Комментарии 143
У меня на точках надо ещё повторить номер телефона. Так что перехватывайте процесс ввода номера у соседа по столику. Местами включаю хттпс. Но не везде можно оставить админа чтоб следил за сертификатами и продлением.
Вот для того, чтобы всё делалось автоматически, нужен нормальный админ, а не запускатель чужих скриптов.
Берешь, запускаешь какой-нибудь https://github.com/nyarla/h2o-proxy-letsencrypt и готово, не?
Ну или что у нас там на яве модного есть?
Или на циску, работающую фронтендом хз с какого года и которую ещё несколько лет трогать не будут?
Сей скрипт имеет ограниченное применение и потому требует допиливания при изменении условий задачи.
Допиливание — требует квалификации. Например, умения читать хотя бы комменты, а не предлагать сразу решение ограниченного применения.
Сервер аутентификации выдает клиенту логин и токен, далее клиентский яваскрипт передает логин-токен на сервер доступа для авторизации, сервер доступа чекает его по радиусу и стартует сессию.
Передать яваскриптом кроссайтовый запрост с хттпс страницы на хттп нельзя. Поэтому делается второй домен и устанавливается сертификат на сервер доступа…
Сертификат для сервера доступа может делать сервер аутентификации и передавать его по крону туда, но тут возникает проблема с кешем днс. Проверки летсэнкрипта нужна днс запись A/CNAME, которая может попасть в кеш клиента и получится такой момент что не получится получить правильный редиркект.
Чтоб сделать всё круто ещё месяц надо копаться в скриптах летсэнкрипта… В следующем проекте все будет обязательно ;)
Можно через txt запись подтверждать. И дёргать для этого какой-нибудь api хостера домена.
Могу сделать такое.
1. Сделать captive portal на адресе третьего уровня (да хотя бы www.example.com), а на VPS-ке получать wildcard сертификат (правда, опять таки, нужен будет доступ к txt, но это в принципе решаемо)
2. Просто перехватывать на уровне фаерволла роутера IPшник и насильно его направлять куда нужно. В iptables это делается легко, на микротиках — не знаю, не имел с ними дела, но тоже наверняка можно сделать.
Сделать captive portal на адресе третьего уровня
Только не www, а kafe1.example.com, kafe2.example.com… Ну чтобы не зависеть от адреса сети хотспота.
Просто перехватывать на уровне фаерволла роутера IPшник и насильно его направлять куда нужно.
На микротиковском хотспоте это есть из коробки (собственно за счет этого он не пускает неавторизованных пользователей в сеть вообще).
В iptables это делается легко, на микротиках — не знаю
habr.com/post/423931/#comment_19141035
Настраивать умею, но вот не настраивать же каждому клиенту всё это… я сервера инсталю, а не роутеры…
— доменное имя в локальной сети ресолвится локальным DNS в IP локального сервера
— доменное имя в публичном интернете ресолвится на внешнем DNS в публичный IP маршрутизатора
Поможет это тем, что можно будет сделать https и при истечении сессии, допустим как в примере, переспрашивать номер телефона, на который осуществлялась регистрация через captive-портал, при этом ответ нельзя будет засниффить, то есть получить ранее введенный телефон.
Не спорю, это не замена авторизации через SMS.
Но тогда уж надо отметить что и авторизация через SMS — тоже далеко не гарантия безопасности…
xakep.ru/2002/01/24/14341
а тут свежее
helpugroup.ru/vzlom-otkrytyh-wi-fi-setej-gostinits-samoletov-kofeen-putem-spufinga-mac-adresa
"нужен linux"
Или Андроид.
Больше ада?
Там правда только снифферить можно было, но этого достаточно чтоб посмотреть трафик, собрать маки и подключиться к точке после ухода клиентов.
дополнено: изначально эта была гифка на 10 кадров из Chi's Sweet Home, но только первый кадр показывает гугл
4pda.ru/forum/index.php?showtopic=723222&st=2300
хотя её дествительно на этом основании изгнали из Маркета. однако ночью в пустом вагоне она успешно позволяет подключится, чего не случилось бы если бы она лишь угоняла чужие MAC-адреса.
Вы просто наугад её назвали?
Автор, вы не думали написать софт или хотя бы скрипты для автоматизации этого рутинного, в общем-то, процесса?
Вот об этом была б интересная статья.
#Список LL и IP адресов
ip addr sh
#Смена MAC-адреса устройства
ip link set dev_name address NU:MA:CA:DD:RE:SS
комп уже знает. к какому сети какой мак-адрес подходитПривязать использование определённого MAC-адреса к определённой Wi-Fi сети без скриптов не получится.
P.S. Ходить с чужим MAC-адресом на постоянке ещё хуже, чем с заводским.
Все мы учились понемногу
github.com/yarrick/iodine
DNS чаще всего открыты на вполне определённые IP адреса (которые выдаются в DHCP).
Остальные соединения чаще всего просто дропаются, а соединения на 80 порт редиректятся на кэптив.
Так чтобы были просто разрешены все запросы на 53 порт — с таким не сталкивался у вендоров WiFi оборудования.
Почитайте подробнее, как работает туннелирование в DNS. Ему не требуется доступ до "остальных" IP адресов, только до DNS-сервера провайдера.
Тогда уж лучше ограничить скорость по 53-му порту 5-10kbps на устройство. Большинству запросов хватит, а туннелирование сделает невозможным.
Конечно, может. И может как минимум ещё ограничивать число запросов в единицу времени.
Он гоняет трафик именно внутри запросов-ответов DNS.
При поездках по Европе регулярно встречал открытые сети с captive-порталом, который требует ввести телефон ИЛИ e-mail. В этом случае выбираем e-mail и вводим рандомный и вуаля, в 100% случаев (по моему опыту) вы оказываетесь в сети (возможно, будет работать ограничение по времени сессии).
Очевидно, что в отличие от SMS, для верификации почты вам необходим доступ в интернет, который и ограничивает данный captive.
Более того, в ряде случаев можно авторизоваться в сетях с использованием любого номера.
И вот тут уже возникают самые интересные вопросы: если условный хакер авторизовался в сети от имени какого-то левого номера мобильного телефона, совершил что-то достаточно серьезное, чтобы его захотели найти, то как быстро найдут владельца этого левого номера? И сколько нервных клеток он потеряет в попытках доказать, что это не он совершил что-то противозаконное?
Найдут очень быстро. Владельца левого телефона. Нервные клетки и здоровье он будет терять только если проявит неуместное упрямство и откажется сразу подписать протокол. Отбитые почки и государственный адвокат помогут. Так что это требование сильно помогает сохранить ресурсы налогоплательщиков: операм не надо бегать по улицам и хватать кого попало, козел отпущения уже
Тоже часто задаюсь этим вопросом. Причем от спуфинга мак-адреса с последующими публикациями под видом жертвы всякого экстремизма в контакте никакой защиты, кроме собственно выключения вайфая (или подмены своего адреса там, где есть рут) нет. Даже если с хорошим адвокатом можно будет убедить суд, что мак-адрес != владелец, потраченные нервы и время никто не вернет. А искать злоумышленника уж не будут точно
1.1. Какой-то придурок написал на сайте администрации города %cityName% сообщение, что в её здании заложена бомба (реальный случай из моей практики до введения обязательной авторизации).
1.2. Пусть симку он использовал зарегистрированную на «таджика» (я не нацист, просто для определенности).
1.3. Чуть позже (в пределах минут) Вы взяли его mac и залезли на хабр под «анонимом», понаписали гадостей в этой статье и с чувством выполненного долга пошли домой.
1.4. Дома, поменяв mac на свой Вы вылезли на хабр и под своей учеткой (привязанной к vk) возмутились словами «анонима».
2.1. На этой минуте появляются маскишоу и просят логи авторизации у владельца хотспота.
2.2. Поняв что телефон дохлый, маскишоу смотрят историю просмотров и идут к НЛО.
2.3. НЛО законопослушный гражданин, не любящий террористов, по фингерпринту устанавливает связь между анонимом и Вашей учеткой ВК (или это делают маскишоу, запрашивая нужные сведения у НЛО — не принципиально).
3.1. О дальнейшей деятельности маскишоу Вы узнаете из первых рук.
Финиш…
Вывод: анонимность должна быть анонимной. Размер экрана, как и другие сведения позволяющие Вас аутентифицировать нужно беречь, если Вы дорожите анонимностью.
А ведь таким способом можно и подставить человека…Да, об этом уже было: И еще раз: не пользуйтесь публичным WiFi.
А как происходит подключение к wifi иностранцев? Допустим, некий турист в кафе захотел воспользоваться Интернет?
В половине мест, где авторизация по SMS, ввести можно только номер с +7 (оно и понятно — за границу слать дороже). И все, ходи-ищи другое место.
Интересно, когда уже люди перестанут на этот технический ресурс постить статьи с использованием ifconfig? Вы его в debian сами что-ли руками ставите? Ведь ну выпилили же его из поставки в stretch, ан нет, все равно люди несут. Смиритесь уже что на дворе 2018 год и инструмент для настройки сети теперь iproute.
Почитайте хоть: habrahabr.ru/post/320278
Конкретно, например, если открыть доку debian и шапки в рекомендациях по настройке будет iproute.
Так же было бы неплохо помнить, что ваши сессии записываются (Закон Яровой привет!). При желании (шанс ничтожен, но есть, зависит от последствий вашей деятельности под чужим маком) можно идентифицировать момент нового подключения и с этого момента попробовать составить цифровой отпечаток вашего компьютера и сетевой активности. И не разворачивайте браузер на 100% экрана
И не разворачивайте браузер на 100% экрана
Просто интересно почему??
Ну тут хотя бы мак-адрес проверяют.
Часто эти каптив-порталы тяп-ляп сделаны.
В США их много, в гостинницах, на кораблях и самолётах, в кафешках и т.п. Где-то платные, где-то вход только для клиентов и т.д.
Примерно к каждому третьему мне удавалось подключиться тупо с айфона без всякой подмены макадресов или каких-либо хаков, просто подключался-отключался несколько раз, и интернет вдруг появлялся. Иногда блокировались только порты 80 и 443, иногда достаточно было вручную прописать DNS-сервер и т.п.
да и пускать этот свой сервер в интернет вообще необязательно, например сделать ему шлюз по умолчанию тот же что и его IP-адрес. ну или можно гайки закрутить, например ограничить число/размер запросов и/или скорость трафика тем же фаерволом.
Сейчас, к сожалению, кажется, тот старый софт, который DNS тоннели делал, уже протух. Может быть новый есть? Ну и было бы интересно, как много где открыт DNS до аутентификации и можно ли через него гонять трафик?
Конечно, автор «не открыл Америку». Ценность в другом.
— конкретно, сжато
— просто о «глупости» использования Captive portal.
Спасибо Автору.
пс. переведу статью за друзей Админов на немецкий. Но открыто публиковать нельзя. Засудят-с
или
Браузер Саши по умолчанию стучится на 80 порт. Саша должен ввести пароль и происходит переадресация на 81 порт. Но у Пети браузер стучится на 81 порт потому, что Пете никто не запрещал настраивать так свой браузер (мало ли какие причины). А там админка сразу без пароля. Петя потыкал и случайно сломал систему. Теперь Саша считает Петю хакером потому, что даже не догадывается, что есть какие-то там порты (и это кстати правда для большинства начинающих пользователей). Формально идентификация есть. Но, ее никто не обходил, о ней никто «не знал». Саша, считал, что его система защищена, и теперь он считает, что идентификацию обошли — взломали систему. А Петя, даже не понял, что он что-то взломал. Так как все был открыто.
Это уровень про порты, самый простой (вроде), но есть и сложнее. Все очень условно короче. Для одних все очевидно просто и открыто. И где грань законности/незаконности?
Я, например, веб-программист. У моих клиентов бывают случаи, когда им надо распечатать текст со сайт с правками с сохранением оформления. Все расползается, если начинаешь копировать куда-то. Ну и что может быть проще открыть консоль и поправить текст прямо в html? и распечатать? теперь, я, блин, кулхацкер для кого-то…
Это условие описано в следующих законодательных положениях:
ФЗ №126 «О связи», который вступил в силу 7 июля 2003 года;
постановление Правительства №801 «О внесении изменений в некоторые акты правительства Российской Федерации»;
Федеральный закон Российской Федерации от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Приказ Минкомсвязи России № 83 от 16.04.2014г.;
Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» с изменениями и дополнениями;
Правила оказания услуг связи по передаче данных, утвержденные постановлением Правительства Российской Федерации от 23 января 2006 г.N 32;
Правила оказания телематических услуг связи, утвержденные постановлением Правительства Российской Федерации от 10 сентября 2007 г. N 575;
Правила оказания универсальных услуг связи, утвержденные постановлением Правительства Российской Федерации от 21 апреля 2005 г. N 241;
Постановление Правительства Российской Федерации от 31 июля 2014 г. N 758.
Получается, любой провайдер WIFI сети обязан требовать авторизацию. И, как правило, законодатель дает возможность выбрать, каким образом будет проходить подтверждение личности.
Отсюда такие «косяки» с «обязательной» авторизацией.
Главное отчитаться, что проверка имеется.
Как обойти SMS-идентификацию при подключении к публичным Wi-Fi сетям?