TP-LINK WR702N Wi-Fi router default password

During the design phase someone had the forethought to make a WiFi AP password that isn’t merely a default. But that’s where this went off the rails. They did the next worst thing, which is to assign a password that gets broadcast publicly: the last eight characters of the MAC address. This will be unique for each device, but it is also promiscuously broadcast to any device that cares to listen.

Use arp-scan to find hidden devices in your network

If you have a device that is on the same network but not responding to any requests such as ping, HTTP, HTTPS etc…

Installation:

apt-get install arp-scan

Scan it:

arp-scan --interface=eth0 --localnet

Here, –interface=eth0 represents the interface to use for scanning, and –localnet makes arp-scan scan all possible IP addresses on the network. You can omit the –interface option, in which case arp-scan will search the system interface list for the lowest numbered, configured up interface.

Minimal IPTABLES config for SOHO routers

If the br0 is LAN port, and the eth0.101 is a WAN port (and 10.10.1.0 inside):

iptables -A INPUT -i br0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.10.1.0/24 -i br0 -j ACCEPT
iptables -A FORWARD -d 10.10.1.0/24 -i eth0.101 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0.101 -j MASQUERADE
iptables -P INPUT DROP
iptables -P FORWARD DROP

If you want to allow SSH from the WAN port (nope, but, you did remember to set a strong password, right?), you can use the following command to open up port 22 from the WAN interface:

iptables -A INPUT -i eth0.101 -p tcp -m tcp --dport 22 -j ACCEPT

If all OK, save config:

Edit /etc/network/if-pre-up.d/iptables file:

#!/bin/sh
iptables-restore --counters < /etc/iptables/rules.v4
exit 0

Mod for run, and save tables:

chmod 755 /etc/network/if-pre-up.d/iptables
mkdir -p /etc/iptables
iptables-save > /etc/iptables/rules.v4

Másodfokon… (ARP és barátai)

Ebben a bejegyzésben a TCP/IP univerzum második rétegéről lesz pár szó. A pár szó szó szerinti (elég hülyén néz ki így leírva), a teljes leírás könyvet érdemelne… (ahogy van is ;)). A legtöbb felhasználó nem sok fogalommal rendelkezik erről a rétegről (miért is kellene tudnia?), és sajnos a rendszergazdák többségének is csak halvány, hozzávetőleges fogalma van az itt zajló dolgokról 😦 Ezt a tendenciát sajnos a nagy cégek is erősítik, igen kevés olyan komplex védelmi rendszer van ami ezen réteg védelmét látná el, koncentrálva a kliens forgalomra. Pedig igény is lenne rá, illetve a hasznosságát sem lehet elvitatni, ugyanis ezen a rétegen igen nagy problémákat lehet okozni, minimális tudással felfegyverkezve. A legtöbb, egyéb rétegben dolgozó alkalmazás ‘szentírásnak’ veszi az L2 által közölt adatokat, így igen érdekes dolgokat eredményezhet ezen réteg célzott támadása.

Per pillanat ebben a bejegyzésben csak a legfontosabb, legalapvetőbb protokollok szerepelnek. A részletes támadási formákról később, egyenlőre csak fedezzük fel, s ismerjük meg említés szintjén őket…

ARP (Address Resolution Protocol)
Legrégebbi, s egyben legfontosabb protokoll. Ezen protokoll segítségével tudják a hálózati eszközök a MAC címeket és az IP címeket egymáshoz kapcsolni. Korából adódóan (szokás szerint 😦 ) nem tartalmaz hitelesítést és titkosítást, a teljes bizalmon alapul. Ezt (és a gratuitous ARP funkciót: az ARP válasz broadcastra megy, akihez eljut a válaszban közölt információkat eltárolja) kihasználva a támadó úgynevezett ARP poisoning támadást tud kivitelezni. A támadás lényege, hogy két kommunikáló féllel elhiteti, hogy Ő a másik, s ezáltal a köztük futó kommunikáció rajta keresztül áramlik.

DTP (Dynamic Trunking Protocol)
A legérdekesebb állatfajta, és egyben a leghasznosabb is 🙂 A DTP szolgál arra, hogy a switchek egymást közt le tudják beszélni a trunk port(ok) paramétereit. Nemcsak globálisan, hanem port szinten is lehet/kell állitani. Ezáltal egy érdekes kiskapura lehet találni: kis unszolásra a támadó rá tudja beszélni a switchet, hogy a portot kapcsolja trunk üzemmódban. Ezek után, ha a portot megfelelő módon teggeli, a támadó egyéb VLAN-okba is bele tud hallgatni…

HSRP, VRRP (Hot Stand-by Redundancy Protocol, Virtual Router Redundancy Protocol)
Mindkét protokoll feladata hogy több router összekapcsolását végezzék el, transzparensen, redunáns módon a default gateway funkció számára. Ha az aktív router kiesik, feladatát átveszi a sorban következő, a felhasználó számára észrevehetetlenül. MiTM (és ebből adódóan DOS) támadásra is lehetőséget adnak, mivel egyik protokoll sem tartalmaz hitelesítést. Ezáltal könnyen kivitelezhető az a lehetőség, hogy a támadó behazudja magát a legnagyobb priorítású helyettesítő routernek, majd valamilyen technológiával kiüti az elsődleges routert. Így a teljes forgalom átkerül a támadóhoz…

RSTP (Rapid Spanning Tree Protocol)
Az ARP mellett a legfontosabb protokoll a rétegben. Ezen protokoll felelős, hogy a hálózatban lévő feszítőfa a lehető leggyorsabban, és a lehető legkisebb erőforrással felépíthető legyen. A protokoll a STP protokoll utódja, azzal visszafele kompatibilis. Ezen protokoll manipulálásával elvégezhető legegyszerűbb támadása forma, ha a már meglévő fát  összezavarjuk, helytelen access pontokat jelölünk ki. Ebben az esetben még a nagy fizikai redundanciával rendelkező hálózatok is összezavarodnak, s nem az elvárt működést produkálják. Kifinomultabb módja a támadásnak ha célzottan avatkozunk be a fa felépítésébe, s magunkat nevezzük ki, akár a fa gyökerének, akárcsak egy rész csúcspontjának. Ekkor minden (abban a fa-részben) forgalom a gépünkön fog áthaladni… Elméletben ennek helyes megvalósítása egyszerű, azonban a gyakorlatban gyorsan szembesülni fogunk azzal a problémával, hogy mit is kezdünk több gigabitnyi forgalommal… 😉