+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Прекратите взламывать Mikrotik.

Прекратите взламывать Mikrotik., RouterOS

Halsaara

Guest

10.09.2015 22:34:00

Всем привет! У нас проблемы... Какой-то чувак установил на свой смартфон приложение, с помощью которого можно менять IP и MAC-адрес. Они воруют IP и MAC пользователей и используют их аккаунты. Как мы можем остановить это? С наилучшими пожеланиями.

PeterDoBrasil

Guest

26.09.2015 04:42:00

Блокируем хакера по имени хоста

{
:local hack "Documentos-PC";
/ip dhcp-server lease make-static [/ip dhcp-server lease find dynamic=yes host-name="$hack"];
/ip dhcp-server lease set use-src-mac=yes block-access=yes comment="hack" [/ip dhcp-server lease find dynamic=no host-name="$hack"];
}

{
:local hack "android-25dfbf8d3d84f047";
/ip dhcp-server lease make-static [/ip dhcp-server lease find dynamic=yes host-name="$hack"];
/ip dhcp-server lease set use-src-mac=yes block-access=yes comment="hack" [/ip dhcp-server lease find dynamic=no host-name="$hack"];
}

{
:local hack "vitinhoo–_-";
/ip dhcp-server lease make-static [/ip dhcp-server lease find dynamic=yes host-name="$hack"];
/ip dhcp-server lease set use-src-mac=yes block-access=yes comment="hack" [/ip dhcp-server lease find dynamic=no host-name="$hack"];
}

В моём случае работает отлично, проблема возникает, когда у нескольких пользователей одинаковое имя хоста или когда имя хоста пустое!!! Изучайте свою систему, наблюдайте, ищите и уничтожайте наглецов!!! Запускайте скрипт по расписанию каждые 1-2 минуты!

PeterDoBrasil

Guest

26.09.2015 04:51:00

Скрипт для предотвращения ручной настройки

/ip hotspot host remove [/ip hotspot host find dynamic=yes]

1: Установите для интерфейса Hotspot режим arp-reply only (в моём случае это bridge-local)
2: Включите в DHCP-сервере параметр add-arp=yes
3: Добавьте скрипт в планировщик (Scheduler) и запускайте его каждые 10 секунд

bajodel Guest	#4 0 26.09.2015 12:27:00 Если я правильно помню... если убрать IP-пул из настроек хотспота (не из DHCP!), динамические хосты хотспота отключаются, так что можно обойтись без удаления через скрипт. Стоит попробовать.

Zorro

Guest

01.10.2015 19:28:00

Вот для чего нужны 802.1x 2008 и другие функции безопасности портов. 802.11ae, 802.11ar и так далее (macsec, portsec и прочее), но большинство провайдеров, к сожалению, «забывают их внедрить». Надеяться на «изначально сломанный» ARP или NDP для аутентификации и безопасности — это наивно и в конечном итоге тупиковое решение.

SystemErrorMessage Guest	#6 0 01.10.2015 19:42:00 Существуют старые учебники по Cisco, которые действительно разбирают эту и многие другие уязвимости, однако никто не пытается адаптировать это под Mikrotik в виде работоспособных конфигураций, хотя у Mikrotik RouterBOARD есть все возможности для реализации такой защиты. На самом деле некоторые из этих учебников используют роутеры Mikrotik для определённых задач. Факт в том, что у Mikrotik для мостов и коммутирования есть фильтры, которые можно применять. Коммутаторы можно управлять и так далее. Подобная защита должна внедряться и на самом роутере, и на втором уровне. Последние пару лет я не видел действительно хороших пособий по Mikrotik. Большинство достойных туториалов по Mikrotik довольно устаревшие.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры