Возможно ли закрыть доступ telnet-ом со стороны ethernet на DWL-2100AP?

[AlKov]

Собственно сабж..

Имеем "базовую" ТД в режиме Р2МР, подключенную к роутеру и несколько "абонентских" ТД в режиме Р2Р, за которыми работают соотв. абоненты в подсети 172.16.ХХХ.0/24, подключенные к ТД через "глупый" свитч. Все ТД имеют собственные IP из подсети 192.168.10.0/24. Задача: не допустить абонентов к ТД. Со стороны роутера задача решается элементарно - пишу акцесс-лист допуска к "базовой" ТД только определенным IP. А вот как запретить абонентам "лазить" в "свои" ТД?? Ведь ничто не мешает хитрому юзеру посканить сеть и вычислить IP "своей" ТД. Останется дело за малым - "подсмотреть" логин/пароль админа и тю-тю... А там и до "базы" добраться "ноу проблем"..:( Ставить за ТД "умную" железяку слишком накладно..

Возможно ли решить задачу средствами самой DWL-2100? Или остается только один вариант, как после конфигурирования и настройки абон. ТД, запретить в ней доступ телнетом? Останется ли в этом случае доступ к этой ТД со стороны "базы"? Существует ли вообще какое-либо стандартное решение подобной задачи в WI-FI сетях?

[wireless_man]

только если выключить насовсем !!!

 

WLAN Access Point wlan1 -> set telnet

telnet 0 -- Disable Telnet access

telnet 1 -- Enable Telnet access

Not enough parameters!

WLAN Access Point wlan1 -> alpha

Password-> ********

Ok

WLAN Access Point wlan1 -> set telnet

telnet 0 -- Disable Telnet access

telnet 1 -- Enable Telnet access

Not enough parameters!

WLAN Access Point wlan1 -> get telnet

Telnet Access: Enabled

Telnet Timeout: 0 seconds

1 of 4 connections active

3 connection attempts

1 good logins

0 failed logins

WLAN Access Point wlan1 ->

 

самая больщая уязвимость блюбоксов :))) помимо просканить эфир на наличие маков ... и сделать set mac xx:xx:xx:xx:xx:xx (вражеской точки) :))))

Edited September 11, 2007 by wireless_man

[AlKov]

... только если выключить насовсем !!!

А в этом случае отключается telnet полностью, или только со стороны ethernet ?

[SSD]

... только если выключить насовсем !!!

А в этом случае отключается telnet полностью, или только со стороны ethernet ?

Полностью

[Elmo]

У кого то есть OpenWRT для 2100? Этим и проблему можно решить. юзать SSH .

[AlKov]

У кого то есть OpenWRT для 2100? Этим и проблему можно решить. юзать SSH .

Это, я так понимаю, прошивка? Которую еще надо как-то умудриться залить (типа с "сооружением" СОМ порта и прочими "извратами"), или все элементарно льется через тот же телнет?

Кстати, поиском нашел, что вроде как есть OpenWRT для DWL 2100, но что скачивать не понял.. :(

И самое "интересное" - а в чем отличие в плане безопасности доступа по ssh от telnet-а (кроме протокола и номера порта, естественно)? Где здесь безопаснее получается?? Те же логин/пароль...

 

P.S. Совсем забыл - ТД у меня перешитые прошивой ББ от Вектора.

[Elmo]

Telnet все по открытому тексту передает. То есть можно снифать сеть и захватить пароль. А SSH все шифрует.

[AlKov]

Telnet все по открытому тексту передает. То есть можно снифать сеть и захватить пароль. А SSH все шифрует.

Нее.. Все одно это не совсем тО, что требуется.. Если "дыра" (открытый для всех порт) существует, значит в нее обязательно кто-то попытается "заглянуть" и ничто не помешает долбиться в нее до посинения, а вернее до получения желаемого результата..

Вот если бы организовать сие так, чтобы доступ к АР был только по WI-FI со стороны "базы".. Хотя и WI-FI, как я понял, тоже снифается на раз-два даже в режиме Р2МР <--> Р2Р, или не так?

Так-что, скорее всего придется просто после конфигурирования и настройки АР у клиента, закрывать telnet до первого геммороя.. Кстати, если потребуется что-то поремонтить, или "покрутить" в АР в этом случае, то только сначала в factory default кнопочкой, или есть еще какой-то "хитрый" способ?

P.S. Вот еще что вспомнил - а если юзать такой вариант: закрыть telnet и рулить АР по SNMP со стороны "базы"? Такое реально? Или "дыра" в WI-FI снова здесь "рулит"??

Edited September 12, 2007 by AlKov

[Elmo]

AlKov А все таки... читайте литературу ПЛЗ.

[AlKov]

AlKov А все таки... читайте литературу ПЛЗ.

Совет, конечно, просто бесценный! ;) (извиняюсь за сарказм). Интересно узнать, а какую литературу?

 

P.S. ИМХО, если нечего сказать, то лучше уж промолчать..

 

P.P.S. А вот насчет OpenWRT очень интересно было бы узнать. Особенно в плане, что конкретно необходимо залить в АР? На сайте OpenWRT все как-то запутано.. Что именно брать непонятно - то ли исходники, которые потом компилить на Linux и затем заливать в DWL2100, то ли готовый бинарник (тут же вопрос - а какой?). Написано, что данный девайс (DWL2100AP) поддерживается, а что конкретно для него предназначено найти не смог.. :( Если не влом и есть чего сказать, просветите, пожалуйста, по данной теме. С Linux-ом уже "не первый год замужем" и посему было-бы очень интересно, если в DWL2100 удасться получить близкую по возможностям операционку.

[Elmo]

Для 2100 нет готовых бинарников на сайте OpenWRT. Я OpenWRT только на WRT 54g залил. Работает. Очень даже неплохо. А для 2100 надо самому собрать ядро. Я не собрал и потому спросил у кого есть?

 

Человек который пишет эти слова - "Если "дыра" (открытый для всех порт) существует, " должен сначала читать TCP/IP . причем здесь порт? на всех серверах есть открытые для всех порты, и не мало. Можете начинать с почтовых серверов, на них 110 и 25 открытие.

[AlKov]

Для 2100 нет готовых бинарников на сайте OpenWRT. Я OpenWRT только на WRT 54g залил. Работает. Очень даже неплохо. А для 2100 надо самому собрать ядро. Я не собрал и потому спросил у кого есть?

Т.е., если я правильно понимаю, берем исходники с openwrt для Atheros, компилим их на Linux машине и в результате должен получиться бинарник, который затем льем по tftp в DWL2100 . Так? Поправьте, пожалуйста, если что-то забыл, или вообще неверно представляю процедуру, или ссылочкой на иструкцию по процессу поделитесь. Желательно на русском. На инглиш, догадываюсь, есть на том же openwrt.. Ну на крайний случай можно и на инглиш, но конкретно по девайсу. Уж очень много всего на openwrt, глаза разбегаются.. ;)

Человек который пишет эти слова - "Если "дыра" (открытый для всех порт) существует, " должен сначала читать TCP/IP . причем здесь порт? на всех серверах есть открытые для всех порты, и не мало. Можете начинать с почтовых серверов, на них 110 и 25 открытие.

Здрасте, ж..., Новый Год! Извините, сорвалось.. ;) Все открытые "для всех" порты, в т.ч. упомянутые Вами почтовые во-первых "сидят" за нормальным фаерволом и очень интересно, как Вы представляете себе обратиться к серверу ssh через порт почтовика, или веб?? А вот открытый для всех порт ssh - это "дыра", да еще какая!! Вы можете возразить, мол смените 22-й порт на "нестандартный", но проблему оно решит лишь отчасти.. Ну усложнит на несколько минут поиск злоумышленнику и все. Открытый порт, на котором "откликнется" ssh сервер он все равно вычислит!! Кстати, ssh порт (стандартный 22-й) у меня, например, закрыт из Интернета вообще, а из локалки к нему доступ тоже ограничен коротеньким списком из нескольких IP. Интересно узнать, как сие можно организовать в DWL2100?? Или в прошивке OpenWRT есть iptables, или что-то подобное?

Вообщем, давайте не будем про TCP, порты и протоколы.. Давайте лучше вернемся к нашим баранам.. ;) И поговорим о методах защиты вышеупомянутого девайса в свете OpenWRT. Кстати, где можно почитать о работе с DWL2100 на данной прошивке, список доступных команд, синтаксис и т.п..?

[Acowa]

А там и до "базы" добраться "ноу проблем"..

А здесь можно по подробнее ?

Каким образом можно проснифить пароль базы ?

Может я чего не понял в этой жизни ? :)

Вы, по моему, раздуваете из мухи слона.

 

И что плохого если юзерь зайдет на свою ТД ?

Я захожу. И что ? Что дальше ? Ни-че-го !

И паролей не летает и других юзерей не видать.

 

Тот-же "глупый" свитч не даст снифать пароли.

Во ежлиб хаб тогда другое дело :)

 

Попробуйте сами стать "хитрым юзером" и пройти весь путь до базы.

Может и фобии пройдут сами собой :)

[wireless_man]

А там и до "базы" добраться "ноу проблем"..

А здесь можно по подробнее ?

Каким образом можно проснифить пароль базы ?

Может я чего не понял в этой жизни ? :)

Вы, по моему, раздуваете из мухи слона.

 

И что плохого если юзерь зайдет на свою ТД ?

Я захожу. И что ? Что дальше ? Ни-че-го !

И паролей не летает и других юзерей не видать.

 

Тот-же "глупый" свитч не даст снифать пароли.

Во ежлиб хаб тогда другое дело :)

 

Попробуйте сами стать "хитрым юзером" и пройти весь путь до базы.

Может и фобии пройдут сами собой :)

ARP flood атака в течений 3мин и свич становиться хабом (так как имеет маленькую таблицу арп и соответсвенно переполняеться ) ... потом "хитрый юзверь" запускает любой сниффер на 23 порт и пишет все в файлик .. потом разгребает через неделю со всеми логинами и паролями ... есть еще более простой вариант (умолчу пожалуй) ... в общем все это на совести горефирмареписальщиков ...

Edited September 12, 2007 by wireless_man

[Elmo]

На OpenWRT есть iptables, SSH, и удобный ipkg, можно инсталлировать все, что душе угодно прямо из сервера.

[Acowa]

ARP flood атака

Прикольно.

Надо будет попробовать.

 

Тока это не решает "основную задачу".

При обращении к клиентской ТД по Wi-Fi в ethernet пароль уже не пройдет. При обращении к базе по ethernet в Wi-Fi пароль тоже виден не будет. Остается только дыра в Длинковской прошивке, но в 2.30 ее уже закрыли, а в ВВ и вовсе отсутствует.

Можно конечно узнать пароль к клиентской ТД снифая пакеты летающие в эфире (CommView for WiFi прекрасно справляется с этой задачей).

Но чем знание пароля к клиентской ТД поможет для получения пароля к базе ?

Конечно, если они не одинаковые :)

[AlKov]

При обращении к клиентской ТД по Wi-Fi в ethernet пароль уже не пройдет. При обращении к базе по ethernet в Wi-Fi пароль тоже виден не будет...

Согласен, но.. Все равно держать "дверь нараспашку" как-то нервирует.. :( Например, вчера провел такой эксперимент: сидя за клиентской ТД, назначил своему ethernet второй IP из подсети ТД, набрал telnet IP_base_AP, и вот оно уже "удивительное рядом" - приглашение ввести логин/пароль базовой ТД.. Стало немного грустно.. :( А вот если бы telnet со стороны ethernet клиентской ТД давал полный отлуп такому действию, то было-бы гораздо веселее (мне).. :)

И еще раз, возвращаясь к OpenWRT на DWL2100, поделитесь опытом, пожалуйста, кто сие юзает. Уж очень заманчиво выглядит на первый взгляд.

[Elmo]

AlKov А что было после того как точка попросила ввести логин/пароль? Я так понимаю вы не ввели его , потому что не знали. Если там поставлен серьезный пароль , то перебор не поможет. Я вот что еще скажу, мне и в жизни не приходилось в голову взломать AP. Зачем взломать? Что это даст мне? А если надо навредить конкурента, то это можно делать по другому. Например поставить MAC и SSID точки конкурента.

[AlKov]

AlKov А что было после того как точка попросила ввести логин/пароль? Я так понимаю вы не ввели его , потому что не знали.

Ну почему же.. Я их ввел, потому-что знаю, т.к. сам являюсь админом своей сети и самолично конфигурил все ТД. ;) Ну и естественно успешно зашел на ТД.

Если там поставлен серьезный пароль , то перебор не поможет. Я вот что еще скажу, мне и в жизни не приходилось в голову взломать AP. Зачем взломать? Что это даст мне? А если надо навредить конкурента, то это можно делать по другому. Например поставить MAC и SSID точки конкурента.

Здесь проблема не в конкурентах, в WI-FI пока-что таких не имеется в нашей "деревне". Но зато имеется энное кол-во "продвинутых" юзеров, которых мало интересует Интернет и медиасервисы сети, но которым очень интересно нагадить в этой сети и затем вопить на форумах, что "все здесь г..но и постоянно глючит!".. Видимо эта категория пользователей из серии мазохистов, которые получают великий кайф от своей "работы". Вот от таких засранцев и хочется максимально отгородиться..

 

И еще раз (уже в который раз!) - как же все-таки перешить DWL2100 в OpenWRT ? Вот только-что скачал исходники для atheros, попытался их скомпилить на Linux Fedora Core 6 (ядро 2.6.18).. Увы.. Make image непонятно ругнулся, практически ничего не объясняя (предложил запуститься с опцией V=99, которая тоже ничего не "объяснила".. :( ).

[skydiver]

Господа, учите матчасть. В точке есть такая классная штука как snmp V3. Выключаем телнет, оставляем доступ только юзеру snmp v3 с правами r/w.

Если кто взломает и это - смело берите чека на работу, у него талант :)

[AlKov]

Господа, учите матчасть. В точке есть такая классная штука как snmp V3. Выключаем телнет, оставляем доступ только юзеру snmp v3 с правами r/w.

Если кто взломает и это - смело берите чека на работу, у него талант :)

Есть-то она есть, а вот чем её есть, простите за каламбур. ;) Где клиент, где MIBs в конце-концов??

Без них даже самопальную php админку не наваяешь.. Или я снова где-то недоглядел?

P.S. Нет, все-таки Linux с iptables на борту этого девайса, ИМХО, предел мечтаний! Тут такого можно наваять - все "фобии" враз пройдут! :)

P.P.S. Что ж, попытаюсь "добить" OpenWRT, если уж все скромно молчат на эту тему. Или все же кто-нибудь выскажется? ;)

[Elmo]

Я хотел собрать OpenWRT для 2100, но так как у меня были несколько штук WRT54G я запихал в них готовый WHITE RUSSIAN (0.9) и стал с ними возится. А теперь массу других проблем, так что не скоро стану возвращаться к 2100. Но если у кого то есть готовая для 2100 версия, буду очень признателен если пришлет и меня.

[AlKov]

Ну вот, поделиться я вроде как уже готов.. Вопрос только - чем?!

Скачал исходники Kamikaze 7.07 ( kamikaze_7.06.tar.bz2), сконфигурил ядро под Atheros 2313, скомпилил.. В результате получил кучу новых каталогов и кучу всевозможных файлов с понятными и непонятными расширениями, но ни одного *.bin, или *.img нигде не обнаружил.. :(

Вопрос - что и как заливать в DWL2100??

[sirmax]

Хм, не понимаю.

Если это ТД для подключения клиентов - то IP из другой сети, файрвол на ближнем роутере, и фсьо ...

 

и не включать ТД в абонентские сегменты... =)

[AlKov]

Хм, не понимаю.

Если это ТД для подключения клиентов - то IP из другой сети, файрвол на ближнем роутере, и фсьо ...

 

и не включать ТД в абонентские сегменты... =)

Блин!! На колу мочало, начинаем все сначала.....

Какой фаервол, на каком ближнем роутере??!!! Изернет абонентской ТД "воткнут" в "глупый" свитч, в который "воткнуты" абоненты. Мне что, прикажете перед каждой абонентской ТД ставить циску за 3-5 килобаксов, или на худой конец комп с Linux?! Слишком богато получается..