Izvini, nadovezao bih se na ovo. Na MacOS bih uradio Internet sharing sa mrežnog kabla i tako kreirao Wifi SSID na koje bih kačio uređaje čiju bih telemetriju želeo da proverim i da blokiram ukoliko primetim nešto čudno. Koji je najlakši način da se ovo odradi?
Blokiranje telemetrije WireShark WiFi sniffing.
- Začetnik teme jimmytza
- Datum pokretanja
Izvini, nadovezao bih se na ovo. Na MacOS bih uradio Internet sharing sa mrežnog kabla i tako kreirao Wifi SSID na koje bih kačio uređaje čiju bih telemetriju želeo da proverim i da blokiram ukoliko primetim nešto čudno. Koji je najlakši način da se ovo odradi?
- Učlanjen(a)
- 19.04.2005
- Poruke
- 4,857
- Poena
- 2,425
@jimmytza - Prebacio sam temu ovde jer nema veze sa pfSense-om.
Od alata ti treba WireShark koji za MacOS Intel platformu možeš da skineš odavde a za MacOS ARM platformu odavde. WireShark za Windows je ovde.
U tvom slučaju konkretno, treba da instaliraš WireShark i da odabereš mrežni adapter na kojem ti se nalazi taj WiFi SSID na koji se kače uređaji koje hoćeš da proveriš i onda startuješ packet capture. Kod mene to izgleda ovako:
Klikneš dva puta na adapter na kojem želiš packet capture i capture kreće. Kod mene je wireless adapter Wlo1. Kad packet capture krene, to izgleda ovako.
Dok je packet capture aktivan, treba da uključiš uređaj koji želiš da proveriš i da ga ostaviš idle barem pola sata. Imaj na umu da se kod nekih uređaja telemetrija ne aktivira kod samog startovanja uređaja, nego je potrebno da prođe neko vreme, dok je kod nekih uređaja telemetrija event based kao kod TP-Link kamera na primer.
Kada se završi packet capture, dobićeš ogorman file koji sadrži kopiju kompletne komunikacije uređaja sa internetom. Prva stvar koju treba da uradiš je da filtriraš po DNS-u tako što ćeš u filter polju uneti DNS i kliknuti na strelicu sa desne strane. Trebalo bi da dobiješ nešto ovako.
Na ovaj način si iz capture fajla izlistao sve DNS requestove i njihove resolved hostove koje potencijalno možeš da blokiraš ako želiš. Ako imaš host name i želiš da proveriš da li u packet capture fajlu postoji upit za taj host, koristi ovaj filter parametar.
U mom slučaju to izgleda ovako za tinyurl .com
Na žalost, nije sva telemetrija DNS based. Neki uređaji imaju hardcoded IP adrese i onda je potrebno da packet capture file pregledaš ručno tako što ćeš iskontrolisati svaki destination IP. Novi uređaji i njihovi proizvođači su svesni da neko može da upotrebi ovu metodu i blokira telemetriju i onda se koriste prljavim trikovima kao što su DNS over HTTPS (DoH) i QUIC protokol. Ali i to je moguće rešiti blokiranjem UDP portova 80, 443, 853, 5353. Blokadom ovih portova, forsirate uređaje da se sa HTTPS i QUIC protokola vrate nazad na TCP gde je u packet capture moguće videti gde se kače i po potrebi ih blokirati.
Od alata ti treba WireShark koji za MacOS Intel platformu možeš da skineš odavde a za MacOS ARM platformu odavde. WireShark za Windows je ovde.
U tvom slučaju konkretno, treba da instaliraš WireShark i da odabereš mrežni adapter na kojem ti se nalazi taj WiFi SSID na koji se kače uređaji koje hoćeš da proveriš i onda startuješ packet capture. Kod mene to izgleda ovako:
Klikneš dva puta na adapter na kojem želiš packet capture i capture kreće. Kod mene je wireless adapter Wlo1. Kad packet capture krene, to izgleda ovako.
Dok je packet capture aktivan, treba da uključiš uređaj koji želiš da proveriš i da ga ostaviš idle barem pola sata. Imaj na umu da se kod nekih uređaja telemetrija ne aktivira kod samog startovanja uređaja, nego je potrebno da prođe neko vreme, dok je kod nekih uređaja telemetrija event based kao kod TP-Link kamera na primer.
Kada se završi packet capture, dobićeš ogorman file koji sadrži kopiju kompletne komunikacije uređaja sa internetom. Prva stvar koju treba da uradiš je da filtriraš po DNS-u tako što ćeš u filter polju uneti DNS i kliknuti na strelicu sa desne strane. Trebalo bi da dobiješ nešto ovako.
Na ovaj način si iz capture fajla izlistao sve DNS requestove i njihove resolved hostove koje potencijalno možeš da blokiraš ako želiš. Ako imaš host name i želiš da proveriš da li u packet capture fajlu postoji upit za taj host, koristi ovaj filter parametar.
Kod:
dns.qry.name == adresa.comU mom slučaju to izgleda ovako za tinyurl .com
Na žalost, nije sva telemetrija DNS based. Neki uređaji imaju hardcoded IP adrese i onda je potrebno da packet capture file pregledaš ručno tako što ćeš iskontrolisati svaki destination IP. Novi uređaji i njihovi proizvođači su svesni da neko može da upotrebi ovu metodu i blokira telemetriju i onda se koriste prljavim trikovima kao što su DNS over HTTPS (DoH) i QUIC protokol. Ali i to je moguće rešiti blokiranjem UDP portova 80, 443, 853, 5353. Blokadom ovih portova, forsirate uređaje da se sa HTTPS i QUIC protokola vrate nazad na TCP gde je u packet capture moguće videti gde se kače i po potrebi ih blokirati.
Hvala ti mnogo 🙏. Da li bih u tom slučaju mogao da koristim Little Snitch za blokiranje DNS requestova? Ili ima neki bolji način?
Po svemu sudeći, izgleda da je najbolje da imam ruter koji ima opciju za guest network (ili VLAN) i da kačim sve uređaje na taj SSID.
Po svemu sudeći, izgleda da je najbolje da imam ruter koji ima opciju za guest network (ili VLAN) i da kačim sve uređaje na taj SSID.
- Učlanjen(a)
- 19.04.2005
- Poruke
- 4,857
- Poena
- 2,425
Ne znam kako je na MacOS-u i sa čime se to može blokirati tako da ti tu ne mogu pomoći.
Sve zavisi od toga koliko si para spreman da uložiš i koliko ti je bitna stabilnost i brzina. Najbolje i najskuplje rešenje je da router i wifi access point budu 2 nezavisna uređaja. Moja preporuka je uvek neki OPNSense minipc u sprezi sa Ubiquiti ili Grandstream access pointom. Ovakav combo bi ti omogućio da u potpunosti sprovedeš rešenje koje sam opisao gore, tako što ćeš segmentirati mrežu u odvojene VLAN subnete koji nemaju međusobnu komunikaciju. Na primer guest wifi i home wifi.
Gde je:
Guest WiFi VLAN 10 - 10.10.10.1/24
Home WiFi VLAN 20 - 192.168.10.1/24
To bi izgledalo ovako:
PC (Opciono ako ga imaš) bi bio na 25.1.1.1/24.
Neki minipc se kod nas može naći na KP za 140 eura.
Grandstream GWN7660 je 90 eura.
Neki PoE injector za napajanje AP-a se može naći za 15 eura.
Neka jeftinija varijanta koja bi polovično mogla da zameni ovo sve bi bio neki TP-Link Archer AX55 koji se može naći za 10k din. Ali od mogućnosti, sigurnosti i stabilnosti na duge staze, zaboravi. Pogotovo ako je u igri brz net sa mnogo WiFi uređaja u okolini.
- Učlanjen(a)
- 19.04.2005
- Poruke
- 4,857
- Poena
- 2,425
Ako budžet dozvoljava:
Ubiquiti U6-PRO za plafon ili Ubiquiti U6 Mesh za na sto ili policu. Prvi se može naći za 25000 din a drugi 30000 din.
Ako je budžet tesan:
Onda Ubiquiti UAP-AC-LITE ako ti ne treba WiFi6, ili Ubiquiti U6-Lite ako hoćeš i WiFi 6. Ovaj prvi se može naći za 11000 din a drugi je 16000 din.
Ubiquiti U6-PRO za plafon ili Ubiquiti U6 Mesh za na sto ili policu. Prvi se može naći za 25000 din a drugi 30000 din.
Ako je budžet tesan:
Onda Ubiquiti UAP-AC-LITE ako ti ne treba WiFi6, ili Ubiquiti U6-Lite ako hoćeš i WiFi 6. Ovaj prvi se može naći za 11000 din a drugi je 16000 din.
