LINUX.ORG.RU

Неизвестные leases в микротик

 ,


0

2

Добрый день. Подскажите знающие, имеется роутер Mikrotik RB951Ui-2HnD. Сеть небольшая корпоративная. DHCP сервер с пулом в 50 адресов. Проблема заключается в следующем, что периодически начали появляться в leases 2 неизвестных устройства с постоянным mac-адресом и хост-именем, я все свои устройства в сети знаю и это 100 неизвестные. Пробовал удалять их, бесполезно они тут же появляются снова, активность от них какая то идет судя по логам, пробовал гуглить по маку и названием устройств, ничего не нашел, один вариант нашел заблокировал, но думаю это не выход. Куда еще копнуть? Чего посмотреть? В этом деле чайник, так что сильно не кидайтесь тапками. P.S Или у меня просто паранойя и вообще пофиг на них, очень боюсь быть скомпроментированным)))



Последнее исправление: CrX (всего исправлений: 2)

Проскань их каким нибудь nmap ом для начала. Посмотри куда ходят в торче, например

NyXzOr ★★★★★
()

leases 2 неизвестных устройства с постоянным mac-адресом и хост-именем, я все свои устройства в сети знаю и это 100 неизвестные. Пробовал удалять их, бесполезно они тут же появляются снова, активность от них какая то идет судя по логам, пробовал гуглить по маку и названием устройств, ничего не нашел, один вариант нашел заблокировал, но думаю это не выход. Куда еще копнуть? Чего посмотреть? В этом деле чайник, так что сильно не кидайтесь тапками.

А ты уверен, что хочешь думать о следсвии проблемы и решать его?

Наверное лучше начать с причины проблемы?

У тебя в сети или полный коммунизм, все знают пароль от Wi-Fi, могут тыкнуться проводом в розетку на стене и получить доступ? Тогда просто забей на эти новые leases.

Или у тебя четкий список тех, кому и что можно и какие устройства могут быть в сети? Тогда настраивай 802.11x, гостевой- / blackhole-vlan или делай жесткий allowlist по мак адресам, если уж совсем для бедных.

BOOBLIK ★★★★
()

Заблокировать - нормальный вариант. Если это что-то нужное, то к тебе придёт живой человек с жалобой и ты сможешь посмотреть в его глаза.

legolegs ★★★★★
()

пробовал гуглить по маку и названием устройств, ничего не нашел,

И не найдешь, кмк. Для wifi клиентов спуфинг mac адреса - официальное и рекомендованное поведение

Для своих в свойствах соединения отключаешь рандомный мак. Но если тебя уже ломают, никто не помешает им поснифать трафик и взять мак адрес разрешенного устройства

router ★★★★★
()
Последнее исправление: router (всего исправлений: 1)

Если у тебя хватает точек доступа на все комнаты, то я бы попробовал перевести все на 5 ГГц, а 2.7 отключить. У 5 затухание гораздо сильнее. Может повезеет и паразиту не хватит мощности сигнала твоих AP

router ★★★★★
()

Вообще про защиту wifi раньше много писали

Смотри, что настроено у тебя. Можешь попробовать сюда выложить настройки (без адресов и паролей), скорее всего найдутся спецы

Чего у тебя точно НЕ должно быть, так это WEP, WPA1 (как минимум WPA2 с AES) и дырки WPS. Авторизация через домен приветствуется

router ★★★★★
()
Ответ на: комментарий от firkax

Я не сказал, что этого достаточно :)

Это как обнаружить в своём пхп-форуме шелл, просто удалить его и сделать вид что всё норм.

Нет, это «поменять пароль» будет как «удалить и сделать вид». А усложнять жизнь скрипткиддису можно и нужно

router ★★★★★
()

В нём сниффер нормальный есть?

Проверь откуда они подключены для начала - wifi или ethernet, какой порт. Если второе - просто найди куда ведёт провод. Если первое - то после смены пароля они исчезают или продолжают висеть?

Ну и тем же сниффером посмотри куда они подключаются обычно.

firkax ★★★★★
()
Ответ на: комментарий от firkax
# dhcp
/ip dhcp-server lease print

# самая общая информация, обычно подскажет только wan или lan
/ip arp print detail

# уже адресно
/interface bridge host print 
/interface wireless registration-table print

upd. ну и очевидное

/log print [follow / follow-only]
router ★★★★★
()
Последнее исправление: router (всего исправлений: 2)

2 неизвестных устройства с постоянным mac-адресом и хост-именем

С постоянным это уже странно. Можешь привести эти mac? минимум первые три байта (6 символов, половина mac адреса)

что-то вроде «52:54:00:xx:xx:xx»

router ★★★★★
()
Последнее исправление: router (всего исправлений: 1)
Ответ на: комментарий от sedrak

есть такая буква в этом слове

Espressif Inc.
                                Room 204, Building 2, 690 Bibo Rd, Pudong New Area
                                Shanghai  Shanghai  201203
                                CN

раньше не слышал. может китаец

В общем, гуглил ты како-то не так. Загугли OUI

https://en.wikipedia.org/wiki/Organizationally_unique_identifier

router ★★★★★
()
Последнее исправление: router (всего исправлений: 2)
Ответ на: комментарий от sedrak

ethernet порт 49156,

WAT?

а убегают на порт 6667

ирка

router@calypso:tmp$ grep 6667 /etc/services 
ircd            6667/tcp                        # Internet Relay Chat
router ★★★★★
()
Ответ на: комментарий от sedrak

Это не те порты, я имел ввиду порт роутера куда провод воткнут.

А ты написал tcp-порты, к ним рядом должны айпи-адреса прилагаться. Можешь ещё содержимое пакетов посмотреть, может быть оно не зашифровано.

firkax ★★★★★
()

Если вся сеть построена на управляемых сетевых устройствах - собери с них таблицы коммутации (мак адресов), найди на каком устройстве, к какому порту подключены - определи что за устройство.

А так, если сеть корпоративная - выпусти декрет о запрете подключения к сети любых личных устройств.

Если мак виден на WIFI интерфейсе, в случае, если они в одном bridge - тут дело другое. Но суть от этого не меняется.

Плюс, если сетевые устройства управляемые - настрой разрешение протокола DHCP только от роутера, с остальных портов заблокируй прохождение DHCPOFFER, кроме порта, что смотрит в сторону твоего DHCP сервера.

Но думаю, если ты задаёшь такие вопросы, то:

  • навыков у тебя мало
  • никаких положений нет
  • устройства не управляемые
  • wifi и Ethernet внутренняя сеть в одном bridge
kostik87 ★★★★★
()
Последнее исправление: kostik87 (всего исправлений: 2)
Ответ на: комментарий от router

Причем здесь микротик, если у него там гирлянда, неуправляемых условно тплинк по зданию раскидана от микротика, то фиг определишь на каком конкретно порту какого тупого коммутатора устройство.

Только обесточивая / отключая провода.

kostik87 ★★★★★
()
Последнее исправление: kostik87 (всего исправлений: 2)

У меня была подобная ситуация: пароль я никому не давал — вводил юзерам сам. Оказалось, Samsung Watch сами подтягивали сеть с телефона и подключались

MaZy ★★★★★
()
Ответ на: комментарий от MaZy

Как бы на андроид телефонах можно поделиться сетью через qr код, в нем будет пароль открытым текстом. )

На iPhone тоже можно как-то.

Так, что даже если ты вводил сам пароль от wifi - это вообще ничего не значит.

kostik87 ★★★★★
()
Последнее исправление: kostik87 (всего исправлений: 1)
Ответ на: комментарий от kostik87

Так, что даже если ты вводил сам пароль от wifi - это вообще ничего не значит

Ну это слишком очевидно и понятно. В моем случае пользователь доверенный, и утечка была маловероятна, поэтому пошел искать дальше, и нашел

MaZy ★★★★★
()
Ответ на: комментарий от sedrak

А много ли в хозяйстве вайфайных точек доступа? Я бы попробовал найти ту, через которую эти железяки зашли.

(Здесь мы как бы допускаем, что это действительно микрожелезки на ESP32 с вайфаями).

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)

Может доложиться непосредственному начальнику?
Может СКУД настраивают не сказав тебе, может холодильник/кофеварка с Wi-Fi, может хоум ассистент и кондиционер у секретарши, или венденговые автоматы поставили а ты и не знаешь….
У любого решения техническая часть лишь часть, другая часть - организационная.
Но было бы интересно узнать результат.

anonymous
()

И, да, telnet может сказать в приглашении, что это. И скан портов подсказать.

anonymous
()
Ответ на: комментарий от sedrak

Похоже на TCP порт, а не Ethernet. 6667 - это IRС. Я бы сказал, у тебя там малварь из прошлого десятилетия с управлением по IRC, или любитель антикварных чатов.

anonymous
()
Ответ на: комментарий от anonymous

Не обязательно малварь, может быть особо полоумный чайник или ещё какой девайс с управлением через интернет.

Но тем не менее, поблочить и посмотреть кто придёт жаловаться не самый плохой вариант.

Dark_SavanT ★★★★★
()
Ответ на: комментарий от Dark_SavanT

Выслушав много советов, спасибо вам коллеги их было много, решил начать с самого простого, пока что заблочил, а дальше буду наблюдать, испробую все способы, обязательно отпишусь к чему в итоге приду.

sedrak
() автор топика
Ответ на: комментарий от Radjah

Проблему решил так. Определил,что подключения висят на одной из точек доступа.Отключил все точки доступа, а у меня их 3 шт.,переконфигурировал, загнал их всех обратно через capsman, дабы раньше они висели тупо в бридж локал и каждая по статическому ip, далее загнал их все в бридж, а сверху повесил на них vlan, тем самым разделив проводные от беспроводных. Теперь буду дальше наблюдать, за появлением неизвестных устройств)).

sedrak
() автор топика
  • Markdown
Пустая строка (два раза Enter) начинает новый абзац. Знак '>' в начале абзаца выделяет абзац курсивом цитирования.
Внимание: прочитайте описание разметки Markdown.
Используйте Ctrl-Enter для размещения комментария