MikroTik e Hotspot 2.0 (802.11u e/o Wi-Fi Certified Passpoint), guardate cosa ho scoperto!

MikroTik e Hotspot 2.0 (802.11u e/o Wi-Fi Certified Passpoint), guardate cosa ho scoperto!

Sicuramente conoscerete i nuovi standard Hotspot 2.0, Wi-Fi Certified Passpoint e 802.11u vero? Se non conoscete ancora le nuove specifiche, che descrivono gli hotspot del "futuro", vi invito a visionare i molti docs presenti su internet, alla fine di questo post ne metterò alcuni, in ogni caso sappiate che la maggior parte dei device client presenti sul mercato (sia Apple, Windows o Android) già supportano il "Wi-Fi Certified Passpoint" o Hotspot 2.0 che è una applicazione della WiFi Alliance che si basa sulle specifiche del protocollo 802.11u.

Per chi mi conosce sa che seguo, da sempre, gli sviluppi sia teorici che pratici degli hotspot WiFi, in particolare, sia le sue applicazioni attuali, sia gli sviluppi futuri. Quindi, è ovvio che seguo anche le novità introdotte dal protocollo 802.11u e dal Wi-Fi Certified Passpoint.

Essendo Trainer MikroTik, ogni volta che esce un nuovo firmware, cerco nei changelog qualcosa a riguardo i nuovi standard 802.11u o Hotspot 2.0, ma purtroppo, fino ad oggi, senza successo.

Pochi giorni fa però, girovagando per caso su un terminale di una Routerboard wireless mi è sfuggito un TAB di troppo e mi è apparso un menù mai visto fino ad oggi, il menù "interworking-profiles":

come potete notare, dentro wireless, da un po' di versioni (lo screenshoot è stato acquisito su una 6.33.3) abbiamo un nuovo sotto-menù non documentato. Infatti anche cercando sul wiki ufficiale di MikroTik ma non ho trovato alcuna documentazione in merito e questo mi fa pensare che MikroTik ci stia lavorando ma che non sia ancora pronta per annunciarne l'uscita.

Direi, senza ombra di dubbio, che questa sia un'ottima notizia. Temevo che MikroTik non si allineasse con i "big" degli hotspot (Rockuss, Aruba etc) ma rimanesse "indietro", ma anche questa volta MikroTik non ha deluso.

Come potete apprezzare si parla esplicitamente di hotspot20, ASRA, 3GPP... tutte voci che si leggono nei docs di altri brand ufficialmente compatibili con il nuovo standard hotspot 2.0, come ad esempio Aruba Networks:

http://www.arubanetworks.com/techdocs/ArubaOS_64_Web_Help/Content/ArubaFrameStyles/hotspot/predepoyment_overview.htm

Per adesso mi limito a segnalarvi questa "scoperta", dopo aver studiato un po' meglio quello che MikroTik sta sviluppando farò alcuni test e vi aggiornerò.

Ecco qui alcuni link relativi allo standard 802.11u e al WiFi Certified Passpoint (Hotspot 2.0):

https://en.wikipedia.org/wiki/IEEE_802.11u#Hotspot_2.0

https://standards.ieee.org/findstds/standard/802.11u-2011.html

https://www.wi-fi.org/discover-wi-fi/wi-fi-certified-passpoint

Conoscete già il nuovo standard Hotspot 2.0 ed le sue specifiche? Sapevate di questo nuovo menù non documentato che rende MikroTik compatibile con il Wi-Fi Certified Passpoint? Lo avete già provato su MikroTik?

Se pensate che questo articolo possa interessare ai vostri colleghi condividetelo subito su Linkedin!

 

MikroTik, nuovo pacchetto Wireless-rep, vediamo in dettaglio le novità

MikroTik, nuovo pacchetto Wireless-rep, vediamo in dettaglio le novità

RouterOS-Nuovo-Pacchetto-Wireless-Rep

MikroTik nelle sue ultime release di RouterOS ha rilasciato un nuovo pacchetto wireless chiamato “Wireless-rep”.  Quali sono i cambiamenti introdotti da questo nuovo package? Andando ad analizzarli direi che ci sono delle interessanti e potenti novità sul campo wireless, come il “Repeater-mode“, il “Background Scan” e lo “Station Roaming“. Vediamo in dettaglio cosa introduce il nuovo pacchetto “Wireless-rep”. (altro…)



Utilizzare GMail come SMTP per i device MikroTik (e non)

Utilizzare GMail come SMTP per i device MikroTik (e non)

WirelessGuru Mikrotik utilizzare SMTP GMailAvete un account GMail e volete utilizzarlo come server SMTP dei vostri apparati MikroTik?

Nessun problema basterà andare in Tools -> Email e configurare il server di invio con smtp.google.com, porta 587, TLS su yes e le vostre credenziali di GMail.

Mikrotik SMTP Gmail

a questo punto tramite il pulsante “Send Email” potrete testare l’invio della mail… funziona?

No! Se aprite i log troverete che Google rifiuta la vostra email.

Mikrotik SMTP Gmail log

Come mai questo comportamento? Vediamo subito come risolvere. (altro…)



Rilevata importante vulnerabilità apparati Ubiquiti.

Rilevata importante vulnerabilità apparati Ubiquiti.

Ubiquiti rilevato virus per AirOS

Per tutti gli utilizzatori di Ubiquiti, leggere con attenzione questo articolo.

In questi giorni è stata rilevata un’attività virale che riesce a rendere inutilizzabili i prodotti Ubiquiti con sistema operativo AirOS non aggiornato.

Nella maggioranza dei casi i device vengono resettati a factory default, in altri casi rimangono operanti ma inaccessibili (credenziali modificate).

Il virus utilizza un exploit HTTP/HTTPS per avere accesso agli apparati ed essendo un exploit non necessita di alcuna credenziale, quindi non stiamo parlando di password lasciate a default o poco sicure.

Avere quindi un apparato con AirOS non aggiornato ed esposto direttamente su internet tramite le porte standard (TCP/80 HTTP e TCP443/HTTPS) significa essere sensibili all’attacco.

Ad oggi ho molte segnalazioni di WISP e System Integrator che hanno subito tale attacco.

Cosa fare?

Se non siete stati ancora colpiti: aggiornate subito AirOS all’ultima versione, questa operazione è sufficiente a rendervi immuni all’attacco.

Se invece siete stati colpiti dal virus Ubiquiti ha prontamente creato un Removal Tool scaricabile a questo link:
http://www.ubnt.com/downloads/XN-fw-internal/tools/CureMalware-0.7.jar

ed anche una app per Android che identifica e rimuove il virus, l’app la potete scaricare da Google Play a questo link:
https://play.google.com/store/apps/details?id=virusfixer.ubnt.com.ubntvirusremoval

Maggiori informazioni le potete trovare sul blog ufficiale Ubiquiti:

http://community.ubnt.com/t5/airMAX-Updates-Blog/Important-Security-Notice-and-airOS-5-6-5-Release/ba-p/1565949

Eccovi infine una tabella riepilogativa delle versioni firmware immuni:

ubnt-firmware-virus-immune

Avete esperienze da condividere riguardo al Virus che ha colpito gli apparati Ubiquiti in questo periodo (Maggio 2016)?

Condividete su Linkedin ed inoltrate via email questo post a tutti i vostri colleghi in modo che si possa correre ai ripari. Sembra che il virus riesca a replicarsi da un apparato all’altro. Va quindi debellato.



MikroTik Logging: inserire il nome utente nelle righe di log per gli Hotspot o PPPoE server

MikroTik Logging: inserire il nome utente nelle righe di log per gli Hotspot o PPPoE server

WirelessGuru-Mikrotik-Log-Hotspot-Connection-Part-2-username-add-on-every-log-lineAlzi la mano chi non ha mai desiderato avere direttamente fruibile l'username, che in molti casi si traduce nel numero di cellulare, in ogni riga di log generata dal nostro fido hotspot (o pppoe server) realizzato con MikroTik.

Come avete visto dal precedente articolo MikroTik Hotspot: Come loggare il traffico degli utenti (parte 1) si può realizzare in maniera molto efficace un logging, perfettamente a norma di legge, delle connessioni che transitano nella rete autenticata tramite hotspot (o pppoe server). Vi invito a leggerlo se non lo avete ancora visionato.

La totalità degli hotspot che mi è capitato di analizzare (e di realizzare) fino ad oggi utilizzavano quelle regole per attivare il logging. Però ogni qualvolta dovevano essere analizzati, per esempio a seguito di richiesta da parte della Polizia Postale, iniziava il "calvario" di ricercare quale username avesse quell'ip privato in quel momento. Ripeto, alzi la mano a chi non è capitato e non abbia pensato: come sarebbe grandioso avere subito l'username a portata di "mano".

Cosi' mi sono deciso di trovare una soluzione a questa problematica. Vediamo subito cosa sono riuscito a realizzare. Partiamo dal risultato:

WirelessGuru MikroTik Logging with Username in every row

Come ben vedete nel riquadro rosso abbiamo un numero di cellulare (mascherate per privacy le ultime cifre). Questo è il risultato che volevamo no? Adesso è molto semplice sapere chi alle 22:36 del 31 marzo 2916 è andato a visitare il sito web ospitato sul server 212.48.10.49.

Ma come ci siamo riusciti? Vediamolo assieme.

Regole di firewall custom ed un pizzico di scripting

Per riuscire ad inserire il nome utente nella riga di log dobbiamo utilizzare il campo "prefix" presente nella regola di firewall che genera il log, come spiegato nell' articolo precedente, quindi per ogni username ci vorrà una regola di firewall dedicata. Proprio cosi', a differenza di quello che abbiamo realizzato fino ad oggi, che con una potente ed unica regola generavamo il logging di un'intera rete, per avere regole customizzate dobbiamo obbligatoriamente avere almeno una regola per ogni username attivo nella macchina.

Ma come generiamo le regole? Ovviamente non manualmente. Ci dobbiamo avvalere di una features introdotta non da molto sul sistema operativo RouterOS. Sto parlando della possibilità di lanciare uno script per ogni utente che effettua il login e conseguentemente lanciare uno script diverso per ogni utente che effettua il logout.

Dove troviamo questa potente funzionalità? All'interno della sezione user-profile del nostro hotspot MikroTik (o pppoe server).

Per pulizia di pensiero e di lavoro creeremo una nuova catena di firewall, e la chiameremo "customlog".

All'interno dello script che viene chiamato ogni volta che l'utente fa login possiamo utilizzare delle variabili, a noi interessano per i nostri scopi le variabili $user e $address che contengono rispettivamente il nome utente e l'indirizzo io che gli è stato assegnato dal sistema.

Andremo a creare una semplice regola di firewall di questo tipo:

[syntax type="html|php|js|css"]

/ip firewall mangle add chain=customlog src-address=$address connection-state=new action=return log=yes log-prefix=$user comment=$user

[/syntax]

e la mettiamo nello script di "On login" della sezione Hotspot User Profile:

WirelessGuru-Regola-Log-Custom-In-User-Profile-1

Dopo aver inserito questa regola se proviamo a fare login nel nostro hotspot MikroTik vedremo che verrà creata una regola dinamica di firewall come dal seguente screenshoot (regola con id 1):

WirelessGuru-Hotspot-Logging-Dinamic-Firewall-Rulez

I più attenti noteranno una regola con id 0 di cui non abbiamo parlato. A cosa serve? Semplicemente serve per controllare il traffico che vogliamo redirigere alla nostra chain "customlog". In questo esempio facciamo passare tutto il traffico in forward dalla chain "customlog". Ecco la regola:

[syntax type="html|php|js|css"]/ip firewall mangle add chain=forward action=jump jump-target=customlog[/syntax]

Senza questa regola non verrà in alcun modo loggato il traffico.

Se apriamo i nostri log vedremo che il nome utente sarà correttamente presente in ogni linea di log.

Abbiamo finito quindi?

No, manca poco ma non è ancora finito.

Un po' di pulizia, rimuovere la regola di firewall al logout utente.

Dobbiamo obbligatoriamente rimuovere la regola di firewall appena creata al logout dell'utente altrimenti questa regola falserebbe i futuri log collegati a quell'indirizzo ip.

Andiamo quindi ad inserire nella sezione "On logout" del nostro Hotspot User-Profile il seguente comando:

[syntax type="html|php|js|css"]/ip firewall mangle remove [find comment="$user"][/syntax]

per far rimuovere la regola di firewall non appena il nostro utente esegue il logout (o viene buttato fuori dalla rete per inattività/idle-timeout)

WirelessGuru-Mikrotik-Hotspot-Remove-Dynamic-Firewall-Rulez-on-Logout

A questo punto abbiamo completato la configurazione e siamo riusciti con pochi semplici passi ad aggiungere in ogni riga di log, generata dal nostro router MikroTik, il nome utente del nostro sistema hotspot o pppoe che ha generato quella connessione.

Se pensate che questo articolo sia interessante, o possa interessare a qualcuno che conoscete non esitate ad inoltrarlo e/o condividerlo con i vostri colleghi sui social network.

Sei interessato all'acquisto di materiale WiFi per realizzare hotspot? Compila la form sottostante:

Nome e Cognome

Ragione sociale

Indirizzo email

Messaggio

HashFlare
HashFlare
HashFlare
HashFlare
HashFlare
HashFlare
HashFlare
HashFlare
HashFlare
HashFlare
HashFlare