LINUX.ORG.RU
ФорумAdmin

Перехват трафика и выявление скрытых WIFI точек доступа

 


1

2

Доброго времени суток, уважаемые.

Ситуация: есть шлюз на базе debian'a, некоторое количество внутренних интерфейсов и один внешний с белой статикой.

Внутри локалки есть 2 сети, 5 - 24 портовых свитча и куча мелких. Общее количество машин примерно около 200.

Возникла проблема, появились несколько не согласованных подключений WIFI роутеров, выставленных в режиме точек доступа. Все запросы на получение IP идут на шлюз где поднят dnsmasq, соответственно все запросы с помощью iptables перенаправляются на локальный 53 порт DNS, для жесткой фильтрации.

Проблема: как выявить MAC не согласованных WIFI роутеров на шлюзе? Как отличить трафик, идущий от подобных WIFI точек доступа от других пакетов? Какой софт использовать (wireshark, tcpdump)?

Подскажите знатоки.

Nginx allow/deny ip
Конфиг файл MySQL отсутствует.

Взять список согласованных маков, сравнить вывод arp -a с ним, и прийти к выводам.

asch11
()

Как отличить трафик, идущий от подобных WIFI точек доступа от других пакетов?

Если не изменяет память, то у клиентов, которые сидят на таком устройстве, будет нестандартный TTL. по нему и можно найти не согласованные устройства.

Ну а вообще становится ясно, что шлюз настроен для всех без ограничений. Пора пожинать плоды

Aborigen1020
()

Просто - проверять TTL (если роутеры роутят, а не в режиме моста).
Правильно - авторизация. 802.1X если позволяют коммутаторы, или PPPoE, или прозрачный прокси.

gasinvein ★★★
()
Последнее исправление: gasinvein (всего исправлений: 1)

Если ты раздаешь dhcp всем подряд, то никак, только по вендорам mac. Если точка в режиме ап это л2 среда и ттл там не уменьшенный. Будут маки вйфай устройств

anonymous
()
Ответ на: комментарий от asch11

Например, дропать всё с TTL меньше на 1, чем стандартный на Windows, и меньше на 1, чем стандартный в остальных, т.е. 127 и 63 соответственно.

gasinvein ★★★
()
Ответ на: комментарий от gasinvein

точно, для iptables легко, а для pf че т не смог найти :(

asch11
()
Ответ на: комментарий от anonymous

да, так и есть, маки wifi девайсов оседают в arp кэше, с получеными на момент обращения ip от dhcp. ttl не уменьшен, проверил уже по одному android девайсу, которого точно быть в сети не должно. Система авторизаций не прокатит, ибо есть 2 отдела, которым нужен инет и получают они его обоснованно по utp. Однако, отдельные личности (пока не установлены), в силу личных еб*ых свойств личности, ставят свои свитчи/роутеры и раздают инет всем желающим рабочим, которых не 10 человек а _немного_ больше. Тут в голову мысля пришла, создать vlan или организовать отдельную подсетку для этих муд*ов и урезать им пропускную способность канала до разумного минимума. Других вариантов не вижу. Тут полная анархия в этом плане.

dzenman
() автор топика
Ответ на: комментарий от dzenman

ну вообще для этого можно юзать портсек. ну а свойства личности вполне логичные. я как то раздал вай фай 30 студентам проходящим практику, а это 100-300 рублей с каждого....

asch11
()
Ответ на: комментарий от asch11

ну а кстати говоря про pf . я не юзал но можно наверное дропать трафик в зависимости от оси. https://www.openbsd.org/faq/pf/filter.html мой pf говорит что умеет распознавать такие https://pastebin.com/fPrYMsHQ как среди них распознать андроид я правда хз, ну и фичу не юзал...

asch11
()
Ответ на: комментарий от dzenman

Система авторизаций не прокатит, ибо есть 2 отдела, которым нужен инет

Так а в чём проблема-то? 2 отдела авторизуются и получают неограниченный доступ, остальные не авторизуются и сидят в ограниченной сети.

gasinvein ★★★
()
Ответ на: комментарий от dzenman

Поставь arpwatch в каждый сегмент для оперативного отслеживания смены ip и новых девайсов. С свежей базой маквендоров. Обычно в малых сетях это хватает, чтобы ловить негодяев ща руку.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Nginx allow/deny ip
Admin
Конфиг файл MySQL отсутствует.