Mikrotik защита от ARP-спуфинга и прочего HACK-софта

Уязвимости, взломы и способы защиты. Вирусы здесь не обсуждаются

Модераторы: Tim308, phantom

Ответить
Аватара пользователя

Автор темы
efimrus
Новичок
Сообщения: 7
Зарегистрирован: 09 окт 2014, 15:16
Репутация: 1
Откуда: Северск
Контактная информация:
Статус: Не в сети

Mikrotik защита от ARP-спуфинга и прочего HACK-софта

Сообщение efimrus » 09 окт 2014, 19:26


Уважаемый Народ!
В виду того, что развилось полным полно различного софта по взлому сетей, и автор этого форума(ни чего против автора не имею, если бы не он, нашелся другой и кто-то "стопудово" жалеет, что не успел вперед его заТубить, чисто мое мнение), тоже замешан в инструктаже соответствующей публики материалами по ARP-атаке. (Первый же пойманный мной "Атакер" показал на видео именно от пользователя DesignerMix, и второй тоже).
Здесь же резонно поднять вопрос о конкретной защите наших маршрутизаторов от различного рода софта таких как Kali Linux, Wireshark и т.д.
Так как автор ограничился объяснением защиты конечных пользователей плагинами и анпроксями дабы бросить пыль в глаза, проблема на много обширна и бьет по репутации провайдеров перед пользователями, и если мы будим давать такие советы нашим клиентам, то грошь нам цена.
Атаки все-таки направлена в первую очередь на маршрутизатор, так как он несет всю ответственность за предоставление сети клиенту, а затем уже интернет. Так как сеть перед маршрутизатором наша, здесь имеет место максимально-полной защиты сегмента.

Я думаю, не один я, встретил в чудесной таблице ARP дублирования MAC-адреса гетвейя, и на DHCP- сервере стали пачкой появляться имена с кракозяблями или пустые хосты, а также Hotspot с нечего, перестал редиректить. Это все говорит о том что вас хакнули- нагло,бессовестности и малейшего дружелюбия.

Давайте вместе рассмотрим сеть построенную на маршрутизаторе Mikrotik. Так как, дефолтовые настройки не имеют защиты практически ни какой, будим наращивать защиту путем проб и ошибок, здесь и сейчас, пока не поздно. Делимся теорией, пишем свои примеры для практики. Начнем.... :pirate: :job:
Последний раз редактировалось efimrus 12 окт 2014, 09:58, всего редактировалось 1 раз.

Аватара пользователя

Автор темы
efimrus
Новичок
Сообщения: 7
Зарегистрирован: 09 окт 2014, 15:16
Репутация: 1
Откуда: Северск
Контактная информация:
Статус: Не в сети

Re: Mikrotik защита от ARP-спуфина и прочего HACK-софта

Сообщение efimrus » 09 окт 2014, 20:01


Первое, что можно сделать, это на локальном(ных) интерфейсах включить reply-only, и вручную в ARP list привязывать mac-адреса и ip-адреса.
Но это не выход, в частности моей сети имеющей Hotspot (в закрытости, которой, отпадает вообще смысл Hotspota). Вопрос такой, может кто разлахмачивал фильтры на бридже.
Видел видео, но ничего конкретно не понял



разсусольте?
Последний раз редактировалось DesignerMix 09 окт 2014, 20:33, всего редактировалось 1 раз.
Причина: Подправил BBCode - YouTube


yura0356
Новичок
Сообщения: 5
Зарегистрирован: 08 сен 2014, 08:21
Репутация: 0
Статус: Не в сети

Re: Mikrotik защита от ARP-спуфина и прочего HACK-софта

Сообщение yura0356 » 10 окт 2014, 08:51


На дешовом ширпотребе вся эта защита не имеет ни какого смысла не парься и живи как жил.

Аватара пользователя

DesignerMix
Администратор
Администратор
Сообщения: 4451
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 170
Репутация: 547
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Re: Mikrotik защита от ARP-спуфина и прочего HACK-софта

Сообщение DesignerMix » 10 окт 2014, 12:17


efimrus, а скажите модель вашего роутера Mikrotik и версию прошивки которая на нем установлена.

PS:Впервые слышу про эту фирму кстати, из серьезного оборудования сталкивался только с Cisco (модель уже не вспомню).

Аватара пользователя

Автор темы
efimrus
Новичок
Сообщения: 7
Зарегистрирован: 09 окт 2014, 15:16
Репутация: 1
Откуда: Северск
Контактная информация:
Статус: Не в сети

Re: Mikrotik защита от ARP-спуфина и прочего HACK-софта

Сообщение efimrus » 10 окт 2014, 12:24


yura0356 писал(а):На дешовом ширпотребе вся эта защита не имеет ни какого смысла не парься и живи как жил.


Дорогой yura0356, не "дешовом", а все-таки дешевом оборудовании Mikrotik построено множество сетей, да и нужно сначала заработать на толковое железо, так вот и поставлен вопрос о защите того, что уже есть.

Аватара пользователя

Автор темы
efimrus
Новичок
Сообщения: 7
Зарегистрирован: 09 окт 2014, 15:16
Репутация: 1
Откуда: Северск
Контактная информация:
Статус: Не в сети

Re: Mikrotik защита от ARP-спуфина и прочего HACK-софта

Сообщение efimrus » 10 окт 2014, 12:32


DesignerMix писал(а):efimrus, а скажите модель вашего роутера Mikrotik и версию прошивки которая на нем установлена.

PS:Впервые слышу про эту фирму кстати, из серьезного оборудования сталкивался только с Cisco (модель уже не вспомню).


Роутер собран на базе ПК x86 Mikrotik RouterOS 5.26 Level 6.

Аватара пользователя

DesignerMix
Администратор
Администратор
Сообщения: 4451
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 170
Репутация: 547
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Re: Mikrotik защита от ARP-спуфина и прочего HACK-софта

Сообщение DesignerMix » 10 окт 2014, 12:59


efimrus, привожу цитату с этой страницы. На мой взгляд неплохое решение, но нужно-бы протестировать перед тем как запускать на практике:

Dynamic ARP Inspection - технология (by Cisco), позволяющая пропускать ARP-запросы только для тех адресов, которые были выданы по DHCP. Данная технология помогает защититься от атак с использованием протокола ARP (например, ARP-spoofing) и ограничивает пользователей в возможности указания IP адреса “вручную”.

Суть технологии сводится к двум этапам:
1) Перехват всех ARP-запросов и ARP-ответов прежде чем перенаправлять их;
2) Проверка соответствия MAC-адреса и IP-адреса из статической ARP таблицы, либо таблицы выданных адресов DHCP.

Как оказалось, в маршрутизаторах от Mikrotik нашлась возможность реализовать данную технологию.

Для настройки необходимо:
1. В конфигурации “IP -> DHCP Server” поставить галочку “Add ARP For Leases”. При выборе этой опции DHCP сервер будет автоматически добавлять записи в ARP-таблицу маршрутизатора;
2. В настройки интерфейса (бриджа) необходимо для ARP выставить reply-only. Эта опция переведет таблицу ARP на выбранном интерфейсе (бридже) в режим “только чтение” и не будет принимать ARP-запросы.

Таким образом, маршрутизатор будет коммутировать только те пакеты, для которых DHCP добавит ARP запись.

Аватара пользователя

Автор темы
efimrus
Новичок
Сообщения: 7
Зарегистрирован: 09 окт 2014, 15:16
Репутация: 1
Откуда: Северск
Контактная информация:
Статус: Не в сети

Re: Mikrotik защита от ARP-спуфина и прочего HACK-софта

Сообщение efimrus » 11 окт 2014, 21:02


Окей, попробую. Что то я про Add ARP For Leases ни где не смог найти. Спасибо!

Аватара пользователя

Автор темы
efimrus
Новичок
Сообщения: 7
Зарегистрирован: 09 окт 2014, 15:16
Репутация: 1
Откуда: Северск
Контактная информация:
Статус: Не в сети

Re: Mikrotik защита от ARP-спуфинга и прочего HACK-софта

Сообщение efimrus » 24 окт 2014, 11:12


Нет увы пробивает и это, есть еще предложения?

Кто подскажет, что делает хост 10.10.10.57

Oct/24/2014 09:47:39 dhcp,debug,state dhcp-client on ether4_internet_in entering <bound> state
Oct/24/2014 09:47:46 hotspot,debug server1: new host detected 48:5D:60:C2:DD:26/10.10.10.57 by UDP :60356 -> 10.239.0.1:53
Oct/24/2014 09:47:46 hotspot,debug server1: host 48:5D:60:C2:DD:26/10.10.10.57 is blocked
Oct/24/2014 09:48:30 dhcp,debug,packet dhcp1 received inform with id 1406207823 from 10.10.10.57
Oct/24/2014 09:48:30 dhcp,debug,packet ciaddr = 10.10.10.57
Oct/24/2014 09:48:30 dhcp,debug,packet chaddr = 48:5D:60:C2:DD:26
Oct/24/2014 09:48:30 dhcp,debug,packet Msg-Type = inform
Oct/24/2014 09:48:30 dhcp,debug,packet Client-Id = 01-48-5D-60-C2-DD-26
Oct/24/2014 09:48:30 dhcp,debug,packet Host-Name = 31-2D-8F-8A
Oct/24/2014 09:48:30 dhcp,debug,packet Class-Id = "MSFT 5.0"
Oct/24/2014 09:48:30 dhcp,debug,packet Parameter-List = Subnet-Mask,Domain-Name,Router,Domain-Server,NETBIOS-Name-Server,Unknown(46),Unknown(47),Unknown(31),Static-Route,Classless-Route,Unknown(249),Vendor-Specific,Unknown(252)
Oct/24/2014 09:48:30 dhcp,debug,packet dhcp1 sending ack with id 1406207823 to 10.10.10.57
Oct/24/2014 09:48:30 dhcp,debug,packet ciaddr = 10.10.10.57
Oct/24/2014 09:48:30 dhcp,debug,packet siaddr = 10.10.10.1
Oct/24/2014 09:48:30 dhcp,debug,packet chaddr = 48:5D:60:C2:DD:26
Oct/24/2014 09:48:30 dhcp,debug,packet Msg-Type = ack
Oct/24/2014 09:48:30 dhcp,debug,packet Server-Id = 10.10.10.1
Oct/24/2014 09:48:30 dhcp,debug,packet Subnet-Mask = 255.255.255.0
Oct/24/2014 09:48:30 dhcp,debug,packet Router = 10.10.10.1
Oct/24/2014 09:48:30 dhcp,debug,packet Domain-Server = 10.239.0.1
Oct/24/2014 09:48:39 dhcp,debug,state dhcp-client on ether4_internet_in entering <renewing...> state
Oct/24/2014 09:48:39 dhcp,debug,packet dhcp-client on ether4_internet_in sending request with id 727095736 to 10.239.0.1
Oct/24/2014 09:48:39 dhcp,debug,packet ciaddr = 10.239.7.49
Oct/24/2014 09:48:39 dhcp,debug,packet chaddr = 00:50:BF:12:0C:55
Oct/24/2014 09:48:39 dhcp,debug,packet Msg-Type = request
Oct/24/2014 09:48:39 dhcp,debug,packet Client-Id = 01-00-50-BF-12-0C-55
Oct/24/2014 09:48:39 dhcp,debug,packet Parameter-List = Subnet-Mask,Classless-Route,Router,Static-Route,Domain-Server,NTP-Server
Oct/24/2014 09:48:39 dhcp,debug,packet Host-Name = "MikroTik"
Oct/24/2014 09:48:39 dhcp,debug,packet dhcp-client on ether4_internet_in received ack with id 727095736 from 10.239.0.1
Oct/24/2014 09:48:39 dhcp,debug,packet ciaddr = 10.239.7.49
Oct/24/2014 09:48:39 dhcp,debug,packet yiaddr = 10.239.7.49
Oct/24/2014 09:48:39 dhcp,debug,packet siaddr = 10.239.0.1
Oct/24/2014 09:48:39 dhcp,debug,packet chaddr = 00:50:BF:12:0C:55
Oct/24/2014 09:48:39 dhcp,debug,packet Msg-Type = ack
Oct/24/2014 09:48:39 dhcp,debug,packet Server-Id = 10.239.0.1
Oct/24/2014 09:48:39 dhcp,debug,packet Address-Time = 120
Oct/24/2014 09:48:39 dhcp,debug,packet Renewal-Time = 55
Oct/24/2014 09:48:39 dhcp,debug,packet Unknown(59) = 00-00-00-64
Oct/24/2014 09:48:39 dhcp,debug,packet Subnet-Mask = 255.255.0.0
Oct/24/2014 09:48:39 dhcp,debug,packet Unknown(28) = 0A-EF-FF-FF
Oct/24/2014 09:48:39 dhcp,debug,packet Router = 10.239.0.1
Oct/24/2014 09:48:39 dhcp,debug,packet Domain-Server = 10.239.0.1
Oct/24/2014 09:48:39 dhcp,debug,packet NTP-Server = 10.239.0.1
Oct/24/2014 09:48:39 dhcp,debug,state dhcp-client on ether4_internet_in entering <bound> state
Oct/24/2014 09:49:39 dhcp,debug,state dhcp-client on ether4_internet_in entering <renewing...> state
Oct/24/2014 09:49:39 dhcp,debug,packet dhcp-client on ether4_internet_in sending request with id 727095736 to 10.239.0.1
Oct/24/2014 09:49:39 dhcp,debug,packet ciaddr = 10.239.7.49
Oct/24/2014 09:49:39 dhcp,debug,packet chaddr = 00:50:BF:12:0C:55
Oct/24/2014 09:49:39 dhcp,debug,packet Msg-Type = request
Oct/24/2014 09:49:39 dhcp,debug,packet Client-Id = 01-00-50-BF-12-0C-55
Oct/24/2014 09:49:39 dhcp,debug,packet Parameter-List = Subnet-Mask,Classless-Route,Router,Static-Route,Domain-Server,NTP-Server
Oct/24/2014 09:49:39 dhcp,debug,packet Host-Name = "MikroTik"
Oct/24/2014 09:49:39 dhcp,debug,packet dhcp-client on ether4_internet_in received ack with id 727095736 from 10.239.0.1
Oct/24/2014 09:49:39 dhcp,debug,packet ciaddr = 10.239.7.49
Oct/24/2014 09:49:39 dhcp,debug,packet yiaddr = 10.239.7.49
Oct/24/2014 09:49:39 dhcp,debug,packet siaddr = 10.239.0.1
Oct/24/2014 09:49:39 dhcp,debug,packet chaddr = 00:50:BF:12:0C:55
Oct/24/2014 09:49:39 dhcp,debug,packet Msg-Type = ack
Oct/24/2014 09:49:39 dhcp,debug,packet Server-Id = 10.239.0.1
Oct/24/2014 09:49:39 dhcp,debug,packet Address-Time = 120
Oct/24/2014 09:49:39 dhcp,debug,packet Renewal-Time = 53
Oct/24/2014 09:49:39 dhcp,debug,packet Unknown(59) = 00-00-00-62
Oct/24/2014 09:49:39 dhcp,debug,packet Subnet-Mask = 255.255.0.0
Oct/24/2014 09:49:39 dhcp,debug,packet Unknown(28) = 0A-EF-FF-FF
Oct/24/2014 09:49:39 dhcp,debug,packet Router = 10.239.0.1
Oct/24/2014 09:49:39 dhcp,debug,packet Domain-Server = 10.239.0.1
Oct/24/2014 09:49:39 dhcp,debug,packet NTP-Server = 10.239.0.1
Oct/24/2014 09:49:39 dhcp,debug,state dhcp-client on ether4_internet_in entering <bound> state
Oct/24/2014 09:50:20 hotspot,debug server1: new host detected 48:5D:60:C2:DD:26/10.10.10.57 by UDP :64908 -> 10.239.0.1:53