Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  9 4574
Jeg har gitt opp og knekke zyxel router algorithmen, men har begynt å se på ett annet system, nemlig Direct Connet sitt trådløse bredbånds system som dem tilbyr til mindre befolkede områder i norge pga av at det er for dyrt og trekke fiber/for lang avstand til ADSL (kobber). Så da er det billig å sette opp ett trådløst bredbånds system.

Jeg har sittet på ett slikt system nå i en uke, og har fysisk tilgang til antenner o.l. i en uke til, så jeg tenkte jeg skulle se hva jeg klarte å få ut av den.

Jeg har gjort litt reasearch rundt systemet å kommet frem til at dette systemet går på 5GHz, antennen som står på client siden er en Witelcom CPN-55-18. I tillegg så har jeg vært og gått en tur opp til begge de to mastene som står i nærheten, den ene masten var låst og umulig å komme seg opp i. Den andre masten var mer en lyktestolpe som besto av 3 antenner og en type sikringsskap som det antageligvis sto en switch, PoE injector og ett sett sikringer inni. Kabler som gikk inn på dette skapet var 2 stk TP med antagelig PoE og strøm, dessverre så var dette skapet låst med hengelås (ABUS 160/50), jeg så ikkje at det var en kodelås før jeg søkte etter specs til den når jeg kom hit igjen, etter å ha sett på specsene til den så har jeg funnet ut at den består av 4 tall 0-9, så kjapp hoderegning så skal det gi 9999 muligheter. Så hvis man klarer 1 hvert 2 sek, så er det 19998 sek (Nesten 6 timer) før man har prøvd alle.

På mottaker siden der signalet kom inn til masten var det 2 antenner rettet mot den andre masten, på sender siden så var 1 stk antenne. Den ene antennen på mottaker siden klarte jeg å lese model nr på (Witelcom APX-55-90R).

Disse antenne på client siden ser ut til å ha ett kretskort på innsiden av dekslet, tilkobling inn til huset er via en UTP kabel med PoE (24V).
Når jeg går inn på gatewayen på port 80 så for jeg opp en side som det står "- This is a GIPZ Network System. Contact us if you have any question on this unithttp://www.gipz.com/ ", + logoen til GIPZ.

Jeg har ingen muligheter for å foreta en port scan på gatewayen nå siden jeg ikkje sitter på min PC og har ingen muligheter for å installere nmap. Men jeg for sikkert muligheten løpet av uken.

Planen min er som følgende jeg skal for første gang i livet mitt prøve å bruke en JTag kabel eller hva det heter. Så jeg hadde trengt en liten veiledning på hvordan man bruker en slik kabel, hva man skal se etter når denne booter?
Kan JTag kabel brukes til å sende data til dette access pointet? eller lytter den bare?

Neste steg er å brute-force "sikringsskapet" å se hvilken type hardware som er på innsiden, om det er hardware som kjører en form for firmware/os som man kan kommunisere med. Siden disse antenne har en form for QoS, med tanke på hvilken type løsninger innen IT denne kommunen har hatt tidligere, så skal du ikkje se bort fra at du kan stille hastigheten til kundene på APen, selvsalgt kan det være en sentralisert QoS som står hos dem som administrer nettverket.'

Hva er målet med dette? Siden dette er en 5GHz system og laptopen min er i stand til å ta inn 5GHz, så hadde det vært veldig fint å kunne koble laptopen til dette systemet direkte. Eneste man trengere er vel å finne ut auth metoden.

Grunn nummer 2: Jeg er rett og slett nysjerrig.

Så hvis noen her kunne gitt meg en kort veiledning på hvordan dem ville ha gjort dette, hva dem ville ha sett etter.

Ett siste ting: Det ser ut som dem er administrativ fra utsiden, altså fra WAN eller kanskje jeg skal kalle det MAN, men ikkje fra innsiden - LAN.

Med litt hjelp fra dere så håper jeg at jeg kan levere en rapport om dette systemet i slutten av uken.

EDIT: Link til lignende antenner, jeg fant ikkje spesifikke data blader på akkurat de modelene det er snakk om. http://www.high-net.com/pdf/Radio_List_Wi.pdf
Sist endret av Masi; 22. august 2010 kl. 22:34.
normalt så vil jeg hjelpe til, men skal du lever rapport til "Direct Connet" om det går og hack dem ? (som du nok får betalt for)

hvis du skal prøve å finne ut av jtag første gangen er det vikelig lykke til.
jtag + ttl = FULL tilgang til alt uansett.
Trådstarter
Må bare nevne det her og som jeg sa til ranvik i PMen hans, jeg for ikkje betalt for å hacke Direct Connect sitt trådløse bredbånds system, gjør dette av min egen interesse.

Uten den spooky buisness på PM så tar vi vel all teknisk diskusjon offentlig, slik at andre for litt innsikt i direct connect sitt system.

Kan man skade softwaren på basestasjonen ved bruk av JTag?
Sist endret av Masi; 23. august 2010 kl. 01:24.
Du kan skade box'en når du skal prøver å finne pinout'en til box'en, eller under lodding.
jtag kan du bare og bare sett til å lese.
▼ ... over et år senere ... ▼
Ramla tilfeldigvis over denne. Fortsatt interessert i temaet?
Sitat av willosof Vis innlegg
Ramla tilfeldigvis over denne. Fortsatt interessert i temaet?
Vis hele sitatet...
jeg er fortsatt intresert(veit ikke hvordan er med andre her), men har ikke tilgang til dc sitt utstyr. selv om noen får utstyrert trenger vi noen som kan hack det å finne ut hvordan det funker.
Har tilgang til mikrotik-antennen deres (både fysisk og via browser), og kan gjøre det som trengs, om noe trengs på den.
Jeg vil tro at det ligger et brukernavn/passord i config-fila i antenna. Dette logger seg på senderen og systemet videre, og hastigheten din er nok satt i systemet hos DC. Slik at når antenna di logger seg på noden, så vet den hvilken hastighet som gjelder for din bruker.

Inne i dette skapet står det nok ikke mer enn en switch+strømstyring og evt batteribackup. I klient-antenna er det bare et kort med ethernet og power på, og et radiokort som er koblet til selve antennechassiet. Antennene i masta er uplinker(gjerne runde eller firkantede) til og fra andre sendere, samt panelantenner som sender ut til klienter(høye, tynne).
▼ ... over en måned senere ... ▼
DirectConnect sitt system baserer seg stort sett på Mikrotik RouterBOARDs med retningsbestemte antenner på klientsiden. Gjerne slike antenner med plass til RB'ene inni, slik at det bare trengs ethernet inn til boksen (hvor man da injiserer PoE på innsiden).

Klienter har stort sett RB 711-5Hn-MMCX, RB112, RB411, RB750, RB133.
AP'er har stort sett RB433 eller x86 (da sansynligvis RouterOS installert på normale maskiner med minipci-porter e.l.)
Man ser også RB411 og RB433 på repeatere og sitelinker.

Som kunde får man da tilsendt ferdig konfigurerte bokser (evt at de logger seg inn i etterkant og confer opp det de trenger), slik at routeros er satt opp til å koble opp mot en PPPoE server. Så, alt ligger vel på samme Lag2-nett. Dette er nok også av praktiske årsaker, da man med Mikrotik administrerer over Mac-Telnet (evt winbox), som baserer seg på ren lag2-kommunikasjon, slik at man ikke behøver IP satt opp på enheten for å administrere.

RouterOS'ene ute hos kundene får navn (identity) ut i fra brukernavnet man har hos DC, som da også er brukernavnet man kobler opp mot PPPoE med. Dvs, antenna gjør stort sett det for deg, og NATer videre inn til kunden.

Har man fast IP, konfigurerer de antenna i bridgemode, slik at antenna og ethernetporten blir bridga. Da får man naturlig nok også all broadcast-trafikken til hele lag2nettet dems, og ergo neightbor-oversikt osv, over andre antenner som er i live osv for discovery (Mikrotik sin versjon av CDP). Man må da selv med en egen enhet på innsiden koble seg opp med PPPoE for å tilegne seg den faste IPen på innsiden.

Svakheter her, er da om en kunde med fast ip klarer å koble litt feil i nettverket sitt, slik at man også deler DHCP ut til DC sitt lag2, så vil andre kunder (også med fast ip), motta ip fra den andre kundens dhcpserver ;-P og selvfølgelig kommunisere direkte her.

Her må man huske at man kun betaler for den hastigheten man betaler for, og jeg tviler på at DC blir særlig fornøyde om du utnytter det åpne lag2-nettet til trafikk direkte mellom kunder. Dette vil jo med mindre DC struper hastigheten på ethernet-interfacet faktisk kunne makse ut hele trådløslinken. Ugunstig for resten av kundene i nærheten som er koblet mot samme antenner/path.

Og, til dere som spekulerer i om det er mulig å hente ut brukernavn/passord i config-fila til antenna, så må man naturligvis få logget seg inn på den før man kan få vite det. Det er intensjonelt gjort vanskelig på RouterBOARDS, og det nærmeste du eventuelt kan gjøre er vel å resette antenna og sette den opp med egen config. Men, da har du forsåvidt ikke internett heller :-)

Jæ. Det er det jeg orker å skrive i denne omgang :P

(hvorfor vet jeg så mye om det her? Jeg har både vært kunde av DC i noen år, samt at jeg jobber med Mikrotik/RouterOS og nettverk, inkludert at jeg har drift hos en haug med andre DC-kunder)

Til slutt, jeg har ingenting å gjøre med DirectConnect, og kan på ingen måte garantere for noe av informasjonen over :-)

Litt til:
Det stemmer vel forøvrig at de kjører 5ghz. Har aldri forsket noe særlig på akkurat det. Men om du vil prøve å finne login på et RB er det vel bare å koble til serieporten og/eller ethernet+mactelnet, og kode no lyssky greier til å bruteforce.

Tviler på du finner noe særlig interessant config som er verdt bryderiet. Men du kan jo alltids kjøpe deg ditt eget tilsvarende utstyr Jeg selger! :-D
▼ ... over et år senere ... ▼
Sitat av willosof Vis innlegg
DirectConnect sitt system baserer seg stort sett på Mikrotik RouterBOARDs med retningsbestemte antenner på klientsiden. Gjerne slike antenner med plass til RB'ene inni, slik at det bare trengs ethernet inn til boksen (hvor man da injiserer PoE på innsiden).

Klienter har stort sett RB 711-5Hn-MMCX, RB112, RB411, RB750, RB133.
AP'er har stort sett RB433 eller x86 (da sansynligvis RouterOS installert på normale maskiner med minipci-porter e.l.)
Man ser også RB411 og RB433 på repeatere og sitelinker.

Som kunde får man da tilsendt ferdig konfigurerte bokser (evt at de logger seg inn i etterkant og confer opp det de trenger), slik at routeros er satt opp til å koble opp mot en PPPoE server. Så, alt ligger vel på samme Lag2-nett. Dette er nok også av praktiske årsaker, da man med Mikrotik administrerer over Mac-Telnet (evt winbox), som baserer seg på ren lag2-kommunikasjon, slik at man ikke behøver IP satt opp på enheten for å administrere.

RouterOS'ene ute hos kundene får navn (identity) ut i fra brukernavnet man har hos DC, som da også er brukernavnet man kobler opp mot PPPoE med. Dvs, antenna gjør stort sett det for deg, og NATer videre inn til kunden.

Har man fast IP, konfigurerer de antenna i bridgemode, slik at antenna og ethernetporten blir bridga. Da får man naturlig nok også all broadcast-trafikken til hele lag2nettet dems, og ergo neightbor-oversikt osv, over andre antenner som er i live osv for discovery (Mikrotik sin versjon av CDP). Man må da selv med en egen enhet på innsiden koble seg opp med PPPoE for å tilegne seg den faste IPen på innsiden.

Svakheter her, er da om en kunde med fast ip klarer å koble litt feil i nettverket sitt, slik at man også deler DHCP ut til DC sitt lag2, så vil andre kunder (også med fast ip), motta ip fra den andre kundens dhcpserver ;-P og selvfølgelig kommunisere direkte her.

Her må man huske at man kun betaler for den hastigheten man betaler for, og jeg tviler på at DC blir særlig fornøyde om du utnytter det åpne lag2-nettet til trafikk direkte mellom kunder. Dette vil jo med mindre DC struper hastigheten på ethernet-interfacet faktisk kunne makse ut hele trådløslinken. Ugunstig for resten av kundene i nærheten som er koblet mot samme antenner/path.

Og, til dere som spekulerer i om det er mulig å hente ut brukernavn/passord i config-fila til antenna, så må man naturligvis få logget seg inn på den før man kan få vite det. Det er intensjonelt gjort vanskelig på RouterBOARDS, og det nærmeste du eventuelt kan gjøre er vel å resette antenna og sette den opp med egen config. Men, da har du forsåvidt ikke internett heller :-)

Jæ. Det er det jeg orker å skrive i denne omgang :P

(hvorfor vet jeg så mye om det her? Jeg har både vært kunde av DC i noen år, samt at jeg jobber med Mikrotik/RouterOS og nettverk, inkludert at jeg har drift hos en haug med andre DC-kunder)

Til slutt, jeg har ingenting å gjøre med DirectConnect, og kan på ingen måte garantere for noe av informasjonen over :-)

Litt til:
Det stemmer vel forøvrig at de kjører 5ghz. Har aldri forsket noe særlig på akkurat det. Men om du vil prøve å finne login på et RB er det vel bare å koble til serieporten og/eller ethernet+mactelnet, og kode no lyssky greier til å bruteforce.

Tviler på du finner noe særlig interessant config som er verdt bryderiet. Men du kan jo alltids kjøpe deg ditt eget tilsvarende utstyr Jeg selger! :-D
Vis hele sitatet...


Her er det endel feilinformasjon (om DC gjør dette eller ikke vet ikke jeg).

I mikrotik er man ikke avhengig av å kjøre bridge inn til kunden for å levere fast IP. Man kan gjerne route et kundenett (internt) til en pppoe adresse (eksternt) som blir gateway for de interne IP addresser. Dette fikses av radius serveren som pppoe kobler til. Man legger da en ip på pppoe interfacet, og et subnet på et eller flere interne interface. Dette er således routet, og man har ingen lag2 forbindelse ut.

Videre er det fult mulig med mange teknologier for å bygge lag2 nett, uten kobling mellom kunder. Først er det vanlig å kjøre bridge filtrering. Denne kan man "dra" så langt at kun pppoe trafikk "kommer" igjennom. Videre kjører man ofte horizon å bridge interface. Dvs, man kjører kun trafikk innover mot "kjærnen" og ikke ut via andre interface I et stjerne nett. Det er også vanlig å kjøre uten default forward på wlan. DVS, man nå ikke andre klienter koblet til same sone.

Når det skal sies, er ikke største problemet med lag2 net dhcp, dette finnes det svært mange måer å stoppe, men det største problemet er at det finnes svært mange måtter å tulle til med, feks å loope nettet.

I dag går fler og fler over på MPLS og routede nett, med lag2 over dette via VPLS. Routingtabeller kan sendes direkte over med vrf.

Vil man "hacke" mikrotik, er dette svært enkelt, og det finnes utallige software for dette. Både med bruk av .backup filer, men også direkte tilgang på antennen. Ved bruk av seriekabel, kan alle enheter bootes via bootp, og man kan starte op pen eller annen Linux distro (eksempelvis openwrt). Her kan man hente ut filer, eksempelvis passordfilen, så kan man videre bruke forskjellige type software som finnes på nett for å hente ut/dekryptere dette.

Det er heller ikke vanlig å administrere over lag2, men det er MULIG å gjøre dette. Videre finnes det mange måter for administrasjon, SNMP, api etc.

Et lite fint bridge filter (hvor 10.0.0.0/8 er til management)

/ interface bridge {
:foreach x in=[ filter find ] do={ filter remove $x };
:foreach x in=[ port find dynamic=no ] do={ port remove $x };
:foreach x in=[ find ] do={ remove $x }
add name=bridge ageing-time=30m disabled=no
filter add chain=forward mac-protocol=ip ip-protocol=udp dst-address=255.255.255.255/32 comment="[udp], broadcast"
filter add chain=forward action=drop comment=default
:foreach i in=[ .. ethernet find ] do={ port add interface=$i bridge=bridge disabled=yes }
:foreach i in=[ .. wireless find ] do={ :if ( [ :typeof [ .. wireless info get $i pci-info ] ] = "str" && [ :find $ifpci [ .. wireless info get $i pci-info ] ] > 1 ) do={ port add interface=$i bridge=bridge disabled=yes } }
add name=bridge-filter interval=30s start-date=Jan/01/1970 start-time=00:01:00 disabled=no on-event={ / interface bridge filter { :foreach v in=[ :toarray [ / interface pppoe-client monitor pppoe once as-value ] ] do={ :if ( [ ick $v 0 [ :find $v "=" ] ] = "ac-mac" ) do={ :local acmac [ :tostr [ ick $v ( [ :find $v "=" ] + 1 ) [ :len $v ] ] ]; :local bport [ / interface bridge host get [ / interface bridge host find mac-address=$acmac ] on-interface ]; :foreach x in=[ find ] do={ remove $x }; add chain=forward action=drop in-interface="!$bport" out-interface="!$bport" comment="force-forward"; add chain=forward action=drop src-mac-address=00:00:00:00:00:00/FF:FF:FF:FF:FF:FF comment="src-is-zero"; add chain=forward mac-protocol=34916 packet-type=other-host src-mac-address=00:00:00:00:00:00/01:00:00:00:00:00 comment="[pppoe-session]"; add chain=forward mac-protocol=34915 src-mac-address=00:00:00:00:00:00/01:00:00:00:00:00 packet-type=!multicast comment="[pppoe-discovery]"; add chain=forward mac-protocol=ip src-address=10.0.0.0/8 dst-address=10.0.0.0/8 packet-type=other-host src-mac-address=00:00:00:00:00:00/01:00:00:00:00:00 comment="[ip], 10.0.0.0/8"; add chain=forward mac-protocol=arp arp-src-address=10.0.0.0/8 arp-dst-address=10.0.0.0/8 packet-type=!multicast src-mac-address=00:00:00:00:00:00/01:00:00:00:00:00 comment="[arp], 10.0.0.0/8"; add chain=forward mac-protocol=ip ip-protocol=udp src-port=20561 src-mac-address=00:00:00:00:00:00/01:00:00:00:00:00 dst-port=20561 dst-mac-address=00:00:00:00:00:00/01:00:00:00:00:00 dst-address=255.255.255.255/32 comment="[udp], mac-telnet"; add chain=forward action=log log-prefix=DEFAULT comment="default" disabled=yes; add chain=forward action=drop comment="default"; add chain=output action=drop src-mac-address=00:00:00:00:00:00/FF:FF:FF:FF:FF:FF comment="src-is-zero"; add chain=output mac-protocol=1 802.3-sap=0xAA action=drop comment="[802.3], discovery"; :foreach s in=[ / system scheduler find name=bridge-filter ] do={ / system scheduler disable $s } } } } }

}



(fin fin endring av kode her I foumet)