Mikrotik защита от ARP-спуфинга и прочего HACK-софта

[efimrus]

Уважаемый Народ!
В виду того, что развилось полным полно различного софта по взлому сетей, и автор этого форума(ни чего против автора не имею, если бы не он, нашелся другой и кто-то "стопудово" жалеет, что не успел вперед его заТубить, чисто мое мнение), тоже замешан в инструктаже соответствующей публики материалами по ARP-атаке. (Первый же пойманный мной "Атакер" показал на видео именно от пользователя DesignerMix, и второй тоже).
Здесь же резонно поднять вопрос о конкретной защите наших маршрутизаторов от различного рода софта таких как Kali Linux, Wireshark и т.д.
Так как автор ограничился объяснением защиты конечных пользователей плагинами и анпроксями дабы бросить пыль в глаза, проблема на много обширна и бьет по репутации провайдеров перед пользователями, и если мы будим давать такие советы нашим клиентам, то грошь нам цена.
Атаки все-таки направлена в первую очередь на маршрутизатор, так как он несет всю ответственность за предоставление сети клиенту, а затем уже интернет. Так как сеть перед маршрутизатором наша, здесь имеет место максимально-полной защиты сегмента.

Я думаю, не один я, встретил в чудесной таблице ARP дублирования MAC-адреса гетвейя, и на DHCP- сервере стали пачкой появляться имена с кракозяблями или пустые хосты, а также Hotspot с нечего, перестал редиректить. Это все говорит о том что вас хакнули- нагло,бессовестности и малейшего дружелюбия.

Давайте вместе рассмотрим сеть построенную на маршрутизаторе Mikrotik. Так как, дефолтовые настройки не имеют защиты практически ни какой, будим наращивать защиту путем проб и ошибок, здесь и сейчас, пока не поздно. Делимся теорией, пишем свои примеры для практики. Начнем....

[efimrus]

Первое, что можно сделать, это на локальном(ных) интерфейсах включить reply-only, и вручную в ARP list привязывать mac-адреса и ip-адреса.
Но это не выход, в частности моей сети имеющей Hotspot (в закрытости, которой, отпадает вообще смысл Hotspota). Вопрос такой, может кто разлахмачивал фильтры на бридже.
Видел видео, но ничего конкретно не понял

разсусольте?

[yura0356]

На дешовом ширпотребе вся эта защита не имеет ни какого смысла не парься и живи как жил.

[DesignerMix]

efimrus, а скажите модель вашего роутера Mikrotik и версию прошивки которая на нем установлена.

PS:Впервые слышу про эту фирму кстати, из серьезного оборудования сталкивался только с Cisco (модель уже не вспомню).

[efimrus]

На дешовом ширпотребе вся эта защита не имеет ни какого смысла не парься и живи как жил.

Дорогой yura0356, не "дешовом", а все-таки дешевом оборудовании Mikrotik построено множество сетей, да и нужно сначала заработать на толковое железо, так вот и поставлен вопрос о защите того, что уже есть.

[efimrus]

efimrus, а скажите модель вашего роутера Mikrotik и версию прошивки которая на нем установлена.

PS:Впервые слышу про эту фирму кстати, из серьезного оборудования сталкивался только с Cisco (модель уже не вспомню).

Роутер собран на базе ПК x86 Mikrotik RouterOS 5.26 Level 6.

[DesignerMix]

efimrus, привожу цитату с этой страницы. На мой взгляд неплохое решение, но нужно-бы протестировать перед тем как запускать на практике:

Dynamic ARP Inspection - технология (by Cisco), позволяющая пропускать ARP-запросы только для тех адресов, которые были выданы по DHCP. Данная технология помогает защититься от атак с использованием протокола ARP (например, ARP-spoofing) и ограничивает пользователей в возможности указания IP адреса “вручную”.

Суть технологии сводится к двум этапам:
1) Перехват всех ARP-запросов и ARP-ответов прежде чем перенаправлять их;
2) Проверка соответствия MAC-адреса и IP-адреса из статической ARP таблицы, либо таблицы выданных адресов DHCP.

Как оказалось, в маршрутизаторах от Mikrotik нашлась возможность реализовать данную технологию.

Для настройки необходимо:
1. В конфигурации “IP -> DHCP Server” поставить галочку “Add ARP For Leases”. При выборе этой опции DHCP сервер будет автоматически добавлять записи в ARP-таблицу маршрутизатора;
2. В настройки интерфейса (бриджа) необходимо для ARP выставить reply-only. Эта опция переведет таблицу ARP на выбранном интерфейсе (бридже) в режим “только чтение” и не будет принимать ARP-запросы.

Таким образом, маршрутизатор будет коммутировать только те пакеты, для которых DHCP добавит ARP запись.

[efimrus]

Окей, попробую. Что то я про Add ARP For Leases ни где не смог найти. Спасибо!

[efimrus]

Нет увы пробивает и это, есть еще предложения?

Кто подскажет, что делает хост 10.10.10.57

Oct/24/2014 09:47:39 dhcp,debug,state dhcp-client on ether4_internet_in entering <bound> state
Oct/24/2014 09:47:46 hotspot,debug server1: new host detected 48:5D:60:C2:DD:26/10.10.10.57 by UDP :60356 -> 10.239.0.1:53
Oct/24/2014 09:47:46 hotspot,debug server1: host 48:5D:60:C2:DD:26/10.10.10.57 is blocked
Oct/24/2014 09:48:30 dhcp,debug,packet dhcp1 received inform with id 1406207823 from 10.10.10.57
Oct/24/2014 09:48:30 dhcp,debug,packet ciaddr = 10.10.10.57
Oct/24/2014 09:48:30 dhcp,debug,packet chaddr = 48:5D:60:C2:DD:26
Oct/24/2014 09:48:30 dhcp,debug,packet Msg-Type = inform
Oct/24/2014 09:48:30 dhcp,debug,packet Client-Id = 01-48-5D-60-C2-DD-26
Oct/24/2014 09:48:30 dhcp,debug,packet Host-Name = 31-2D-8F-8A
Oct/24/2014 09:48:30 dhcp,debug,packet Class-Id = "MSFT 5.0"
Oct/24/2014 09:48:30 dhcp,debug,packet Parameter-List = Subnet-Mask,Domain-Name,Router,Domain-Server,NETBIOS-Name-Server,Unknown(46),Unknown(47),Unknown(31),Static-Route,Classless-Route,Unknown(249),Vendor-Specific,Unknown(252)
Oct/24/2014 09:48:30 dhcp,debug,packet dhcp1 sending ack with id 1406207823 to 10.10.10.57
Oct/24/2014 09:48:30 dhcp,debug,packet ciaddr = 10.10.10.57
Oct/24/2014 09:48:30 dhcp,debug,packet siaddr = 10.10.10.1
Oct/24/2014 09:48:30 dhcp,debug,packet chaddr = 48:5D:60:C2:DD:26
Oct/24/2014 09:48:30 dhcp,debug,packet Msg-Type = ack
Oct/24/2014 09:48:30 dhcp,debug,packet Server-Id = 10.10.10.1
Oct/24/2014 09:48:30 dhcp,debug,packet Subnet-Mask = 255.255.255.0
Oct/24/2014 09:48:30 dhcp,debug,packet Router = 10.10.10.1
Oct/24/2014 09:48:30 dhcp,debug,packet Domain-Server = 10.239.0.1
Oct/24/2014 09:48:39 dhcp,debug,state dhcp-client on ether4_internet_in entering <renewing...> state
Oct/24/2014 09:48:39 dhcp,debug,packet dhcp-client on ether4_internet_in sending request with id 727095736 to 10.239.0.1
Oct/24/2014 09:48:39 dhcp,debug,packet ciaddr = 10.239.7.49
Oct/24/2014 09:48:39 dhcp,debug,packet chaddr = 00:50:BF:12:0C:55
Oct/24/2014 09:48:39 dhcp,debug,packet Msg-Type = request
Oct/24/2014 09:48:39 dhcp,debug,packet Client-Id = 01-00-50-BF-12-0C-55
Oct/24/2014 09:48:39 dhcp,debug,packet Parameter-List = Subnet-Mask,Classless-Route,Router,Static-Route,Domain-Server,NTP-Server
Oct/24/2014 09:48:39 dhcp,debug,packet Host-Name = "MikroTik"
Oct/24/2014 09:48:39 dhcp,debug,packet dhcp-client on ether4_internet_in received ack with id 727095736 from 10.239.0.1
Oct/24/2014 09:48:39 dhcp,debug,packet ciaddr = 10.239.7.49
Oct/24/2014 09:48:39 dhcp,debug,packet yiaddr = 10.239.7.49
Oct/24/2014 09:48:39 dhcp,debug,packet siaddr = 10.239.0.1
Oct/24/2014 09:48:39 dhcp,debug,packet chaddr = 00:50:BF:12:0C:55
Oct/24/2014 09:48:39 dhcp,debug,packet Msg-Type = ack
Oct/24/2014 09:48:39 dhcp,debug,packet Server-Id = 10.239.0.1
Oct/24/2014 09:48:39 dhcp,debug,packet Address-Time = 120
Oct/24/2014 09:48:39 dhcp,debug,packet Renewal-Time = 55
Oct/24/2014 09:48:39 dhcp,debug,packet Unknown(59) = 00-00-00-64
Oct/24/2014 09:48:39 dhcp,debug,packet Subnet-Mask = 255.255.0.0
Oct/24/2014 09:48:39 dhcp,debug,packet Unknown(28) = 0A-EF-FF-FF
Oct/24/2014 09:48:39 dhcp,debug,packet Router = 10.239.0.1
Oct/24/2014 09:48:39 dhcp,debug,packet Domain-Server = 10.239.0.1
Oct/24/2014 09:48:39 dhcp,debug,packet NTP-Server = 10.239.0.1
Oct/24/2014 09:48:39 dhcp,debug,state dhcp-client on ether4_internet_in entering <bound> state
Oct/24/2014 09:49:39 dhcp,debug,state dhcp-client on ether4_internet_in entering <renewing...> state
Oct/24/2014 09:49:39 dhcp,debug,packet dhcp-client on ether4_internet_in sending request with id 727095736 to 10.239.0.1
Oct/24/2014 09:49:39 dhcp,debug,packet ciaddr = 10.239.7.49
Oct/24/2014 09:49:39 dhcp,debug,packet chaddr = 00:50:BF:12:0C:55
Oct/24/2014 09:49:39 dhcp,debug,packet Msg-Type = request
Oct/24/2014 09:49:39 dhcp,debug,packet Client-Id = 01-00-50-BF-12-0C-55
Oct/24/2014 09:49:39 dhcp,debug,packet Parameter-List = Subnet-Mask,Classless-Route,Router,Static-Route,Domain-Server,NTP-Server
Oct/24/2014 09:49:39 dhcp,debug,packet Host-Name = "MikroTik"
Oct/24/2014 09:49:39 dhcp,debug,packet dhcp-client on ether4_internet_in received ack with id 727095736 from 10.239.0.1
Oct/24/2014 09:49:39 dhcp,debug,packet ciaddr = 10.239.7.49
Oct/24/2014 09:49:39 dhcp,debug,packet yiaddr = 10.239.7.49
Oct/24/2014 09:49:39 dhcp,debug,packet siaddr = 10.239.0.1
Oct/24/2014 09:49:39 dhcp,debug,packet chaddr = 00:50:BF:12:0C:55
Oct/24/2014 09:49:39 dhcp,debug,packet Msg-Type = ack
Oct/24/2014 09:49:39 dhcp,debug,packet Server-Id = 10.239.0.1
Oct/24/2014 09:49:39 dhcp,debug,packet Address-Time = 120
Oct/24/2014 09:49:39 dhcp,debug,packet Renewal-Time = 53
Oct/24/2014 09:49:39 dhcp,debug,packet Unknown(59) = 00-00-00-62
Oct/24/2014 09:49:39 dhcp,debug,packet Subnet-Mask = 255.255.0.0
Oct/24/2014 09:49:39 dhcp,debug,packet Unknown(28) = 0A-EF-FF-FF
Oct/24/2014 09:49:39 dhcp,debug,packet Router = 10.239.0.1
Oct/24/2014 09:49:39 dhcp,debug,packet Domain-Server = 10.239.0.1
Oct/24/2014 09:49:39 dhcp,debug,packet NTP-Server = 10.239.0.1
Oct/24/2014 09:49:39 dhcp,debug,state dhcp-client on ether4_internet_in entering <bound> state
Oct/24/2014 09:50:20 hotspot,debug server1: new host detected 48:5D:60:C2:DD:26/10.10.10.57 by UDP :64908 -> 10.239.0.1:53