поначалу я запарился добавлять его девайсы в MAC ACL или у него их 3 горсти или появился способ легко менять мас?
наблюдал девайсы наносы и нанобриджи.
разок на 2.4ггц наблюдали подмену мас
подидее образ врага у нас есть весьма четкий из 3х человек.
просто без конкретных док-вст приехать и сжечь дом, както не правильно.

WEB морда рокета на http или https работает?

http

Предположим, самое логичное, что он забрался унутрь, а не wpa2 падламывает на суперкомпьютере...

Если чел воткрытую переподключается, когда его банят - это достойно сбора документов для посадки в места не столь, просит же..

После подлома внутренних ресурсов заснифать или с клавиатуры снять пароли - дело простое.

Далее стандартные процедуры

1. В обязательном порядке провести смену всех паролей всех важных мест сети и аудит на предмет новых пользователей, логи просмотреть.. Менять пароли с нового компа или ноутбука или с live cd по защищенному трафику ssh
2. Обновить древнее ПО всех устройств, в т.ч. роутеров, модемов, даже коммутаторов с полным сбросом, настройкой на безопасность и сменами паролей на страшные.
3. Последовательно проверить все места прохождения траффика смены пароля на рокете на руткиты и инжекты. С компа, где набирают пароль до рокета. Все устройства по пути прохождения пакетов, и связанные с ними коммутаторы
4. Если ничего не нашли, то плохо ищем, експириенс низкий и скилл нужно повышать
5. Включить логгирование всех событий внешнего и внутреннего трафа
6. Включить https на рокете, поменять пароль и абождать негодяя.

7. Он может и с внешних сетей (с интернета), и с внутренних сетей компании (через троянчик), и с пользовательского акка, подключенного к рокету, заходить во внутреннюю сеть, и уже потом узнавать пароль..

P.S. Надо ли говорить, что mikrotik OS уже свежее, и Rocket на 5.5.6 ? Если это не обновлено, то про коммутаторы я молчу..

unicorp99 Тут уходом на HTTPS одним не спасешься-уж поверьте на слово...как выразились "негодяй"энтот легко сделает эту бедовую сетку в течении полу часа при помощи того же незамысловатого sslstrip с под линя...,а если разозлите то может и всю сеть повалить надолго применив нужные атаки как по воздуху так и внутри сетки.
Krazy_killer Мой Вам дружеский совет-переводите свое хозяйство на радиус сервер,хотя и это не панацея,но "негодяй" мозг себе иссушит если попытается вновь покуситься ,и если не совсем уж закоренелый негодяй-то у него обломится:yes:,и будем считать что вам сильно повезло...:to_becom:

сегодня повторно поменял WPA2 пароль. правда админку не менял. есть предположение что враг использовал компрометированные имя пароль от клиентских точек .ввиду неких глюков на паре точек изменение не произошло. а в сетку папасть проблем вообще нет. гдето витухи болтаются доступны, есть 2.4ггц открытые точки. понятно что безопасномсть на грани "нече нет" , самое забавное что есть бесплатные "официальные пути" чтоб подключиться но нет. прощеж сидеть велосипед изобретать...

radius ваше спасение..
А мак поменять - как два пальца об..слюнявить... не надейтесь на эту "технологию".

на 5.3.5 эксплойт был, пофиксен, в 5.5.х уже нету весь менедж в отдельный влан, и акл по разрешенным узлам

Хороший биллинг + https !!!

если проша старая хоть на одной железке то никакое шифрование не спасет. там конфиг помимо авторизации сливается заливается

жестоко

http://www.exploit-db.com/exploits/23735/
http://habrahabr.ru/post/149103/