#  > Geral >  > Segurança >  >  Cliente Burlando e Navegando de Graça

## interhome

Uso autentivacao com senha amarrando ip + mac. Que tenha conhecimento, há na rede um camarada que consegue navegar sem esta autorizado. Acredito que ele tenha uma tabela de ips e mac e vai alternado e navegando uma vez que os mesmos já estam liberados no sistema. O mais curioso é que ele consegue navegar em conjunto com o cliente "original". Essa graça começa a ficar perigosa a medida que não sei qual ferramenta ele esta usando e o principal o que ela é capaz. Esse problema pode estar acontecendo em várias redes e sem que saibemos. Alguem tem alguma linha de raciocionio para aumentar a segurança na rede.

----------


## ruyneto

Amigo,
Pelo o que parece ele ta varrendo sua rede e buscando IP's e MAC's validos e com isso usando essa combinação para navegar. Se você utilizar rede wireless sugiro montar algum tipo de autenticação como VPN ou segurança WAP para o dado trafegar criptografado. Mas como dizem é uma briga sempre de gato e rato e nessa você sempre vai ser o gato. Hehehehe

Abraços.

----------


## interhome

Sei, mas o que fico mais curioso é como ele consegue navegar juntor com o ip original. Sem que haja conflito de ip na rede. Outro dia estava com o meu laptop usando e fui olhar o meu trafego no servidor , estava usando a minha banda toda reservada sem está usando nada. Quando troquei o meu ip do laptop o trafego parou.

----------


## terencerocha

Usa autenticação pppoe que quero ver esse danadinho conseguir usar...

----------


## nikollas

Tb estou com este problema aqui e uma forma talvez seria colocar o MAC de cada cliente nas AP que conectar tb mais estou querendo achar uma forma de achar as coordenadas de quem esta logado na antena assim com o GPS ou Google poderia acha o endereço do invasor, pois tem três coisas que dar cana no Brasil é matar um animal silvestre, pensão e roubar sinal privado.

----------


## cesarkallas

Interhome,

Apesar de teóricamente isso não ser possível, vejamos alguns pontos:

1. O endereçamento IP em uma rede borda é usado apenas para a resolução do endereço MAC da interface de rede, em outras palavras, se você estiver usando apenas switchs, e o seu sinal até o cliente não passar por um roteador, o único endereço usado para a entrega do pacote é o do MAC. 
Se o cara estiver usando um IP igual, porém MAC diferente, o pacote vai para o MAC cadastrado no seu server.

2. Se o sinal passar por um roteador até chegar o cliente final, você provavelmente não vai receber um aviso de IP duplicado na rede, e conseguentemente os dois clientes podem receber o pacote.

Eu sinceramente acho que o cara está navegando no seu link usando alguma falha de segurança ou na topologia de rede que você montou, verifique se a politica de bloqueio é a padrão, e os pacotes estão sendo liberados apenas para os IP/MAC declarados por você.

----------


## terencerocha

Também tinha esse problema na minha cidade...resolvi com autenticação pppoe...sem ter de correr atrás de quem...sem strees...sem polícia...inclusive os clonadores acabaram virando cliente...rsrsrsrsrsrsrsrsrsrs...

----------


## weizemann2008

oi, raramente posto alguma coisa, entaum assim, qualquer scanner simples e um sniffer da pra entra nas redes bem fácil, de que adianta amarra ip e mac, dá pra clona, vou da uma solução simples, comecem a usufruir dos beneficios da mascara de rede e de criptografia na rede, não adianta colocar wep, wap, bloquear mac por aparelho. O negócio da pra navega da seguinte maneira, vo explica a mais simples, digamos que vcs tem ip do server 192.168.20.1 e ip 192.168.20.xxx, ve um ip que não ta em uso na rede e coloca no note de vcs, ok?, e no gatewai não coloca o 192.168.20.1, coloca no gatewai o ip de algum cliente que esteja logado, vai experimentando, por incrivel que pareça vai conseguir navegar hehehhehehehehe...montei provedores e redes wireless, encontrava problemas e por isso desenvolvi essa metodologia, ficava tentando invadir minha própria rede, e ainda não fica 100% segura, hhee, pelo menos eu sei ainda como invadi-la!t+

----------


## islan

> oi, raramente posto alguma coisa, entaum assim, qualquer scanner simples e um sniffer da pra entra nas redes bem fácil, de que adianta amarra ip e mac, dá pra clona, vou da uma solução simples, comecem a usufruir dos beneficios da mascara de rede e de criptografia na rede, não adianta colocar wep, wap, bloquear mac por aparelho. O negócio da pra navega da seguinte maneira, vo explica a mais simples, digamos que vcs tem ip do server 192.168.20.1 e ip 192.168.20.xxx, ve um ip que não ta em uso na rede e coloca no note de vcs, ok?, e no gatewai não coloca o 192.168.20.1, coloca no gatewai o ip de algum cliente que esteja logado, vai experimentando, por incrivel que pareça vai conseguir navegar hehehhehehehehe...montei provedores e redes wireless, encontrava problemas e por isso desenvolvi essa metodologia, ficava tentando invadir minha própria rede, e ainda não fica 100% segura, hhee, pelo menos eu sei ainda como invadi-la!t+


Na boa, na minha rede isso nunca funcionou, ahueueheueh
Vi na net um sistema que promete acabar com isso, criando um sistema de chave de criptografia usando VPN, aí vc libera tudo no servidor, a chave é gerada a partir de ítens de hardware do cliente, o site do produto é HostCERT - A Solução efetiva contra o uso não autorizado da infraestrutura de rede. estou querendo usar o demo por uns dias pra ver se realmente funciona, ah, já estava esquecendo, ele compacta em 30% o tráfego entre o servidor e o cliente possibilitando vc vender mais banda com menos tráfego no seu AP.

Um abraço aí galera e um ótimo FDS...

----------


## cesarkallas

Você não precisa de um sistema assim, pode usar o OpenVPN com discagem por cliente, dá na mesma.

----------


## lemke

*Através dos protocolos TCP/IP e fazendo um isolamento de clientes em rede, acredito que não há como o camarada "esperto" ter acesso ao cliente original e nem burlar a segurança da navegação..*

*Usar IP's com máscaras, no gateway, acredito que funcione como blindagem nesse caso ou pelo menos ajude bastante a inibir tal navegação "ilegal"..*

----------


## cesarkallas

> *Através dos protocolos TCP/IP e fazendo um isolamento de clientes em rede, acredito que não há como o camarada "esperto" ter acesso ao cliente original e nem burlar a segurança da navegação..*
> 
> *Usar IP's com máscaras, no gateway, acredito que funcione como blindagem nesse caso ou pelo menos ajude bastante a inibir tal navegação "ilegal"..*



ahm ???

----------


## nikollas

A Unica forma que achei até agora para o invasor não usar a clonagem de IP+MAC foi usar o PPoE, mais agradeço a todos que respondeu meu topico

----------


## interhome

Colocar o mac nao adianta, esta amarrado. O camarada levanta uma especie de proxy na maquina dele, encaminhando as requisoes para ele. Usar pppoe seria talvez a solucao. Toda vez que tentei usar, com o mikrotik, era um tal de erro 809 , erro 811, ... No final estava ficando maluco. Existe uma empresa que monta uma especie de vpn e diz ser a sensacao do mercado. Estou pensando em partir para essa solucao. So que mudanças na rede sempre causam traumas nos usuarios...

----------


## interhome

Ela esta querendo usar mascara /30, é isso ? No final teria da mesma forma um monte de ips no servidor. Sabendo as combinacoes nao alteraria o quadro que tenho hj.

----------


## davys

Faz o seguinte tenta discobrir em qual repetidora ele esta pegando o sinal vai la coloca uma direcional de preferencia uma yagi com um radio ligado numa bateria de carro , coloca essa ap que esta na direcional com o mesmo ssid da sua omini desliga a original e fica apontando na sua torre ou predio a yagi com o SSID e o canal da repetidora ai vc vai ver no radio que ele vai associar entao vc vai apontando ate ter um sinal otimo que vc descobre aonde ele esta , vai la e bate foto da antena e grava os acessos nao autorizados dele ! vai na justiça e mete o ferro no safado !!!!

----------


## Pupa

ola galera 
tive esse mesmo problema aqui a uium tempo atraz 
mais o que vc falou da sica por que quando eu tive esse problema aqui eu pegeui tudo 
o que tava no squid os acesso tudo dele juntei provas mais fotos e abri processo contra o desgracado
sabe o que me aconteceu quase me ferei por que a justica entendeu que eu estava tendo acesso a acesso nao autorizados aos acesso dos cliente 
ai ja sabe tive qye da uma conversada com o sargento amigo meu e ir na casa dele e faze um fusue
ah e ainda por cima depois disso o filha da mae me denuncio pra anatel .......
ai foi que ele c ferrou na minha to processando o mesmo por difanacao de calunia..
agora posso por que ele fez uma denuncia falca

a justica soh ajuda mesmo os vagabundo o cara nunca

----------


## mgn5005

Bom dia 

 Amigos aqui no provedor tambem tinhamos este problema, sei que resolver 100% é dificil mas aqui utilizamos uma solução simples para diminuir esta situação.
Hoje temos o Mikrotik com Servidor Radius Integrado, Conexões com Hotspot e clientes se conectando com usuario + senha + ip + mac, com mascara /30, alem do sistema radius estar integrado à parte financeira e checar tambem se este cliente esta inadimplente ou nao, depois que implantamos isso o indice de fraudes caiu bastante.
Nosso servidor Radius guarda os logs dos eventos das conexoes, e sempre no dia seguinte de manha podemos analisa-los e ver se algum cliente tentou se conectar com mac errado, ip errado, se tentou fazer alguma conexao simultuanea ou tentou brute force ja que o sistema guarda as tentativas de conexoes com usuario e senha errados.
È algo trivial eu sei, mas é uma ferramenta que nos ajuda a cobrar do cliente um alteração de senha por exemplo, caso desconfiemos que alguem clonou os atributos de conexao deste determinado usuario.


Abraços a todos




Marcelo
msn [email protected]

----------


## terencerocha

coloca pppoe ai amigo...q seus problemas acabam...

----------


## xadouron

Pessoal,

Neste caso qual seria o problema em usar criptografia WAP para dificultar o acesso? Processamento desnecessários nos APs? Maior largura de banda? Dar para burlar criptografia WAP mesmo com uma chave bem grande? Sei que é bem fácil burlar WEP, mas WAP acho um pouco difícil usando uma chave grande e com carateres e números aleatórios. Usando autenticação PPOE é possível descobrir a senha ou a senha é criptografada?

Abs,

----------


## horusosbourne

> Pessoal,
> 
> Neste caso qual seria o problema em usar criptografia WAP para dificultar o acesso? Processamento desnecessários nos APs? Maior largura de banda? Dar para burlar criptografia WAP mesmo com uma chave bem grande? Sei que é bem fácil burlar WEP, mas WAP acho um pouco difícil usando uma chave grande e com carateres e números aleatórios. Usando autenticação PPOE é possível descobrir a senha ou a senha é criptografada?
> 
> Abs,


Como citou o colega no topico anterior, a unica forma que eu achei de resolver esse problema foi mesmo utilizando um VPN, nesse caso optei pelo HostCert, que estou usando a caráter de teste, mas que a principio resolveu meus problemas.
Vamos ver como isso funciona na prática né?

Cordial Abraço

----------


## charles_aracati

Caro amigo, pense comigo, pra esse "gaiato" está pegando o ip ou mac dos outros ele tem que ter acesso ao seu AP. Certo!? pra proder utilizar algum software e buscar os ips conectados.
Se você distribui o sinal wireless atraves do AP-MK faça o seguinte...
em interface na guia wireless, quando vc estiver configurando dá uma olhada lá em baixo, e você verá três opções
> Default authenticate
> Default forward
> hide ssid

Se você deixar marcado as duas primeiras, qualquer pessoa vai pode conectar no seu sinal mesmo que não saiba o ip, ai ele usa o software para buscar esses ips.

Minha solução aqui é... Eu desativei as duas primeiras opções antes de colocar os clientes. Pois assim, somente os cadastrados podem se conectar na rede wireless.

Se ajudei, favor agradecer.

----------


## Nemer

USA MIKROTK ? MUDA PRA PPPOE E LÁ NO MIKROTIK DO SERVIDOR PPPOE TEM UMA FUNÇÃO ONDE VC HABILITA PARA QUE SE ENTRA MAIS DE UMA VEZ O MESMO USUARIO MK DERRUBA A CONEXÃO DOS DOIS E NIGUEM NAVEGAR, COLOCA TB CRIPTOGRAFIA, QUERO VER ALGUEM SACANIAR...


FALOW

----------


## charles_aracati

Aê galera, num é querendo desmoralizar nosso trabalhao não, mais criptografia é só questão de alguem descobrir, coisa que não é muito dificil. 
Façamos uma analise de caso.
Digamos que você tem mais de 100 clientes. e ai, alguem descobre a criptografia. Você vai mudar e sair alterando em cada cliente.
Numa boa, não é muito seguro não, é só um "ganha tempo" até alguem descobrir.
Desculpem mais é a realidade.
 :Vollkommenauf:

----------


## Nemer

rpz isso vai depender da forma que o provedor trabalha, se vc usar apenas radio com senha, não der a senha pro cliente e colocar cripto e usando usuario e senha para autenticação amarrado ao mac e ainda fechando a entrada da wireless por mac, isso vai dificultar muita a vida do cara que tá querendo roubar a net, agora pro cara que saca dessas paradas ai de entrar aonde não foi convidado ele dar um jeito....


falowwww

----------


## charles_aracati

Isso eu sei, mas.......
1º - Todos os seus clientes utilizam rádio?
2º - Estamos falando aqui de (invasão) ou seja, o problema não é o cliente e sim os "gaiatos" que tem por ai.
3º - Se vocÊ deixar sua rede exposta, todos podem conectar "nela". Aqui eu bloqueei, só acesso o ssid quem é cadastrado no server, isso já é alguma coisa.
 :Ciao:

----------


## interhome

Boa tarde, alguns deram como solução o uso de pppoe. Mas quando penso em pppoe, penso em dor de cabeça. Consome largura de banda e configuração constante. Sem falar no mk com erros 678 .... Tinha uma relação de erros e clientes ligando o tempo todo. Em prédios quando colocava um ap conectando na torre e os clientes em baixo se autenticando pppoe. Um conectava outra desconectava. Alguns aps tem lentidão quando estam em pppoe .... 
Por outro lado, as grandes operadoras usam. Por isso não posso queimar o pppoe totalmente. 
Posso queimar o pppoe no mk, apesar de alguns me crusificar por disser isso. todo provedor que começou com pppoe acabou migrando para o hotspot.
Gostaria de saber qual o concentrador usado por uma grande operadora para administrar o pppoe ?
O hostcert foi um serviço que me chamou a atenção, mas é conversando com alguns profissionais, dissem que o somatório de conexoes vpn causaria um colapso. Nao sei, só usando na prática ou vendo o funcionamento com centenas de cliente simultaneos rodando.
O grande problema de amarrar os mac nas torres, é que nossos clientes se conhecem e são proximos, assim se clonar o mac irão se associar.

----------


## charles_aracati

Certo, mais para isso acontecer ele terá que está presente.
Ai é onde entra a ARTE.

Se o cliente liberar que outra pessoa "mexa" no seu computador, vai caber à ele, os riscos dessa outra pessoa em copiar "suas coisas".

=================================
Aqui, por exemplo, onde eu trabalho quando termino uma instalação falo o seguinte.
EU - Caso você formate o computador, não deixe ninguem instalar a internet, ligue para nos e viremos consertar.
CLIENTE - Mais porque? Eu num posso chamar "fulano de tal"?
EU - É melhor não, pois se ele copiar seus dados de usuários da conexão com a internet ele vai poder utilizar na casa dele, e se isso acontecer, tanto você como ele não vai ter uma boa conexão.
=================================
e por ai vai... :Vollkommenauf:

----------


## dionatanvc

> A Unica forma que achei até agora para o invasor não usar a clonagem de IP+MAC foi usar o PPoE, mais agradeço a todos que respondeu meu topico


meu amigo, estava exatamente com o mesmo problema que voce, estava usando o controle de velocidade pelo queues, e amarrando o ip ao mac pelo arp, já tinha mais de 4 invasores em minha rede, foi aki no forum que achei a melhor opção, que pra mim foi pppoe, estou mudando todos os meus clientes para pppoe, pois nao aguento mais cliente me ligar dizendo que está com conflito no ip, até agora está blz, aconselho a voce também usar pppoe, é muito simples, facil e pratico.. qualquer coisa estamos ai....

----------


## noir

uma outra solução simples tambem e usar o hotspot do mikrotik.

qualquer maquina entra na rede mais apenas com user e senha ela vai conseguir navegar.

mais prefiro usar o ppoe ^^

----------


## inkrenkeiro

PPPoE é bem interessante, no MK 3.20 vc vai la no PPPoE Server coloca autenticação MSCHAP V1 e MSCHAPV2, vai em PPP, Profiles Default e coloca Compression, VJ Compression e Encryption em Yes, coloca todos seus user´s no Profile Default. No windows xp como cliente ainda nao tive problemas com erros, no caso de usar PPPTP acontecem alguns bugs. A velocidade média dos meus clientes passou de 350kbytes para 1200kbytes baixando do cache e sem nenhum Inxerido.

----------

