Jump to content

Как да защитя мрежа изградена с продукти на UBNT M5 - серията


jaredharet

Recommended Posts

А някакво адекватно решение сещаш ли се, поне за развалените, че щетите са за 5 цифрена сума. И това момче Гошенцето от Ямбол, не може да разбере, че така не се прави бизнес. И по този начин няма да спечели.

Тъй, като в момента съм пратил устройства на Релоуд, както и на няколко човека работещи с индустриални контролери и ПЛС-та, но никой от тях не е успял да ми каже какво точно им има.

Адрес на коментара
Сподели в други сайтове

Ако атаката наистина е умишлена и направена кадърно, нямаш много варианти...

Предполагам, че LAN-а е забранен (reset бутона - също), устройството е настроено в режим Station на някаква нестандартна честота - това е добрият вариант.

Лошият е наистина да е изтрит/променен bootloader-а. В такъв случай търсиш начин за разпояване на чипове и (пре)програмиране.

По-големия проблем е да се начери начин за ефективна защита, включително и от физически достъп.

Адрес на коментара
Сподели в други сайтове

няма нужда от разпояване и препрограмиране дори е да е в без буутлоадър могат да се флашнат през Jtag първо се качва code.bin с мак адресите и така

Адрес на коментара
Сподели в други сайтове

Много неприятно това което се е случило.

От тук от там се чуват слухове, че тези мизерии ги прави голяма фирма която предлага тв, и иска да стъпи на интернет пазара в цялата страна. Първо те тормозят тебе по такава схема, после те купуват.

Познавам друг колега, който си е изпатил от същата схема...

Wireless is more temperamental & variable than a woman’s mood! ;)
"no matter how hard you try, you just can NOT please everyone"

"където глупостта е образец-там разума е безумие.."Гьоте

Адрес на коментара
Сподели в други сайтове

Е то на всеки е ясно коя е тая "фирма" Най-големите некадърници който се опитват да пускат интернет ама си мислят, че е като да опъваш простири.

Analog Audio™

Адрес на коментара
Сподели в други сайтове

По-горе дадох линк за конкурентната фирма която прави мизериите

Мисля, че вече всичко е безсмислено за това ще споделя каква беше защитата. Има 5 лъча, които тръгват от кулата, всяко AP на кулата (ubnt) е включено в неомонтански switch с конфигурация, с която всеки порт да вижда само първия. Всички устройства получаваха адрес със маска /30 и всеки лъч е различна C мрежа. Като беше разрешено само HTTP през сменен порт За мениджмънт се използва рутиращо правило. Което е вдигнато на PPTP интерфейс. Т.е. първо трябва да се свържа с МТ-ка за да мога да вляза в някое у-во. Днес сутринта когато започна атаката забелязах, че в единият лъч има рутер борд 433, който не е мой, но беше с IP, като моя МТ. Рестартирах лъча и повече не успях да се логна в него но иначе, чрез сканиране видях все още живи устройства. Но след време бавно изчезваха лъч по лъч. Като вече забелязах, че рества ли се у-во и умира. И така всичко е DOWN, като не може да се влиза по лан и у-вото свети но показва изключен мрежови кабел.

Та ако някой има идей какво им се е случило, как се е случило и как да се оправят?

Да добавя устройствата са в различни населени места на около 70 км разстояние едно от друго. И повредените устройства са 100+

Това е и конфига


aaa.1.br.devname=br0

aaa.1.devname=ath0

aaa.1.driver=madwifi

aaa.1.radius.auth.1.status=disabled

aaa.1.ssid=home.net

aaa.1.status=disabled

aaa.1.wpa.1.pairwise=CCMP

aaa.1.wpa.key.1.mgmt=WPA-PSK

aaa.1.wpa.psk=*****

aaa.1.wpa=2

aaa.status=disabled

airview.tcp_port=18888

bridge.1.devname=br0

bridge.1.fd=1

bridge.1.port.1.devname=eth0

bridge.1.port.1.prio=10

bridge.1.port.1.status=enabled

bridge.1.port.2.devname=ath0

bridge.1.port.2.prio=30

bridge.1.port.2.status=enabled

bridge.1.port.3.devname=eth1

bridge.1.port.3.prio=20

bridge.1.port.3.status=enabled

bridge.1.stp.status=disabled

bridge.status=enabled

dhcpc.1.devname=br0

dhcpc.1.fallback=192.168.1.20

dhcpc.1.fallback_netmask=255.255.255.0

dhcpc.1.status=enabled

dhcpc.status=enabled

dhcpd.1.status=disabled

dhcpd.status=disabled

discovery.status=enabled

dnsmasq.1.devname=eth0

dnsmasq.1.status=enabled

dnsmasq.status=disabled

dyndns.status=disabled

ebtables.1.cmd=-t nat -A PREROUTING --in-interface ath0 -j arpnat --arpnat-target ACCEPT

ebtables.1.status=disabled

ebtables.2.cmd=-t nat -A POSTROUTING --out-interface ath0 -j arpnat --arpnat-target ACCEPT

ebtables.2.status=disabled

ebtables.3.cmd=-t broute -A BROUTING --protocol 0x888e --in-interface ath0 -j DROP

ebtables.3.status=enabled

ebtables.50.status=disabled

ebtables.51.status=disabled

ebtables.52.status=disabled

ebtables.status=enabled

gui.language=en_US

httpd.https.status=disabled

httpd.port=80

httpd.session.timeout=900

httpd.status=enabled

igmpproxy.status=disabled

iptables.3.status=disabled

iptables.50.status=disabled

iptables.51.status=disabled

iptables.52.status=disabled

iptables.status=disabled

netconf.1.alias.1.status=disabled

netconf.1.alias.2.status=disabled

netconf.1.alias.3.status=disabled

netconf.1.alias.4.status=disabled

netconf.1.alias.5.status=disabled

netconf.1.alias.6.status=disabled

netconf.1.alias.7.status=disabled

netconf.1.alias.8.status=disabled

netconf.1.autoip.status=disabled

netconf.1.devname=eth0

netconf.1.hwaddr.status=disabled

netconf.1.ip=0.0.0.0

netconf.1.mtu=1500

netconf.1.netmask=255.255.255.0

netconf.1.promisc=enabled

netconf.1.status=enabled

netconf.1.up=enabled

netconf.2.alias.1.status=disabled

netconf.2.alias.2.status=disabled

netconf.2.alias.3.status=disabled

netconf.2.alias.4.status=disabled

netconf.2.alias.5.status=disabled

netconf.2.alias.6.status=disabled

netconf.2.alias.7.status=disabled

netconf.2.alias.8.status=disabled

netconf.2.allmulti=enabled

netconf.2.autoip.status=disabled

netconf.2.devname=ath0

netconf.2.hwaddr.status=disabled

netconf.2.ip=0.0.0.0

netconf.2.mtu=1500

netconf.2.netmask=255.255.255.0

netconf.2.promisc=enabled

netconf.2.status=enabled

netconf.2.up=enabled

netconf.3.autoip.status=enabled

netconf.3.devname=br0

netconf.3.hwaddr.status=disabled

netconf.3.ip=0.0.0.0

netconf.3.mtu=1500

netconf.3.netmask=255.255.255.0

netconf.3.status=enabled

netconf.3.up=enabled

netconf.4.alias.1.status=disabled

netconf.4.alias.2.status=disabled

netconf.4.alias.3.status=disabled

netconf.4.alias.4.status=disabled

netconf.4.alias.5.status=disabled

netconf.4.alias.6.status=disabled

netconf.4.alias.7.status=disabled

netconf.4.alias.8.status=disabled

netconf.4.autoip.status=disabled

netconf.4.devname=eth1

netconf.4.hwaddr.status=disabled

netconf.4.ip=0.0.0.0

netconf.4.mtu=1500

netconf.4.netmask=255.255.255.0

netconf.4.up=enabled

netconf.5.autoip.status=disabled

netconf.5.devname=ath1

netconf.5.mtu=1500

netconf.6.status=disabled

netconf.status=enabled

netmode=bridge

ntpclient.status=disabled

ppp.1.password=

ppp.1.status=disabled

ppp.status=disabled

pwdog.status=disabled

radio.1.ack.auto=enabled

radio.1.ackdistance=600

radio.1.acktimeout=25

radio.1.antenna=4

radio.1.chanshift=5

radio.1.clksel=1

radio.1.countrycode=511

radio.1.cwm.enable=0

radio.1.cwm.mode=1

radio.1.devname=ath0

radio.1.dfs.status=enabled

radio.1.ext_antenna=0

radio.1.forbiasauto=0

radio.1.freq=6000

radio.1.ieee_mode=11naht40

radio.1.mcastrate=15

radio.1.mode=managed

radio.1.obey=disabled

radio.1.polling=disabled

radio.1.pollingnoack=

radio.1.pollingpri=0

radio.1.rate.auto=enabled

radio.1.rate.mcs=15

radio.1.reg_obey=disabled

radio.1.rx_antenna=0

radio.1.rx_antenna_diversity=enabled

radio.1.status=enabled

radio.1.subsystemid=0xe0a5

radio.1.tx_antenna=0

radio.1.tx_antenna_diversity=enabled

radio.1.txpower=23

radio.countrycode=511

radio.status=enabled

resolv.host.1.name=UBNT

resolv.host.1.status=enabled

resolv.nameserver.1.ip=0.0.0.0

resolv.nameserver.1.status=enabled

resolv.nameserver.2.status=disabled

resolv.status=enabled

route.1.devname=br0

route.1.gateway=192.168.1.1

route.1.ip=0.0.0.0

route.1.netmask=0

route.1.status=disabled

route.status=enabled

snmp.status=disabled

sshd.port=22

sshd.status=disabled

syslog.remote.status=

syslog.status=disabled

system.button.reset=enabled

system.date.status=disabled

system.date=

system.eirp.status=disabled

system.latitude=

system.longitude=

system.timezone=GMT-2

telnetd.status=disabled

tshaper.in.1.devname=eth0

tshaper.out.1.devname=ath0

users.1.name=admin

users.1.password=*****

users.1.status=enabled

users.2.status=disabled

users.status=enabled

vlan.1.status=disabled

vlan.2.status=disabled

vlan.status=disabled

wireless.1.addmtikie=enabled

wireless.1.ap=

wireless.1.authmode=1

wireless.1.autowds=disabled

wireless.1.devname=ath0

wireless.1.hide_ssid=disabled

wireless.1.mac_acl.1.mac=

wireless.1.mac_acl.1.status=disabled

wireless.1.mac_acl.10.mac=

wireless.1.mac_acl.10.status=disabled

wireless.1.mac_acl.11.mac=

wireless.1.mac_acl.11.status=disabled

wireless.1.mac_acl.12.mac=

wireless.1.mac_acl.12.status=disabled

wireless.1.mac_acl.13.mac=

wireless.1.mac_acl.13.status=disabled

wireless.1.mac_acl.14.mac=

wireless.1.mac_acl.14.status=disabled

wireless.1.mac_acl.15.mac=

wireless.1.mac_acl.15.status=disabled

wireless.1.mac_acl.16.mac=

wireless.1.mac_acl.16.status=disabled

wireless.1.mac_acl.17.mac=

wireless.1.mac_acl.17.status=disabled

wireless.1.mac_acl.18.mac=

wireless.1.mac_acl.18.status=disabled

wireless.1.mac_acl.19.mac=

wireless.1.mac_acl.19.status=disabled

wireless.1.mac_acl.2.mac=

wireless.1.mac_acl.2.status=disabled

wireless.1.mac_acl.20.mac=

wireless.1.mac_acl.20.status=disabled

wireless.1.mac_acl.21.mac=

wireless.1.mac_acl.21.status=disabled

wireless.1.mac_acl.22.mac=

wireless.1.mac_acl.22.status=disabled

wireless.1.mac_acl.23.mac=

wireless.1.mac_acl.23.status=disabled

wireless.1.mac_acl.24.mac=

wireless.1.mac_acl.24.status=disabled

wireless.1.mac_acl.25.mac=

wireless.1.mac_acl.25.status=disabled

wireless.1.mac_acl.26.mac=

wireless.1.mac_acl.26.status=disabled

wireless.1.mac_acl.27.mac=

wireless.1.mac_acl.27.status=disabled

wireless.1.mac_acl.28.mac=

wireless.1.mac_acl.28.status=disabled

wireless.1.mac_acl.29.mac=

wireless.1.mac_acl.29.status=disabled

wireless.1.mac_acl.3.mac=

wireless.1.mac_acl.3.status=disabled

wireless.1.mac_acl.30.mac=

wireless.1.mac_acl.30.status=disabled

wireless.1.mac_acl.31.mac=

wireless.1.mac_acl.31.status=disabled

wireless.1.mac_acl.32.mac=

wireless.1.mac_acl.32.status=disabled

wireless.1.mac_acl.4.mac=

wireless.1.mac_acl.4.status=disabled

wireless.1.mac_acl.5.mac=

wireless.1.mac_acl.5.status=disabled

wireless.1.mac_acl.6.mac=

wireless.1.mac_acl.6.status=disabled

wireless.1.mac_acl.7.mac=

wireless.1.mac_acl.7.status=disabled

wireless.1.mac_acl.8.mac=

wireless.1.mac_acl.8.status=disabled

wireless.1.mac_acl.9.mac=

wireless.1.mac_acl.9.status=disabled

wireless.1.mac_acl.policy=allow

wireless.1.mac_acl.status=disabled

wireless.1.macclone=disabled

wireless.1.scan_list.channels=5600, 5900

wireless.1.scan_list.status=enabled

wireless.1.security=none

wireless.1.ssid=*****

wireless.1.status=enabled

wireless.1.wds.1.peer=

wireless.1.wds.2.peer=

wireless.1.wds.3.peer=

wireless.1.wds.4.peer=

wireless.1.wds.5.peer=

wireless.1.wds.6.peer=

wireless.1.wds=enabled

wireless.status=enabled

wpasupplicant.device.1.devname=ath0

wpasupplicant.device.1.driver=madwifi

wpasupplicant.device.1.profile=WPA-PSK

wpasupplicant.device.1.status=enabled

wpasupplicant.profile.1.name=WPA-PSK

wpasupplicant.profile.1.network.1.bssid=

wpasupplicant.profile.1.network.1.eap.1.status=disabled

wpasupplicant.profile.1.network.1.key_mgmt.1.name=WPA-PSK

wpasupplicant.profile.1.network.1.pairwise.1.name=CCMP

wpasupplicant.profile.1.network.1.proto.1.name=RSN

wpasupplicant.profile.1.network.1.psk=*****

wpasupplicant.profile.1.network.1.ssid=*****

wpasupplicant.status=enabled

бастунчета.... прави се бридж. тура се vlan + wlan в него

буташ си така трафика от юзерите към рутера. дига се mng vlan и така се достъпват. на eth

през други интерфейси дроп. махаш резет джиджавката чисто хардуерно и ако се налага отваряш и ръчно "окъсяване".

Немаш пинг? За чии ти е? tftp, reset наливане на софт. не е атомна физика баси

Ако правилно разбирам отговорът ти, аз явно точно такава защита съм направил?

Редактирано от jaredharet
Адрес на коментара
Сподели в други сайтове

Тези UBNT устройства са ползвани като крайни преди клиента (АР-та към които всеки user се закача) или за гръбнак?

Идеята с VLAN-а е по-добрия вариант, като трафика се тагва още на входа на устройството - ако влизат по wireless от WLAN частта - от там пътуват тагнати до края на мрежата и там се разтагват на рутера. Така практически всичко по пътя е прозрачно и недостъпно от страна на потребителите. Втори VLAN за management се пуска от рутера и се разтагва на входа на устройствата, само за достъп до тях.

Аварията най-вероятно е през този експлойт/червей, споменат по-горе. Ако е червея, има тул за премахването му след като получиш достъп до устройствата, но понеже нямаш достъп предполагам, че са затрили бутлоудъра, както предполагат колегите по-горе. Не е непоправимо, но ще отнеме време, а през това време трябва да им възстановиш някак услугата.

“...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г.

Адрес на коментара
Сподели в други сайтове

Нямам пинг до 192.168.1.20, а и като цяла при включване на лан кабела, показва все едно е изключен (червен Х) и лан порта свети без да премигва. Сякаш е забранена лан порта.

И на мене ми се е случвало подобно нещо натиснах и задържах бутона ресет около 2 минути и всичко се оправи !!!

Адрес на коментара
Сподели в други сайтове

Ами да, но реално в този случай явно e имало bootloader, а иначе при моя случай с TTL не зарежда нищо

Тези UBNT устройства са ползвани като крайни преди клиента (АР-та към които всеки user се закача) или за гръбнак?

Идеята с VLAN-а е по-добрия вариант, като трафика се тагва още на входа на устройството - ако влизат по wireless от WLAN частта - от там пътуват тагнати до края на мрежата и там се разтагват на рутера. Така практически всичко по пътя е прозрачно и недостъпно от страна на потребителите. Втори VLAN за management се пуска от рутера и се разтагва на входа на устройствата, само за достъп до тях.

Аварията най-вероятно е през този експлойт/червей, споменат по-горе. Ако е червея, има тул за премахването му след като получиш достъп до устройствата, но понеже нямаш достъп предполагам, че са затрили бутлоудъра, както предполагат колегите по-горе. Не е непоправимо, но ще отнеме време, а през това време трябва да им възстановиш някак услугата.

А, ако има физически достъп до някое у-во и влезе в него, нали пак ще види какъв VLAN е тагнат, и от там пак няма да има файда

Редактирано от jaredharet
Адрес на коментара
Сподели в други сайтове

Няма врата, колкото и секретни ключалки да има, да не може да се отключи.

Колкото и да са защитени, винаги има начин да ти хакнат устройствата. Същото е както да ти прережат оптичния кабел. Този, който го е направил не е случаен - виж какво мога, съобразявай се с мен! Защо имам чувството, че тук с пълна сила важи закона на джунглата?

Ако не бяха ги хакнали, какво пречеше да ги прострелят с въздушна пушка? Минава за хлапашка работа, иди ги търси...

Никога не прави неща, каквито не искаш да ти се случат и на теб!

Адрес на коментара
Сподели в други сайтове

  • Администратор

А, ако има физически достъп до някое у-во и влезе в него, нали пак ще види какъв VLAN е тагнат, и от там пак няма да има файда

VLAN не е криптиран протокол и спокойно се вижда със скенер без да си в него

също така се вижда и цифричката на тага

какъв е шанса освен дупката на skynet да имаш и проксито

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

Вие съвсем го отчаяхте човека. Пред нелоялната конкуренция не трябва да се отстъпва, който ще да е този вредител - винаги има начин.

Това за VLAN-а е така, но ако management VLAN-а се разтагва на LAN-а на у-вото, а опит за свързване през WLAN се филтрират с iptables, ще трябва да се катери на всеки дирек с LAN кабел и да ги чупи едно по едно. Пък и има и други варианти за изолиране на трафика, примерно с EoIP ако имаш MTik към Linux сървър. Или си правиш MAC филтър проверка през радиус, само с MAC-ове на клиенти, или WPA през радиус - варианти за защита много.

Следене по мрежата за техника, която не е твоя - по MAC адреса със съдействие от MVR и реселърите на техника в БГ може да се разбере на кого е продадено нещото.

Тук таме по някоя IP camera за доказателства и така.

“...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г.

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.