LINUX.ORG.RU
ФорумAdmin

Перехват трафика и выявление скрытых WIFI точек доступа

 


1

2

Доброго времени суток, уважаемые.

Ситуация: есть шлюз на базе debian'a, некоторое количество внутренних интерфейсов и один внешний с белой статикой.

Внутри локалки есть 2 сети, 5 - 24 портовых свитча и куча мелких. Общее количество машин примерно около 200.

Возникла проблема, появились несколько не согласованных подключений WIFI роутеров, выставленных в режиме точек доступа. Все запросы на получение IP идут на шлюз где поднят dnsmasq, соответственно все запросы с помощью iptables перенаправляются на локальный 53 порт DNS, для жесткой фильтрации.

Проблема: как выявить MAC не согласованных WIFI роутеров на шлюзе? Как отличить трафик, идущий от подобных WIFI точек доступа от других пакетов? Какой софт использовать (wireshark, tcpdump)?

Подскажите знатоки.

Взять список согласованных маков, сравнить вывод arp -a с ним, и прийти к выводам.

asch11 ()

Как отличить трафик, идущий от подобных WIFI точек доступа от других пакетов?

Если не изменяет память, то у клиентов, которые сидят на таком устройстве, будет нестандартный TTL. по нему и можно найти не согласованные устройства.

Ну а вообще становится ясно, что шлюз настроен для всех без ограничений. Пора пожинать плоды

Aborigen1020 ()

Просто - проверять TTL (если роутеры роутят, а не в режиме моста).
Правильно - авторизация. 802.1X если позволяют коммутаторы, или PPPoE, или прозрачный прокси.

gasinvein ★★★ ()
Последнее исправление: gasinvein (всего исправлений: 1)

Если ты раздаешь dhcp всем подряд, то никак, только по вендорам mac. Если точка в режиме ап это л2 среда и ттл там не уменьшенный. Будут маки вйфай устройств

anonymous ()
Ответ на: комментарий от asch11

Например, дропать всё с TTL меньше на 1, чем стандартный на Windows, и меньше на 1, чем стандартный в остальных, т.е. 127 и 63 соответственно.

gasinvein ★★★ ()
Ответ на: комментарий от anonymous

да, так и есть, маки wifi девайсов оседают в arp кэше, с получеными на момент обращения ip от dhcp. ttl не уменьшен, проверил уже по одному android девайсу, которого точно быть в сети не должно. Система авторизаций не прокатит, ибо есть 2 отдела, которым нужен инет и получают они его обоснованно по utp. Однако, отдельные личности (пока не установлены), в силу личных еб*ых свойств личности, ставят свои свитчи/роутеры и раздают инет всем желающим рабочим, которых не 10 человек а _немного_ больше. Тут в голову мысля пришла, создать vlan или организовать отдельную подсетку для этих муд*ов и урезать им пропускную способность канала до разумного минимума. Других вариантов не вижу. Тут полная анархия в этом плане.

dzenman ()
Ответ на: комментарий от dzenman

ну вообще для этого можно юзать портсек. ну а свойства личности вполне логичные. я как то раздал вай фай 30 студентам проходящим практику, а это 100-300 рублей с каждого....

asch11 ()
Ответ на: комментарий от asch11

ну а кстати говоря про pf . я не юзал но можно наверное дропать трафик в зависимости от оси. https://www.openbsd.org/faq/pf/filter.html мой pf говорит что умеет распознавать такие https://pastebin.com/fPrYMsHQ как среди них распознать андроид я правда хз, ну и фичу не юзал...

asch11 ()
Ответ на: комментарий от dzenman

Система авторизаций не прокатит, ибо есть 2 отдела, которым нужен инет

Так а в чём проблема-то? 2 отдела авторизуются и получают неограниченный доступ, остальные не авторизуются и сидят в ограниченной сети.

gasinvein ★★★ ()
Ответ на: комментарий от dzenman

Поставь arpwatch в каждый сегмент для оперативного отслеживания смены ip и новых девайсов. С свежей базой маквендоров. Обычно в малых сетях это хватает, чтобы ловить негодяев ща руку.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.