Как да защитя мрежа изградена с продукти на UBNT M5 - серията

[jaredharet]

Не знам, не съм разглобявал ново, но иначе се държат 1:1 със тези от атака 3

[danielskiii]

на фирм 5.5 не ми дава да махна отметката от installer eirp control

[jaredharet]

А някакво адекватно решение сещаш ли се, поне за развалените, че щетите са за 5 цифрена сума. И това момче Гошенцето от Ямбол, не може да разбере, че така не се прави бизнес. И по този начин няма да спечели.

Тъй, като в момента съм пратил устройства на Релоуд, както и на няколко човека работещи с индустриални контролери и ПЛС-та, но никой от тях не е успял да ми каже какво точно им има.

[panevdd]

Ако атаката наистина е умишлена и направена кадърно, нямаш много варианти...

Предполагам, че LAN-а е забранен (reset бутона - също), устройството е настроено в режим Station на някаква нестандартна честота - това е добрият вариант.

Лошият е наистина да е изтрит/променен bootloader-а. В такъв случай търсиш начин за разпояване на чипове и (пре)програмиране.

По-големия проблем е да се начери начин за ефективна защита, включително и от физически достъп.

[danielskiii]

няма нужда от разпояване и препрограмиране дори е да е в без буутлоадър могат да се флашнат през Jtag първо се качва code.bin с мак адресите и така

[jaredharet]

А, къде са пиновете за jtag

[netronix]

Много неприятно това което се е случило.

От тук от там се чуват слухове, че тези мизерии ги прави голяма фирма която предлага тв, и иска да стъпи на интернет пазара в цялата страна. Първо те тормозят тебе по такава схема, после те купуват.

Познавам друг колега, който си е изпатил от същата схема...

[master]

Е то на всеки е ясно коя е тая "фирма" Най-големите некадърници който се опитват да пускат интернет ама си мислят, че е като да опъваш простири.

[jaredharet]

По-горе дадох линк за конкурентната фирма която прави мизериите

Мисля, че вече всичко е безсмислено за това ще споделя каква беше защитата. Има 5 лъча, които тръгват от кулата, всяко AP на кулата (ubnt) е включено в неомонтански switch с конфигурация, с която всеки порт да вижда само първия. Всички устройства получаваха адрес със маска /30 и всеки лъч е различна C мрежа. Като беше разрешено само HTTP през сменен порт За мениджмънт се използва рутиращо правило. Което е вдигнато на PPTP интерфейс. Т.е. първо трябва да се свържа с МТ-ка за да мога да вляза в някое у-во. Днес сутринта когато започна атаката забелязах, че в единият лъч има рутер борд 433, който не е мой, но беше с IP, като моя МТ. Рестартирах лъча и повече не успях да се логна в него но иначе, чрез сканиране видях все още живи устройства. Но след време бавно изчезваха лъч по лъч. Като вече забелязах, че рества ли се у-во и умира. И така всичко е DOWN, като не може да се влиза по лан и у-вото свети но показва изключен мрежови кабел.

Та ако някой има идей какво им се е случило, как се е случило и как да се оправят?

Да добавя устройствата са в различни населени места на около 70 км разстояние едно от друго. И повредените устройства са 100+

Това е и конфига

aaa.1.br.devname=br0

aaa.1.devname=ath0

aaa.1.driver=madwifi

aaa.1.radius.auth.1.status=disabled

aaa.1.ssid=home.net

aaa.1.status=disabled

aaa.1.wpa.1.pairwise=CCMP

aaa.1.wpa.key.1.mgmt=WPA-PSK

aaa.1.wpa.psk=*****

aaa.1.wpa=2

aaa.status=disabled

airview.tcp_port=18888

bridge.1.devname=br0

bridge.1.fd=1

bridge.1.port.1.devname=eth0

bridge.1.port.1.prio=10

bridge.1.port.1.status=enabled

bridge.1.port.2.devname=ath0

bridge.1.port.2.prio=30

bridge.1.port.2.status=enabled

bridge.1.port.3.devname=eth1

bridge.1.port.3.prio=20

bridge.1.port.3.status=enabled

bridge.1.stp.status=disabled

bridge.status=enabled

dhcpc.1.devname=br0

dhcpc.1.fallback=192.168.1.20

dhcpc.1.fallback_netmask=255.255.255.0

dhcpc.1.status=enabled

dhcpc.status=enabled

dhcpd.1.status=disabled

dhcpd.status=disabled

discovery.status=enabled

dnsmasq.1.devname=eth0

dnsmasq.1.status=enabled

dnsmasq.status=disabled

dyndns.status=disabled

ebtables.1.cmd=-t nat -A PREROUTING --in-interface ath0 -j arpnat --arpnat-target ACCEPT

ebtables.1.status=disabled

ebtables.2.cmd=-t nat -A POSTROUTING --out-interface ath0 -j arpnat --arpnat-target ACCEPT

ebtables.2.status=disabled

ebtables.3.cmd=-t broute -A BROUTING --protocol 0x888e --in-interface ath0 -j DROP

ebtables.3.status=enabled

ebtables.50.status=disabled

ebtables.51.status=disabled

ebtables.52.status=disabled

ebtables.status=enabled

gui.language=en_US

httpd.https.status=disabled

httpd.port=80

httpd.session.timeout=900

httpd.status=enabled

igmpproxy.status=disabled

iptables.3.status=disabled

iptables.50.status=disabled

iptables.51.status=disabled

iptables.52.status=disabled

iptables.status=disabled

netconf.1.alias.1.status=disabled

netconf.1.alias.2.status=disabled

netconf.1.alias.3.status=disabled

netconf.1.alias.4.status=disabled

netconf.1.alias.5.status=disabled

netconf.1.alias.6.status=disabled

netconf.1.alias.7.status=disabled

netconf.1.alias.8.status=disabled

netconf.1.autoip.status=disabled

netconf.1.devname=eth0

netconf.1.hwaddr.status=disabled

netconf.1.ip=0.0.0.0

netconf.1.mtu=1500

netconf.1.netmask=255.255.255.0

netconf.1.promisc=enabled

netconf.1.status=enabled

netconf.1.up=enabled

netconf.2.alias.1.status=disabled

netconf.2.alias.2.status=disabled

netconf.2.alias.3.status=disabled

netconf.2.alias.4.status=disabled

netconf.2.alias.5.status=disabled

netconf.2.alias.6.status=disabled

netconf.2.alias.7.status=disabled

netconf.2.alias.8.status=disabled

netconf.2.allmulti=enabled

netconf.2.autoip.status=disabled

netconf.2.devname=ath0

netconf.2.hwaddr.status=disabled

netconf.2.ip=0.0.0.0

netconf.2.mtu=1500

netconf.2.netmask=255.255.255.0

netconf.2.promisc=enabled

netconf.2.status=enabled

netconf.2.up=enabled

netconf.3.autoip.status=enabled

netconf.3.devname=br0

netconf.3.hwaddr.status=disabled

netconf.3.ip=0.0.0.0

netconf.3.mtu=1500

netconf.3.netmask=255.255.255.0

netconf.3.status=enabled

netconf.3.up=enabled

netconf.4.alias.1.status=disabled

netconf.4.alias.2.status=disabled

netconf.4.alias.3.status=disabled

netconf.4.alias.4.status=disabled

netconf.4.alias.5.status=disabled

netconf.4.alias.6.status=disabled

netconf.4.alias.7.status=disabled

netconf.4.alias.8.status=disabled

netconf.4.autoip.status=disabled

netconf.4.devname=eth1

netconf.4.hwaddr.status=disabled

netconf.4.ip=0.0.0.0

netconf.4.mtu=1500

netconf.4.netmask=255.255.255.0

netconf.4.up=enabled

netconf.5.autoip.status=disabled

netconf.5.devname=ath1

netconf.5.mtu=1500

netconf.6.status=disabled

netconf.status=enabled

netmode=bridge

ntpclient.status=disabled

ppp.1.password=

ppp.1.status=disabled

ppp.status=disabled

pwdog.status=disabled

radio.1.ack.auto=enabled

radio.1.ackdistance=600

radio.1.acktimeout=25

radio.1.antenna=4

radio.1.chanshift=5

radio.1.clksel=1

radio.1.countrycode=511

radio.1.cwm.enable=0

radio.1.cwm.mode=1

radio.1.devname=ath0

radio.1.dfs.status=enabled

radio.1.ext_antenna=0

radio.1.forbiasauto=0

radio.1.freq=6000

radio.1.ieee_mode=11naht40

radio.1.mcastrate=15

radio.1.mode=managed

radio.1.obey=disabled

radio.1.polling=disabled

radio.1.pollingnoack=

radio.1.pollingpri=0

radio.1.rate.auto=enabled

radio.1.rate.mcs=15

radio.1.reg_obey=disabled

radio.1.rx_antenna=0

radio.1.rx_antenna_diversity=enabled

radio.1.status=enabled

radio.1.subsystemid=0xe0a5

radio.1.tx_antenna=0

radio.1.tx_antenna_diversity=enabled

radio.1.txpower=23

radio.countrycode=511

radio.status=enabled

resolv.host.1.name=UBNT

resolv.host.1.status=enabled

resolv.nameserver.1.ip=0.0.0.0

resolv.nameserver.1.status=enabled

resolv.nameserver.2.status=disabled

resolv.status=enabled

route.1.devname=br0

route.1.gateway=192.168.1.1

route.1.ip=0.0.0.0

route.1.netmask=0

route.1.status=disabled

route.status=enabled

snmp.status=disabled

sshd.port=22

sshd.status=disabled

syslog.remote.status=

syslog.status=disabled

system.button.reset=enabled

system.date.status=disabled

system.date=

system.eirp.status=disabled

system.latitude=

system.longitude=

system.timezone=GMT-2

telnetd.status=disabled

tshaper.in.1.devname=eth0

tshaper.out.1.devname=ath0

users.1.name=admin

users.1.password=*****

users.1.status=enabled

users.2.status=disabled

users.status=enabled

vlan.1.status=disabled

vlan.2.status=disabled

vlan.status=disabled

wireless.1.addmtikie=enabled

wireless.1.ap=

wireless.1.authmode=1

wireless.1.autowds=disabled

wireless.1.devname=ath0

wireless.1.hide_ssid=disabled

wireless.1.mac_acl.1.mac=

wireless.1.mac_acl.1.status=disabled

wireless.1.mac_acl.10.mac=

wireless.1.mac_acl.10.status=disabled

wireless.1.mac_acl.11.mac=

wireless.1.mac_acl.11.status=disabled

wireless.1.mac_acl.12.mac=

wireless.1.mac_acl.12.status=disabled

wireless.1.mac_acl.13.mac=

wireless.1.mac_acl.13.status=disabled

wireless.1.mac_acl.14.mac=

wireless.1.mac_acl.14.status=disabled

wireless.1.mac_acl.15.mac=

wireless.1.mac_acl.15.status=disabled

wireless.1.mac_acl.16.mac=

wireless.1.mac_acl.16.status=disabled

wireless.1.mac_acl.17.mac=

wireless.1.mac_acl.17.status=disabled

wireless.1.mac_acl.18.mac=

wireless.1.mac_acl.18.status=disabled

wireless.1.mac_acl.19.mac=

wireless.1.mac_acl.19.status=disabled

wireless.1.mac_acl.2.mac=

wireless.1.mac_acl.2.status=disabled

wireless.1.mac_acl.20.mac=

wireless.1.mac_acl.20.status=disabled

wireless.1.mac_acl.21.mac=

wireless.1.mac_acl.21.status=disabled

wireless.1.mac_acl.22.mac=

wireless.1.mac_acl.22.status=disabled

wireless.1.mac_acl.23.mac=

wireless.1.mac_acl.23.status=disabled

wireless.1.mac_acl.24.mac=

wireless.1.mac_acl.24.status=disabled

wireless.1.mac_acl.25.mac=

wireless.1.mac_acl.25.status=disabled

wireless.1.mac_acl.26.mac=

wireless.1.mac_acl.26.status=disabled

wireless.1.mac_acl.27.mac=

wireless.1.mac_acl.27.status=disabled

wireless.1.mac_acl.28.mac=

wireless.1.mac_acl.28.status=disabled

wireless.1.mac_acl.29.mac=

wireless.1.mac_acl.29.status=disabled

wireless.1.mac_acl.3.mac=

wireless.1.mac_acl.3.status=disabled

wireless.1.mac_acl.30.mac=

wireless.1.mac_acl.30.status=disabled

wireless.1.mac_acl.31.mac=

wireless.1.mac_acl.31.status=disabled

wireless.1.mac_acl.32.mac=

wireless.1.mac_acl.32.status=disabled

wireless.1.mac_acl.4.mac=

wireless.1.mac_acl.4.status=disabled

wireless.1.mac_acl.5.mac=

wireless.1.mac_acl.5.status=disabled

wireless.1.mac_acl.6.mac=

wireless.1.mac_acl.6.status=disabled

wireless.1.mac_acl.7.mac=

wireless.1.mac_acl.7.status=disabled

wireless.1.mac_acl.8.mac=

wireless.1.mac_acl.8.status=disabled

wireless.1.mac_acl.9.mac=

wireless.1.mac_acl.9.status=disabled

wireless.1.mac_acl.policy=allow

wireless.1.mac_acl.status=disabled

wireless.1.macclone=disabled

wireless.1.scan_list.channels=5600, 5900

wireless.1.scan_list.status=enabled

wireless.1.security=none

wireless.1.ssid=*****

wireless.1.status=enabled

wireless.1.wds.1.peer=

wireless.1.wds.2.peer=

wireless.1.wds.3.peer=

wireless.1.wds.4.peer=

wireless.1.wds.5.peer=

wireless.1.wds.6.peer=

wireless.1.wds=enabled

wireless.status=enabled

wpasupplicant.device.1.devname=ath0

wpasupplicant.device.1.driver=madwifi

wpasupplicant.device.1.profile=WPA-PSK

wpasupplicant.device.1.status=enabled

wpasupplicant.profile.1.name=WPA-PSK

wpasupplicant.profile.1.network.1.bssid=

wpasupplicant.profile.1.network.1.eap.1.status=disabled

wpasupplicant.profile.1.network.1.key_mgmt.1.name=WPA-PSK

wpasupplicant.profile.1.network.1.pairwise.1.name=CCMP

wpasupplicant.profile.1.network.1.proto.1.name=RSN

wpasupplicant.profile.1.network.1.psk=*****

wpasupplicant.profile.1.network.1.ssid=*****

wpasupplicant.status=enabled

бастунчета.... прави се бридж. тура се vlan + wlan в него

буташ си така трафика от юзерите към рутера. дига се mng vlan и така се достъпват. на eth

през други интерфейси дроп. махаш резет джиджавката чисто хардуерно и ако се налага отваряш и ръчно "окъсяване".

Немаш пинг? За чии ти е? tftp, reset наливане на софт. не е атомна физика баси

Ако правилно разбирам отговорът ти, аз явно точно такава защита съм направил?

Редактирано 26 Март, 2012 от jaredharet

[Networker]

Тези UBNT устройства са ползвани като крайни преди клиента (АР-та към които всеки user се закача) или за гръбнак?

Идеята с VLAN-а е по-добрия вариант, като трафика се тагва още на входа на устройството - ако влизат по wireless от WLAN частта - от там пътуват тагнати до края на мрежата и там се разтагват на рутера. Така практически всичко по пътя е прозрачно и недостъпно от страна на потребителите. Втори VLAN за management се пуска от рутера и се разтагва на входа на устройствата, само за достъп до тях.

Аварията най-вероятно е през този експлойт/червей, споменат по-горе. Ако е червея, има тул за премахването му след като получиш достъп до устройствата, но понеже нямаш достъп предполагам, че са затрили бутлоудъра, както предполагат колегите по-горе. Не е непоправимо, но ще отнеме време, а през това време трябва да им възстановиш някак услугата.

[Октодиан]

Нямам пинг до 192.168.1.20, а и като цяла при включване на лан кабела, показва все едно е изключен (червен Х) и лан порта свети без да премигва. Сякаш е забранена лан порта.

И на мене ми се е случвало подобно нещо натиснах и задържах бутона ресет около 2 минути и всичко се оправи !!!

[jaredharet]

Ами да, но реално в този случай явно e имало bootloader, а иначе при моя случай с TTL не зарежда нищо

Тези UBNT устройства са ползвани като крайни преди клиента (АР-та към които всеки user се закача) или за гръбнак?

Идеята с VLAN-а е по-добрия вариант, като трафика се тагва още на входа на устройството - ако влизат по wireless от WLAN частта - от там пътуват тагнати до края на мрежата и там се разтагват на рутера. Така практически всичко по пътя е прозрачно и недостъпно от страна на потребителите. Втори VLAN за management се пуска от рутера и се разтагва на входа на устройствата, само за достъп до тях.

Аварията най-вероятно е през този експлойт/червей, споменат по-горе. Ако е червея, има тул за премахването му след като получиш достъп до устройствата, но понеже нямаш достъп предполагам, че са затрили бутлоудъра, както предполагат колегите по-горе. Не е непоправимо, но ще отнеме време, а през това време трябва да им възстановиш някак услугата.

А, ако има физически достъп до някое у-во и влезе в него, нали пак ще види какъв VLAN е тагнат, и от там пак няма да има файда

Редактирано 27 Март, 2012 от jaredharet

[dabadaba]

Няма врата, колкото и секретни ключалки да има, да не може да се отключи.

Колкото и да са защитени, винаги има начин да ти хакнат устройствата. Същото е както да ти прережат оптичния кабел. Този, който го е направил не е случаен - виж какво мога, съобразявай се с мен! Защо имам чувството, че тук с пълна сила важи закона на джунглата?

Ако не бяха ги хакнали, какво пречеше да ги прострелят с въздушна пушка? Минава за хлапашка работа, иди ги търси...

Никога не прави неща, каквито не искаш да ти се случат и на теб!

[111111]

А, ако има физически достъп до някое у-во и влезе в него, нали пак ще види какъв VLAN е тагнат, и от там пак няма да има файда

VLAN не е криптиран протокол и спокойно се вижда със скенер без да си в него

също така се вижда и цифричката на тага

какъв е шанса освен дупката на skynet да имаш и проксито

[Networker]

Вие съвсем го отчаяхте човека. Пред нелоялната конкуренция не трябва да се отстъпва, който ще да е този вредител - винаги има начин.

Това за VLAN-а е така, но ако management VLAN-а се разтагва на LAN-а на у-вото, а опит за свързване през WLAN се филтрират с iptables, ще трябва да се катери на всеки дирек с LAN кабел и да ги чупи едно по едно. Пък и има и други варианти за изолиране на трафика, примерно с EoIP ако имаш MTik към Linux сървър. Или си правиш MAC филтър проверка през радиус, само с MAC-ове на клиенти, или WPA през радиус - варианти за защита много.

Следене по мрежата за техника, която не е твоя - по MAC адреса със съдействие от MVR и реселърите на техника в БГ може да се разбере на кого е продадено нещото.

Тук таме по някоя IP camera за доказателства и така.