DHCP сервера устанавливаете галочку добавления статических арп записей, время аренды адреса устанавливаете 5 минут. В настройках радиоинтерфейса включаете изоляцию клиентов. Человек запускает у себя tcpdump, и узнает все связки мак-ip из ответов сервера клиентам. Дальше спокойно использует эти данные. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 3 июня, 2015 · Жалоба ' timestamp='1433317415' post='1134659']Человек запускает у себя tcpdump, и узнает все связки мак-ip из ответов сервера клиентам. Дальше спокойно использует эти данные. Прямо по улицам ходят тысячи хакеров, которые только и занимаются тем, что слушают маки из беспроводных сетей. Практика работы показывает, что такими вещами никто не занимается, максимум что бывало, так это абонент забывал включить автоматическое получение IP на беспроводном адаптере и ломился в сеть с не верными настройки адреса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shipilev Опубликовано 3 июня, 2015 · Жалоба На микротике на радиоинтерфейсе или бридже, куда он добавлен, отключаете ARP и устанавливаете его в режим Reply-only, в настройках DHCP сервера устанавливаете галочку добавления статических арп записей, время аренды адреса устанавливаете 5 минут. В настройках радиоинтерфейса включаете изоляцию клиентов. А кстати, неплохой вариант. Это защищает от смены ip-адреса после его назначения, при условии, что снюхать чужую пару ip-mac нельзя. Только вот DHCP-ответ-то можно и снюхать, нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 3 июня, 2015 · Жалоба да чё вы велосипед изобретает? Какие нафиг multi-SSID(кстати их количество ограниченно чипом, и редко позволяет более 4шт, если память не изменяет). Всё давно придумано за Вас, называется vlan-per-client, авторизация хоть через RADIUS-MAC, хоть, через EAP(что правильнее(секьюрнее), но геморойнее в настройке). Точка сама будет сопоставлять нужный vlan с нужным юзвером. Ну или геморойный вариант iptables + таблицы фильтрации с записями MAC-IP, можно даже из БД тянуть, были такие модули. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[anp/hsw] Опубликовано 3 июня, 2015 · Жалоба Прямо по улицам ходят тысячи хакеров, которые только и занимаются тем, что слушают маки из беспроводных сетей. Таких "программ для школьников", слушающих маки - миллион, и даже под винду и под все на свете. Практика работы показывает, что такими вещами никто не занимается Практика показывает, что если все-таки кто-то таким начнет заниматься, вам придется менять структуру сети. А статистика да, показывает, что таким занимаются редко. Только вот DHCP-ответ-то можно и снюхать, нет? Не только DHCP-ответ, а также в любом трафике от базы к клиенту будет нужный мак. А этот трафик слышат все даже при client isolation. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wtyd Опубликовано 3 июня, 2015 · Жалоба ... гадочки у isc-dhcp, как и у других "обычных" dhcp-серверов нет. Влан-пер-юзер -- нет тех.возможности так делать, нам даже по влану на точку доступа не дадут скорее всего, опорка не наша. 802.1х чем поможет ? В коммутаторах 802.1х работает примерно как порт-секурити -- пропускает авторизованный мак, у точек доступа так же ? Просто пока не проверял. Даже если так же, то ip поменять ничто не помешает. Т.е. пока вывод такой: у точек доступа нет функционала, схожего c ip source guard или ip-mac source guard. P.S. А почему 802.1х это издевательство над абонентами ? Или я неправильно понял ? :-). По-моему, это для ви-фи самое то, разве нет ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[anp/hsw] Опубликовано 3 июня, 2015 · Жалоба Т.е. пока вывод такой: у точек доступа нет функционала, схожего c ip source guard или ip-mac source guard. Вывод неправильный. Вывод такой: у вас нет возможностей использовать нормальную структуру сети (а нормальная - это vlan per user). Все остальное либо ужасно неудобно для клиента, либо не дает нужной защиты. А так - ну вы вполне можете устроить ip source guard на CPE (вкладочка firewall в убнт). Но это только в случае, если CPE ваше и вы его контролируете. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wtyd Опубликовано 3 июня, 2015 · Жалоба ' timestamp='1433320586' post='1134699']Вывод неправильный. Вывод такой: у вас нет возможностей использовать нормальную структуру сети (а нормальная - это vlan per user). ... Вопрос был "есть ли у точек доступа функционал ip source guard ?" , его вроде как нет, значит вывод правильный :-). Про структуру сети вопроса не было :-). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 3 июня, 2015 (изменено) · Жалоба P.S. А почему 802.1х это издевательство над абонентами ? Или я неправильно понял ? :-). По-моему, это для ви-фи самое то, разве нет ? а Вы попробуйте настроить на какой-нить висте хомэ-едишен с каким-нить ралинком/реалтеком да и ещё с неправильным временем.... Т.е. пока вывод такой: у точек доступа нет функционала, схожего c ip source guard или ip-mac source guard. Это же линукс, нужен функционал -- погугли, скорее всего он уже есть, а если нет -- напиши сам :) 802.1х чем поможет ? Он удобен совместно с RADIUS-MAC исключительно для организации схемы с DynamicVLAN. Влан-пер-юзер -- нет тех.возможности так делать, нам даже по влану на точку доступа не дадут скорее всего, опорка не наша. чёт не верится, если дадут vlan на точку, то QinQ никто не отменял... Изменено 3 июня, 2015 пользователем NewUse Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sergios50 Опубликовано 3 июня, 2015 · Жалоба macchanger windows , macchanger linux Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 3 июня, 2015 · Жалоба Какие нафиг multi-SSID(кстати их количество ограниченно чипом, и редко позволяет более 4шт, если память не изменяет). Когда говорите про ограничения, то говорите что оно на убнт, на микротике нет ограничений на количество multi-SSID. Влан-пер-юзер -- нет тех.возможности так делать, нам даже по влану на точку доступа не дадут скорее всего, опорка не наша. Если поставите в центре микротик, и удаленные точки микротик, то не важно чья опорка - поднимите туннели, поверх EoIP и гоняйте свои вланы без проблем. Есть еще одно решение - создаете штук 50 virtual AP на микротике, на каждой указываете одинаковый SSID, на каждой ограничение на подключение только 1 абонента, на каждую AP повесите по одному уникальному IP поштучно, который будете выдавать по DHCP. Тогда абонент, даже поймав мак точки, мак абонента и SSID, не сможет помешать его работе, т.к. его просто не пустят на точку. Соответственно нужно будет сначала сбросить этого абонента с него. Со стороны клиента подключение будет такое - адаптер сканирует эфир и видит один SSID, но на нем куча виртуальных точек, он отправляет попытку авторизации на все точки, та, которая его первая примет и заберет на себя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 3 июня, 2015 (изменено) · Жалоба то говорите что оно на убнт, на микротике нет ограничений на количество multi-SSID. я могу ошибаться, но я говорил не про юбнт/мт, а про радиочип. Вы пробовали делать хотя бы 10 SSID на МТ? И как оно работало с WPA2 хотя бы с одним клиентом на SSID? Изменено 3 июня, 2015 пользователем NewUse Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sergios50 Опубликовано 3 июня, 2015 · Жалоба LINSET ,.. podmena AP ,... WIFISLAX ,BLACKTRAK Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 3 июня, 2015 · Жалоба я могу ошибаться, но я говорил не про юбнт/мт, а про радиочип. Вы пробовали делать хотя бы 10 SSID на МТ? И как оно работало с WPA2 хотя бы с одним клиентом на SSID? Пробовал, не зависимо от типа шифрования все работает отлично. Такие инсталляции применяются для привлечения клиентов в публичных местах, когда на одной точке доступа заводится штук 50-100 SSID, с именами начиная на цифры, всякие спецсимволы, буквы алфавита, что бы нужная сеть всегда была в самом верху списка, абоненты подключаются и работают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[anp/hsw] Опубликовано 4 июня, 2015 · Жалоба на одной точке доступа заводится штук 50-100 SSID, с именами начиная на цифры, всякие спецсимволы, буквы алфавита, что бы нужная сеть всегда была в самом верху списка, абоненты подключаются и работают. Больше похоже на идиотизм, чем на нормальную работу. Они же маяками SSID'ов всю пропускную способность сожрут, да и коллизий станет намного больше, чем на одном ssid. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 4 июня, 2015 · Жалоба ' timestamp='1433410895' post='1135243']Больше похоже на идиотизм, чем на нормальную работу. Они же маяками SSID'ов всю пропускную способность сожрут, да и коллизий станет намного больше, чем на одном ssid. Для работы в качестве точки доступа это не критично. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 4 июня, 2015 · Жалоба ' timestamp='1433410895' post='1135243']Больше похоже на идиотизм, чем на нормальную работу. Они же маяками SSID'ов всю пропускную способность сожрут, да и коллизий станет намного больше, чем на одном ssid. Для работы в качестве точки доступа это не критично. Ты перегрелся? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 4 июня, 2015 · Жалоба Ты перегрелся? точно точно, в пакете с запениванием..... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mhz Опубликовано 7 июня, 2015 · Жалоба На Cisco WLC есть такая фича DHCP Addr. Assignment, которая защищает от статики. Но тут правда контроллерное решение (точки Air-CAP, Air-LAP). Как это сделать на обычных Cisco Air-AP я пока не нашел. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...