Как да защитя мрежа изградена с продукти на UBNT M5 - серията

[jaredharet]

Колеги ще започна с кратка пред история. И без конкретизиране на факти поради публичността на форума.

Атака 1:

Преди известно време бяха откраднати 4 устройства от UBNT M5 - серията. Като устройствата бяха с променена парола за достъп и WPA2 криптиране на Wireless паролата и пуснат SSH сервиз и frimware 5.3.3

Атака 2: Една вечер се забеляза UBNT устройство, което се е свързало към мрежата и не е наше. На сутринта като станахме нямаше пинг до нито едно устройство. Нещата се оправиха с hardreset и качване на нов frimware 5.3.5 както и нови пароли за достъп и за свързване. Като обаче МАК адреса на лан интерфейса беше сменен.

Атака 3. Отново една сутрин нямаше пинг до нито едно устройство. Но този път hardreset, не помогна, пробвахме и през ТТЛ също не става. И така в момента въпросните устройства стоят в бокса.

Та имам 2 въпроса.

Предложете оптимален начин за защита на мрежата.

Предложете вариант за ремонт на устройствата.

Бих предпочел, конкретните отговори да са на ЛС.

Благодаря колеги!

Редактирано 25 Март, 2012 от jaredharet

[Mile]

tftp flash с openwrt

[jaredharet]

Нямам пинг до 192.168.1.20, а и като цяла при включване на лан кабела, показва все едно е изключен (червен Х) и лан порта свети без да премигва. Сякаш е забранена лан порта.

[danielskiii]

с колегата сме го коментирали на ТТЛ няма никой сякаш е забранен tty1 от буулоадъра иначе защита WPA/WPA2 + MAC ACL

Редактирано 25 Март, 2012 от danielskiii

[jaredharet]

Много голям товар е MAC ACL, защото ако изгори едно устройство или го подмениш и после е доста занимавка, а и на техниците ще им е трудно като правят монтажи

[master]

Е направете бак ъп на настройките и после само ги лоадвайте и да се монтират. После евентуално финна настройка.

Как така му спря лана ? Като цяло каквото и да направиш като защита да не те отчайвам ама ако те нарочат няма отърване.

Редактирано 25 Март, 2012 от master

[danielskiii]

хакнали са му устройствата и са затрили буутлоадера

Редактирано 25 Март, 2012 от danielskiii

[master]

Този "проблем" при старите софтуери ли се наблюдава само или няма значение?

[Mile]

бастунчета.... прави се бридж. тура се vlan + wlan в него

буташ си така трафика от юзерите към рутера. дига се mng vlan и така се достъпват. на eth

през други интерфейси дроп. махаш резет джиджавката чисто хардуерно и ако се налага отваряш и ръчно "окъсяване".

Немаш пинг? За чии ти е? tftp, reset наливане на софт. не е атомна физика баси

[danielskiii]

tftp-то не работи ! и на буут лоадер няма никой иначе като се закачи ттл-а изкарва UBOOT на здравите

Редактирано 25 Март, 2012 от danielskiii

[gbdesign]

Прав е Миле, мениджмънта трябва да бъде задължително през V-Lan за да нямаш проблеми. При правилно проектирана мрежа, юзер не може да получи достъп до инфраструктурни устройства.

[master]

Е това важи ли при влизане с друго радио както е станало ?

[danielskiii]

важи при managment Vlan само от влан -а ще може да се влиза

[Mile]

не точно... ако си вдигнал на рутера този vlan и той форвардва от други ще може от цялата локалка.

обикновено нещата се правят в движение, а не по план някакъв и резултата обикновенно е такъв.

Аз също съм си го набивал.. боли само първите пъти

после се свиква да се правят нещата по друг начин.

[NetworkPro]

Как изобщо за успели да влязат ? Трябва да са знаели паролата ?

Редактирано 25 Март, 2012 от NetworkPro