Комментарии 143
У меня на точках надо ещё повторить номер телефона. Так что перехватывайте процесс ввода номера у соседа по столику. Местами включаю хттпс. Но не везде можно оставить админа чтоб следил за сертификатами и продлением.
То есть у вас нужно каждый раз при подключении номер вводить, я правильно понял?
да, если истекла сессия повторяешь номер телефона. Смс получать повторно не нужно. Конечно у меня там можно перехватить сессию, но она в пределах роутера.
Да, есть два места где именно так. Каждые сутки необходимо заново авторизоваться, и пароль действует неделю, после чего высылается новый при попытке залогиниться. Логин — номер телефона.
А как насчет Let’s Encrypt с их автоматическим перевыпуском сертификатов (они еще и бесплатные :)?
Автоматический перевыпуск != автоматическая установка в какую-нибудь яву или вообще железку.
Вот для того, чтобы всё делалось автоматически, нужен нормальный админ, а не запускатель чужих скриптов.
Вот для того, чтобы всё делалось автоматически, нужен нормальный админ, а не запускатель чужих скриптов.
Берешь, запускаешь какой-нибудь https://github.com/nyarla/h2o-proxy-letsencrypt и готово, не?
Запустите-ка его так, чтоб в каком-нибудь IIS обновил, а?
Ну или что у нас там на яве модного есть?
Или на циску, работающую фронтендом хз с какого года и которую ещё несколько лет трогать не будут?
Сей скрипт имеет ограниченное применение и потому требует допиливания при изменении условий задачи.
Допиливание — требует квалификации. Например, умения читать хотя бы комменты, а не предлагать сразу решение ограниченного применения.
Ну или что у нас там на яве модного есть?
Или на циску, работающую фронтендом хз с какого года и которую ещё несколько лет трогать не будут?
Сей скрипт имеет ограниченное применение и потому требует допиливания при изменении условий задачи.
Допиливание — требует квалификации. Например, умения читать хотя бы комменты, а не предлагать сразу решение ограниченного применения.
Безотносительно к общему смыслу поста, хочу отметить, что с IIS пример неудачный: letsencrypt.org/docs/client-options/#windows-iis
Как-то стремно гонять сертификаты через чужой прокси… А основная проблема в том что домен нужен не только на сервер аутентификации, но и на сервер доступа.
Сервер аутентификации выдает клиенту логин и токен, далее клиентский яваскрипт передает логин-токен на сервер доступа для авторизации, сервер доступа чекает его по радиусу и стартует сессию.
Передать яваскриптом кроссайтовый запрост с хттпс страницы на хттп нельзя. Поэтому делается второй домен и устанавливается сертификат на сервер доступа…
Сертификат для сервера доступа может делать сервер аутентификации и передавать его по крону туда, но тут возникает проблема с кешем днс. Проверки летсэнкрипта нужна днс запись A/CNAME, которая может попасть в кеш клиента и получится такой момент что не получится получить правильный редиркект.
Чтоб сделать всё круто ещё месяц надо копаться в скриптах летсэнкрипта… В следующем проекте все будет обязательно ;)
Сервер аутентификации выдает клиенту логин и токен, далее клиентский яваскрипт передает логин-токен на сервер доступа для авторизации, сервер доступа чекает его по радиусу и стартует сессию.
Передать яваскриптом кроссайтовый запрост с хттпс страницы на хттп нельзя. Поэтому делается второй домен и устанавливается сертификат на сервер доступа…
Сертификат для сервера доступа может делать сервер аутентификации и передавать его по крону туда, но тут возникает проблема с кешем днс. Проверки летсэнкрипта нужна днс запись A/CNAME, которая может попасть в кеш клиента и получится такой момент что не получится получить правильный редиркект.
Чтоб сделать всё круто ещё месяц надо копаться в скриптах летсэнкрипта… В следующем проекте все будет обязательно ;)
Автоматику сложно внедрить на микротик за натом. Домен то требуется подтверждать, а сам домен указывает на 192.168… Да и сам сервер в 70% случаев у меня за натом гдето. Лоу-кост сегмент)
Можно через txt запись подтверждать. И дёргать для этого какой-нибудь api хостера домена.
Покупаете vps на арубе (не реклама) за 1 евро, привязываете домен к нему, получаете letsencrypt серт. Потом со стороны микротика скриптом через ссш по шедулу забираете сертификат с этого сервака и подпихиваете его микротиковскому хотспоту. Работы на пару минут, если масштабировать до десятков хотспотов или на пару дней, если делать единственный раз.
Могу сделать такое.
Могу сделать такое.
кеш днс..) если клиент видел этот домен во внешке, то он может пытаться пойти на хостинг вместо сервера авторизации… микротик конечно перебивает это все, но не стабильно. вчера только «чинил» это жестким натом
В качестве решения есть два варианта:
1. Сделать captive portal на адресе третьего уровня (да хотя бы www.example.com), а на VPS-ке получать wildcard сертификат (правда, опять таки, нужен будет доступ к txt, но это в принципе решаемо)
2. Просто перехватывать на уровне фаерволла роутера IPшник и насильно его направлять куда нужно. В iptables это делается легко, на микротиках — не знаю, не имел с ними дела, но тоже наверняка можно сделать.
1. Сделать captive portal на адресе третьего уровня (да хотя бы www.example.com), а на VPS-ке получать wildcard сертификат (правда, опять таки, нужен будет доступ к txt, но это в принципе решаемо)
2. Просто перехватывать на уровне фаерволла роутера IPшник и насильно его направлять куда нужно. В iptables это делается легко, на микротиках — не знаю, не имел с ними дела, но тоже наверняка можно сделать.
Сделать captive portal на адресе третьего уровня
Только не www, а kafe1.example.com, kafe2.example.com… Ну чтобы не зависеть от адреса сети хотспота.
Просто перехватывать на уровне фаерволла роутера IPшник и насильно его направлять куда нужно.
На микротиковском хотспоте это есть из коробки (собственно за счет этого он не пускает неавторизованных пользователей в сеть вообще).
В iptables это делается легко, на микротиках — не знаю
habr.com/post/423931/#comment_19141035
там мудрить с маскарадом...) всё решаемо, но не везде. вот есть славные домашние роутеры кинетик, в которые встроили хотспот — не разгуляешься там с натом, да и с хттпс не понятно пока. Есть славные тплинки серии eap, там свои же маркетологи не понамают как он работает. Есть славные и любимые эникейщиками юнифай, в которых наконец добавили радиус — там лезть в айпитаблес?) Везде всё решаемо, но везде нужно копать.
Настраивать умею, но вот не настраивать же каждому клиенту всё это… я сервера инсталю, а не роутеры…
Настраивать умею, но вот не настраивать же каждому клиенту всё это… я сервера инсталю, а не роутеры…
Что-то у меня грустный опыт был с арубой (за доллар) в плане пакетлоссов. Или мне сильно не повезло просто? У вас хорошо работает, если ping -c 1000… сделать, то сколько будет потерь? И если мало(нет), то в каком датацентре взяли этот долларовый VPS?
Описанная вами «проблема» решается элементарно:
— доменное имя в локальной сети ресолвится локальным DNS в IP локального сервера
— доменное имя в публичном интернете ресолвится на внешнем DNS в публичный IP маршрутизатора
— доменное имя в локальной сети ресолвится локальным DNS в IP локального сервера
— доменное имя в публичном интернете ресолвится на внешнем DNS в публичный IP маршрутизатора
А поясните, пожалуйста, — что именно имеется ввиду, и как это поможет?
Ну Let’s Encrypt дает бесплатные сертификаты SSL. Если серьификат получается только на один домен, то его перевыпуск легко автоматизировать, достаточно настроить вебсервер (подроьное описание на сайте самого Let’s Encrypt). Если сертификат wildcard, то есть на домен и все поддомены, автоматизировать сложнее: аутентикация по TXT-записям в DNS, соответственно нужно иметь API или прямой доступ к DNS-хостингу.
Поможет это тем, что можно будет сделать https и при истечении сессии, допустим как в примере, переспрашивать номер телефона, на который осуществлялась регистрация через captive-портал, при этом ответ нельзя будет засниффить, то есть получить ранее введенный телефон.
Не спорю, это не замена авторизации через SMS.
Но тогда уж надо отметить что и авторизация через SMS — тоже далеко не гарантия безопасности…
Поможет это тем, что можно будет сделать https и при истечении сессии, допустим как в примере, переспрашивать номер телефона, на который осуществлялась регистрация через captive-портал, при этом ответ нельзя будет засниффить, то есть получить ранее введенный телефон.
Не спорю, это не замена авторизации через SMS.
Но тогда уж надо отметить что и авторизация через SMS — тоже далеко не гарантия безопасности…
Вроде что-то похожее в «Хакере» было, но деталей вообще не помню. Про МАС адрес клиента только помню было.
А не напомните, какой выпуск был? хотел бы почитать
Офигеть, вот это у меня память! Аж 17 лет назад читал!
xakep.ru/2002/01/24/14341
а тут свежее
helpugroup.ru/vzlom-otkrytyh-wi-fi-setej-gostinits-samoletov-kofeen-putem-spufinga-mac-adresa
xakep.ru/2002/01/24/14341
а тут свежее
helpugroup.ru/vzlom-otkrytyh-wi-fi-setej-gostinits-samoletov-kofeen-putem-spufinga-mac-adresa
«легко», ага
это и правда легко, даже взламывать ничего не надо
Ну речь наверное про то, что нужен linux, а это большинству на самом деле сложно (или точнее говоря страшно, т.к. ничего сложного в копипасте команд из статей нет).
"нужен linux"
Или Андроид.
А есть aircrack на андройд? Я видимо многое пропустил. Ну и сменить mac на мобиле (опять же, может я чего пропустил?) вроде не так просто, как через ifconfig.
Берёте Mikrotik map lite, роутер питается от micro usb, размером с коробок спичек. Поднимаете на нём WiFi сеть, после этого с телефона по Tik App или компьютера по WinBox сканируете устройства, поднимаете вторую точку доступа, ей пишете нужный мак и делаете ретрансляцию. После первой настройки — дел на 2 минуты.
Он есть, но не работает с большинством чипсетов. Видел, что втыкали через переходник usb wifi карты и через неё использовали.
я «давненько не брал в руки шашек», но под винду был софт AeroPeek он же после OmniPeek c соответствующими драйверами.
Там правда только снифферить можно было, но этого достаточно чтоб посмотреть трафик, собрать маки и подключиться к точке после ухода клиентов.
Там правда только снифферить можно было, но этого достаточно чтоб посмотреть трафик, собрать маки и подключиться к точке после ухода клиентов.
Я не отрицаю, что это технически просто, но чаще всего такими точками пользуются на ходу с телефона, без доступа к сниферу и возможности подменить мак. Чтобы доказать уязвимость (достаточно очевидную) — окей, но это не на каждый день.
Я такую же аватарку создал на гугл почту, лет 10 назад, даже кадр совпал. Бывают же чудеса)
дополнено: изначально эта была гифка на 10 кадров из Chi's Sweet Home, но только первый кадр показывает гугл
дополнено: изначально эта была гифка на 10 кадров из Chi's Sweet Home, но только первый кадр показывает гугл
Когда смотрите клиентов сети, добавляйте для airodump ключик -a, чтобы показывались только ассоциированные с точкой клиенты. А деаутентификация не поможет ужиться в той же сети второй машине с тем же MAC-адресом: клиент постоянно будет пытаться подключиться вновь (и довольно успешно), а атака будет успешно отключать и атакующего ;-)
А в метро или общ. транспорте это не работает? Там легко можно насобирать десятки тысяч маков, и можно даже выложить их в сеть для всех желающих.
Насколько я помню, даже когда-то было приложение, которое все это делало почти автоматически. Принципы похожие.
Оно называется WiFi в метро из Play Маркета оно изгнано, но автор продолжает над ним успешно работать.
Нет, «Wi-Fi в метро» занимается немного не тем. Это приложение за пользователя ходит по ссылкам и «смотрит» рекламу, MAC-адреса она не сканирует и не подменяет.
насколько я знаю — WiFi в метро лишь имитирует просмотр рекламы и нажатие кнопки в браузере, чтобы войти в интернет, скрывая от пользователя все редиректы, которые делает Максима в процессе подключения.
4pda.ru/forum/index.php?showtopic=723222&st=2300
хотя её дествительно на этом основании изгнали из Маркета. однако ночью в пустом вагоне она успешно позволяет подключится, чего не случилось бы если бы она лишь угоняла чужие MAC-адреса.
Вы просто наугад её назвали?
4pda.ru/forum/index.php?showtopic=723222&st=2300
хотя её дествительно на этом основании изгнали из Маркета. однако ночью в пустом вагоне она успешно позволяет подключится, чего не случилось бы если бы она лишь угоняла чужие MAC-адреса.
Вы просто наугад её назвали?
В метро так можно с себя снимать блокировку за использование adblock. Получил бан, сменил мак, пошел жить дальше
НЛО прилетело и опубликовало эту надпись здесь
Для умеющих в пакет air* всё описанное очевидно, ИМХО.
Автор, вы не думали написать софт или хотя бы скрипты для автоматизации этого рутинного, в общем-то, процесса?
Вот об этом была б интересная статья.
Автор, вы не думали написать софт или хотя бы скрипты для автоматизации этого рутинного, в общем-то, процесса?
Вот об этом была б интересная статья.
Автор, у которого все действия в консоли, не знает как в консоли поменять MAC-адрес и то, что ifconfig deprecated уже давно.
#Список LL и IP адресов
ip addr sh
#Смена MAC-адреса устройства
ip link set dev_name address NU:MA:CA:DD:RE:SS
Ещё краем уха видел, что туннелирование в DNS хорошо работает с captive portal'ами.
github.com/yarrick/iodine
github.com/yarrick/iodine
DNS чаще всего открыты на вполне определённые IP адреса (которые выдаются в DHCP).
Остальные соединения чаще всего просто дропаются, а соединения на 80 порт редиректятся на кэптив.
Так чтобы были просто разрешены все запросы на 53 порт — с таким не сталкивался у вендоров WiFi оборудования.
Почитайте подробнее, как работает туннелирование в DNS. Ему не требуется доступ до "остальных" IP адресов, только до DNS-сервера провайдера.
DNS, обслуживающий хотспот, может быть с «белым списком» доменов для резолва.
Вы хотели сказать с «белым списком dns-серверов»? Так это не поможет (условные «восьмерки» не увидев у себя кэша запроса, а его нет, обратятся dns серверу «хакера»). Или Вы реально считаете, что на микротик (или любой другой небольшой хотспот-роутер, какие обычно втыкают в кафешках) можно впилить белый список, которого хватит хотя-бы 90% посетителей?
Тогда уж лучше ограничить скорость по 53-му порту 5-10kbps на устройство. Большинству запросов хватит, а туннелирование сделает невозможным.
Тогда уж лучше ограничить скорость по 53-му порту 5-10kbps на устройство. Большинству запросов хватит, а туннелирование сделает невозможным.
Конечно, может. И может как минимум ещё ограничивать число запросов в единицу времени.
Так iodine не просто туннель на 53 порту поднимает.
Он гоняет трафик именно внутри запросов-ответов DNS.
Он гоняет трафик именно внутри запросов-ответов DNS.
В прошлом году успешно поднимал dns-тунель на Moscow_Wifi_Free через программу SlowDNS. Эта сеть охватывает весь центр города. Бюджет, как всегда, попилили, а делали студенты.
Возможно, коммент из серии капитана Очевидность, но все же, вдруг кому пригодится:
При поездках по Европе регулярно встречал открытые сети с captive-порталом, который требует ввести телефон ИЛИ e-mail. В этом случае выбираем e-mail и вводим рандомный и вуаля, в 100% случаев (по моему опыту) вы оказываетесь в сети (возможно, будет работать ограничение по времени сессии).
Очевидно, что в отличие от SMS, для верификации почты вам необходим доступ в интернет, который и ограничивает данный captive.
При поездках по Европе регулярно встречал открытые сети с captive-порталом, который требует ввести телефон ИЛИ e-mail. В этом случае выбираем e-mail и вводим рандомный и вуаля, в 100% случаев (по моему опыту) вы оказываетесь в сети (возможно, будет работать ограничение по времени сессии).
Очевидно, что в отличие от SMS, для верификации почты вам необходим доступ в интернет, который и ограничивает данный captive.
Вообще, все это следствие того, что подобная авторизация в сети изначально не планировалась как безопасная. Ее цель — как можно дешевле соблюсти различные требования. Поэтому для более-менее разумного специалиста обойти авторизацию не составит особых проблем.
Более того, в ряде случаев можно авторизоваться в сетях с использованием любого номера.
И вот тут уже возникают самые интересные вопросы: если условный хакер авторизовался в сети от имени какого-то левого номера мобильного телефона, совершил что-то достаточно серьезное, чтобы его захотели найти, то как быстро найдут владельца этого левого номера? И сколько нервных клеток он потеряет в попытках доказать, что это не он совершил что-то противозаконное?
Более того, в ряде случаев можно авторизоваться в сетях с использованием любого номера.
И вот тут уже возникают самые интересные вопросы: если условный хакер авторизовался в сети от имени какого-то левого номера мобильного телефона, совершил что-то достаточно серьезное, чтобы его захотели найти, то как быстро найдут владельца этого левого номера? И сколько нервных клеток он потеряет в попытках доказать, что это не он совершил что-то противозаконное?
Найдут очень быстро. Владельца левого телефона. Нервные клетки и здоровье он будет терять только если проявит неуместное упрямство и откажется сразу подписать протокол. Отбитые почки и государственный адвокат помогут. Так что это требование сильно помогает сохранить ресурсы налогоплательщиков: операм не надо бегать по улицам и хватать кого попало, козел отпущения уже
Скорее всего этого горе хакера вычислят по записям камер наблюдения, просто просмотрев посетителей во время вифи сессии.
Не видели Вы записей этих «камер наблюдения» и судите по сериалу «След», или как-то так. На FullHD камере с 10 метров, Вы возможно, узнаете знакомого, если видели его в этой одежде. А вот опера это знают прекрасно, впрочем, как и их оппоненты. Найти незнакомого человека по картинке с хорошей камеры-1 шанс на 1000. А камеры сильно не всегда хорошие. Иногда они бывают и 480р, и там с 3х метров проблематично определить — официантка Маша или Люся разбила бокал.
Совсем недавно на хабре постили статью про ровно тот же вектор атаки на ВайФай в московском метро и транспорте (только там еще и персональные данные навыдирали в огромном количестве скриптом). Интересно, когда начнут использовать это во всяких криминальных целях — подставить кого-то и т.д. Может тогда что-то предпримут, хотя бы в муниципальных сетях.
Тоже часто задаюсь этим вопросом. Причем от спуфинга мак-адреса с последующими публикациями под видом жертвы всякого экстремизма в контакте никакой защиты, кроме собственно выключения вайфая (или подмены своего адреса там, где есть рут) нет. Даже если с хорошим адвокатом можно будет убедить суд, что мак-адрес != владелец, потраченные нервы и время никто не вернет. А искать злоумышленника уж не будут точно
Интересно, а как же фингерпринты? Если человек пользовался андроидом, а я поставил его мак-адрес на ноут с линуксом, то фингерпринт все равно будет отличаться. Будет ли это как-то учитываться в суде?
А как-же, как отягчающее, дескать, попытался скрыть.
Тут две тонкости есть: во-первых, если для авторизации используется мак адрес, то отпечатки могут никого не интересовать. Во-вторых, фингерпринт можно также подделать. Ну или может быть вы к вайфаю подключились с помощью внешнего вайфай адаптера, который подключали сначала к андройду, в потом к ноутбуку с линуксом.
Фингерпринт будет на стороне сервера, а мак на стороне хотспота. А вот теперь Вам кейс:
1.1. Какой-то придурок написал на сайте администрации города %cityName% сообщение, что в её здании заложена бомба (реальный случай из моей практики до введения обязательной авторизации).
1.2. Пусть симку он использовал зарегистрированную на «таджика» (я не нацист, просто для определенности).
1.3. Чуть позже (в пределах минут) Вы взяли его mac и залезли на хабр под «анонимом», понаписали гадостей в этой статье и с чувством выполненного долга пошли домой.
1.4. Дома, поменяв mac на свой Вы вылезли на хабр и под своей учеткой (привязанной к vk) возмутились словами «анонима».
2.1. На этой минуте появляются маскишоу и просят логи авторизации у владельца хотспота.
2.2. Поняв что телефон дохлый, маскишоу смотрят историю просмотров и идут к НЛО.
2.3. НЛО законопослушный гражданин, не любящий террористов, по фингерпринту устанавливает связь между анонимом и Вашей учеткой ВК (или это делают маскишоу, запрашивая нужные сведения у НЛО — не принципиально).
3.1. О дальнейшей деятельности маскишоу Вы узнаете из первых рук.
Финиш…
Вывод: анонимность должна быть анонимной. Размер экрана, как и другие сведения позволяющие Вас аутентифицировать нужно беречь, если Вы дорожите анонимностью.
1.1. Какой-то придурок написал на сайте администрации города %cityName% сообщение, что в её здании заложена бомба (реальный случай из моей практики до введения обязательной авторизации).
1.2. Пусть симку он использовал зарегистрированную на «таджика» (я не нацист, просто для определенности).
1.3. Чуть позже (в пределах минут) Вы взяли его mac и залезли на хабр под «анонимом», понаписали гадостей в этой статье и с чувством выполненного долга пошли домой.
1.4. Дома, поменяв mac на свой Вы вылезли на хабр и под своей учеткой (привязанной к vk) возмутились словами «анонима».
2.1. На этой минуте появляются маскишоу и просят логи авторизации у владельца хотспота.
2.2. Поняв что телефон дохлый, маскишоу смотрят историю просмотров и идут к НЛО.
2.3. НЛО законопослушный гражданин, не любящий террористов, по фингерпринту устанавливает связь между анонимом и Вашей учеткой ВК (или это делают маскишоу, запрашивая нужные сведения у НЛО — не принципиально).
3.1. О дальнейшей деятельности маскишоу Вы узнаете из первых рук.
Финиш…
Вывод: анонимность должна быть анонимной. Размер экрана, как и другие сведения позволяющие Вас аутентифицировать нужно беречь, если Вы дорожите анонимностью.
С этим я полностью согласен. И все же здесь опять ситуация, в которой сначала «вы взяли его mac» и мак, к сожалению, приравнивается к пользователю. Чего быть не должно, ведь спуфинг мака — вещь доступная. К тому же не является правонарушением сама по себе.
Мнения о том, как должен быть устроен мир (и в частности доказательная база в рамках it-безопасности) очень часто расходится у нас (граждан) и правительства. Проблема в том, что мы их посадить за терроризм (поставьте любой проступок/преступление) не можем, а они нас да. А значит можно конечно давить на них для отмены «закона Яровой», но нужно соблюдать правила it-гигиены.
А ведь таким способом можно и подставить человека… Что-то противозаконное сделав под чужим маком… Наши доблестные полицаи ведь разбираться не будут. И авторизация и записи с камер — все доказательства причастности!
А ведь таким способом можно и подставить человека…Да, об этом уже было: И еще раз: не пользуйтесь публичным WiFi.
А что делать если авторизированный клиент ближе к точке и деавторизировать его не получается?
А как происходит подключение к wifi иностранцев? Допустим, некий турист в кафе захотел воспользоваться Интернет?
Можно просто зарегать один мак-адрес, например 07:10:19:52:20:24 и пользоваться всем. ;)
Да чачто просто впн по юдп рабртает на портах 53, 123, 67, иногда даже 443
Интересно, когда уже люди перестанут на этот технический ресурс постить статьи с использованием ifconfig? Вы его в debian сами что-ли руками ставите? Ведь ну выпилили же его из поставки в stretch, ан нет, все равно люди несут. Смиритесь уже что на дворе 2018 год и инструмент для настройки сети теперь iproute.
Он удобный, привычный, с понятным выводом. Да, устанавливаю. Да, и в Debian, и в CentOS. И даже в Android в составе Busybox. Отстаньте.
удобный, привычный, с понятным выводом… (что же в этом списке забыли? ах да) и он не работает. Удачи в настройке сети с помощью ifconfig в vmware esxi через ansible. Удачи в присвоении интерфейсу второго адреса не через alias. Если меинтейнеры пошли на шаг того что выкинули пакет из основной поставки, наверное здесь что-то не так? или мир дружит против Вас, лишая доброго-старого-привычного? Уж явно эти люди не глупее Вас. Может Вы еще и init.d вместо systemd пользуетесь?
Почитайте хоть: habrahabr.ru/post/320278
Почитайте хоть: habrahabr.ru/post/320278
А если я не пользуюсь apt-based дистрибутивами?
Во-первых автор явно указал что пользуется Debian, поэтому мое возмушение было направлено именно на это. Что пакет признали deprecated более 5 лет назад, выпилили из основной поставки в 2017 году, а люди нет-нет да припрут с помойки какой-то мусор обратно.
Конкретно, например, если открыть доку debian и шапки в рекомендациях по настройке будет iproute.
Конкретно, например, если открыть доку debian и шапки в рекомендациях по настройке будет iproute.
НЛО прилетело и опубликовало эту надпись здесь
Не все сетевые адаптеры позволяют работать в режиме мониторинга. И не забывайте сменить Мак адрес после того как вы отключились, возможно стоит почистить системные логи.
Так же было бы неплохо помнить, что ваши сессии записываются (Закон Яровой привет!). При желании (шанс ничтожен, но есть, зависит от последствий вашей деятельности под чужим маком) можно идентифицировать момент нового подключения и с этого момента попробовать составить цифровой отпечаток вашего компьютера и сетевой активности. И не разворачивайте браузер на 100% экрана
Так же было бы неплохо помнить, что ваши сессии записываются (Закон Яровой привет!). При желании (шанс ничтожен, но есть, зависит от последствий вашей деятельности под чужим маком) можно идентифицировать момент нового подключения и с этого момента попробовать составить цифровой отпечаток вашего компьютера и сетевой активности. И не разворачивайте браузер на 100% экрана
И не разворачивайте браузер на 100% экрана
Просто интересно почему??
Это ещё одна характеристика Вашего компьютера — разрешение экрана.
Совершенно верно. Можете посмотреть в расширенной версии данные о своем компьютере. Например вот тут Whoer.net
НЛО прилетело и опубликовало эту надпись здесь
Еще можно воспользоваться Tor Browser, который передает в качестве разрешения экрана текущие размеры окна.
Мне кажется, это, конечно же сужает круг, но все таки, все типовые винды будут на одно лицо, все типовые убунты тоже на одно лицо. В общем, если вдруг вас будут серьезно ловить и поймают — это это плохо, вне зависимости от размера панелек (и скорее будут ловить по записям с камер итд). А если не поймают — то тем более нет разницы в разрешении экрана.
НЛО прилетело и опубликовало эту надпись здесь
В принципе, airmon не обязателен. Достаточно подключиться к сети и просканировать ее посредством nmap, чтобы утянуть чужой mac-адресс.
Я точно на Хабре?
Как просто-то, я то думал тут будет гикпорно, но все оказалось куда прозаичнее. Кстати, а никто не знает как быть туристам иностранными сим-картами? Я в одном кафе СПБ даже официантку двойными чаевыми наградил за то что позволила мне аутентифицировать мой телефон с ее симкартой.
А насколько это «незаконно»?
Интересно возможно ли обойти защиту в этой точке доступа?
Таким образом можно замаскировать себя под другого и качать нелегальный контент?
А для айфонов с их динамическим МАС-адресом что запоминается?
Ну тут хотя бы мак-адрес проверяют.
Часто эти каптив-порталы тяп-ляп сделаны.
В США их много, в гостинницах, на кораблях и самолётах, в кафешках и т.п. Где-то платные, где-то вход только для клиентов и т.д.
Примерно к каждому третьему мне удавалось подключиться тупо с айфона без всякой подмены макадресов или каких-либо хаков, просто подключался-отключался несколько раз, и интернет вдруг появлялся. Иногда блокировались только порты 80 и 443, иногда достаточно было вручную прописать DNS-сервер и т.п.
Тоже встречал рекомендацию про DNS сервера. Мол, при коннекте выдаются «свои» сервера, которые любой домен резолвят в адрес своего сервера «скажи номер телефона». А после прохождения аутентификации дают настоящие настройки DNS (кстати, как? сбрасывают как-то DHCP, чтобы клиент переполучил их?). Если такой метод защиты, то и обходится супер-легко, просто установив 8.8.8.8.
ну например гораздо проще DNS выдавать реальный, но весь трафик неаутентифицированных клиентов фаерволом перенаправлять на свои сервера. соответственно какой DNS не ставь — картина будет та же самая везде, т.к. и резолвить и отдавать ответы будет местный сервер.
тогда DNS тоннелинг будет работать
дык DNS тоже будет редиректится и я предполагал что он на любой DNS запрос будет отдавать свой IP, посему тоннелинг не сработает.
да и пускать этот свой сервер в интернет вообще необязательно, например сделать ему шлюз по умолчанию тот же что и его IP-адрес. ну или можно гайки закрутить, например ограничить число/размер запросов и/или скорость трафика тем же фаерволом.
да и пускать этот свой сервер в интернет вообще необязательно, например сделать ему шлюз по умолчанию тот же что и его IP-адрес. ну или можно гайки закрутить, например ограничить число/размер запросов и/или скорость трафика тем же фаерволом.
может выдавался тот IP, на котором кто-то ранее аутентифицировался и уже ушел?
Эх где мои 15 лет, менял менял свой мак соседа чтобы пользоваться локалкой, когда деньги заканчивались в 2004м, прошло 14 лет ничего не поменялось.
Много лет назад по диалапу был ROL, и даже если у тебя нет денег — все равно можно дозвониться, законнектиться, но сайты, естественно, не открывались. Но домены-то резолвились! Поэтому на свой сервер в мире ставился сервис для DNS-тоннелирования, на клиенте запускался клиент, и IP заворачивался в TXT DNS запросы-ответы. Работало медленно, но работало!
Сейчас, к сожалению, кажется, тот старый софт, который DNS тоннели делал, уже протух. Может быть новый есть? Ну и было бы интересно, как много где открыт DNS до аутентификации и можно ли через него гонять трафик?
Сейчас, к сожалению, кажется, тот старый софт, который DNS тоннели делал, уже протух. Может быть новый есть? Ну и было бы интересно, как много где открыт DNS до аутентификации и можно ли через него гонять трафик?
НЛО прилетело и опубликовало эту надпись здесь
Ну нифига себе Америку открыл! Я уже много лет этим пользуюсь.
На мой взгляд, одна из лучших статей на Хабре за год.
Конечно, автор «не открыл Америку». Ценность в другом.
— конкретно, сжато
— просто о «глупости» использования Captive portal.
Спасибо Автору.
пс. переведу статью за друзей Админов на немецкий. Но открыто публиковать нельзя. Засудят-с
Конечно, автор «не открыл Америку». Ценность в другом.
— конкретно, сжато
— просто о «глупости» использования Captive portal.
Спасибо Автору.
пс. переведу статью за друзей Админов на немецкий. Но открыто публиковать нельзя. Засудят-с
Всегда интересовало, когда доступ считается неправомерным. Для одних доступ закрыт, а для друг открыт только потому, что другие знают немного больше. И это даже не обход идентификации, а просто другой способ доступа.
как это не обход? На роутере есть идентификация? — есть (через sms идентифицируют клиента). Мы обошли идентификацию? — обошли
Это все понятно. Откуда известно, что идентификацию надо проходить? Забора нет, калитка есть. Все объявления на калитке…
или
Браузер Саши по умолчанию стучится на 80 порт. Саша должен ввести пароль и происходит переадресация на 81 порт. Но у Пети браузер стучится на 81 порт потому, что Пете никто не запрещал настраивать так свой браузер (мало ли какие причины). А там админка сразу без пароля. Петя потыкал и случайно сломал систему. Теперь Саша считает Петю хакером потому, что даже не догадывается, что есть какие-то там порты (и это кстати правда для большинства начинающих пользователей). Формально идентификация есть. Но, ее никто не обходил, о ней никто «не знал». Саша, считал, что его система защищена, и теперь он считает, что идентификацию обошли — взломали систему. А Петя, даже не понял, что он что-то взломал. Так как все был открыто.
Это уровень про порты, самый простой (вроде), но есть и сложнее. Все очень условно короче. Для одних все очевидно просто и открыто. И где грань законности/незаконности?
Я, например, веб-программист. У моих клиентов бывают случаи, когда им надо распечатать текст со сайт с правками с сохранением оформления. Все расползается, если начинаешь копировать куда-то. Ну и что может быть проще открыть консоль и поправить текст прямо в html? и распечатать? теперь, я, блин, кулхацкер для кого-то…
или
Браузер Саши по умолчанию стучится на 80 порт. Саша должен ввести пароль и происходит переадресация на 81 порт. Но у Пети браузер стучится на 81 порт потому, что Пете никто не запрещал настраивать так свой браузер (мало ли какие причины). А там админка сразу без пароля. Петя потыкал и случайно сломал систему. Теперь Саша считает Петю хакером потому, что даже не догадывается, что есть какие-то там порты (и это кстати правда для большинства начинающих пользователей). Формально идентификация есть. Но, ее никто не обходил, о ней никто «не знал». Саша, считал, что его система защищена, и теперь он считает, что идентификацию обошли — взломали систему. А Петя, даже не понял, что он что-то взломал. Так как все был открыто.
Это уровень про порты, самый простой (вроде), но есть и сложнее. Все очень условно короче. Для одних все очевидно просто и открыто. И где грань законности/незаконности?
Я, например, веб-программист. У моих клиентов бывают случаи, когда им надо распечатать текст со сайт с правками с сохранением оформления. Все расползается, если начинаешь копировать куда-то. Ну и что может быть проще открыть консоль и поправить текст прямо в html? и распечатать? теперь, я, блин, кулхацкер для кого-то…
Обязательная авторизация в WIFI сетях:
Это условие описано в следующих законодательных положениях:
ФЗ №126 «О связи», который вступил в силу 7 июля 2003 года;
постановление Правительства №801 «О внесении изменений в некоторые акты правительства Российской Федерации»;
Федеральный закон Российской Федерации от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Приказ Минкомсвязи России № 83 от 16.04.2014г.;
Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» с изменениями и дополнениями;
Правила оказания услуг связи по передаче данных, утвержденные постановлением Правительства Российской Федерации от 23 января 2006 г.N 32;
Правила оказания телематических услуг связи, утвержденные постановлением Правительства Российской Федерации от 10 сентября 2007 г. N 575;
Правила оказания универсальных услуг связи, утвержденные постановлением Правительства Российской Федерации от 21 апреля 2005 г. N 241;
Постановление Правительства Российской Федерации от 31 июля 2014 г. N 758.
Получается, любой провайдер WIFI сети обязан требовать авторизацию. И, как правило, законодатель дает возможность выбрать, каким образом будет проходить подтверждение личности.
Отсюда такие «косяки» с «обязательной» авторизацией.
Главное отчитаться, что проверка имеется.
Это условие описано в следующих законодательных положениях:
ФЗ №126 «О связи», который вступил в силу 7 июля 2003 года;
постановление Правительства №801 «О внесении изменений в некоторые акты правительства Российской Федерации»;
Федеральный закон Российской Федерации от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Приказ Минкомсвязи России № 83 от 16.04.2014г.;
Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» с изменениями и дополнениями;
Правила оказания услуг связи по передаче данных, утвержденные постановлением Правительства Российской Федерации от 23 января 2006 г.N 32;
Правила оказания телематических услуг связи, утвержденные постановлением Правительства Российской Федерации от 10 сентября 2007 г. N 575;
Правила оказания универсальных услуг связи, утвержденные постановлением Правительства Российской Федерации от 21 апреля 2005 г. N 241;
Постановление Правительства Российской Федерации от 31 июля 2014 г. N 758.
Получается, любой провайдер WIFI сети обязан требовать авторизацию. И, как правило, законодатель дает возможность выбрать, каким образом будет проходить подтверждение личности.
Отсюда такие «косяки» с «обязательной» авторизацией.
Главное отчитаться, что проверка имеется.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как обойти SMS-идентификацию при подключении к публичным Wi-Fi сетям?