#  > Telecomunicações >  > Redes >  >  Invasão (Burlando) Mikrotik

## UltraFox

Boa noite a todos.

Hoje encontramos uma situação pitoresca por assim dizer.

Um pirata invadiu o sistema sem ter o menor acesso.
Usamos MIKROTIK com default authenticate desmarcado e forward desmarcado também cadastramos todos os clientes na acess list.

Porem notei que hoje um dos meus pontos a pontos estava tendo um consumo acima do normal.
quando entrei no MTK ele tinha um MAC - que nao esta na lista de acesso e mesmo assim ele constava na lista de registro. Mesmo colocando ele na lista e desmarcando o authenticate o safado ainda consegui conectar normalmente no sistema. Depois de rodar toda a internet achei o topico com a informação de que marcar a opção: ARP reply-only cairia a conexão do bastardo isso aconteceu por 5 segundos até o retorno do mesmo.

Nisso parece que ele tem um programa que de alguma forma passa os meus IPs chaves de servidores clientes e etc, é até incrivel como ele sabe bem os IPs. e principalmente a velocidade que estes IPs são trocados não seria um pessoa trocando. Então sai criando conflitos de IP e mais um tanto de porcaria na rede.

A Solução até o momento foi criar uma regra de FIREWALL para bloquei por MAC DROPando assim todos os pacotes destinados para o filho da mãe.

Os idiotas são muito inventivos.... O cara esta mudando "clonando" o mac e foge do bloqueio no Firewall.

O Que me deixou de cabelo em Pé é justamente como ele fez para BURLAR o controle de MAC do proprio MTK.

Com a palavras os Mestres do Forum...

----------


## Roberto21

> Boa noite a todos.
> 
> Hoje encontramos uma situação pitoresca por assim dizer.
> 
> Um pirata invadiu o sistema sem ter o menor acesso.
> Usamos MIKROTIK com default authenticate desmarcado e forward desmarcado também cadastramos todos os clientes na acess list.
> 
> Porem notei que hoje um dos meus pontos a pontos estava tendo um consumo acima do normal.
> quando entrei no MTK ele tinha um MAC - que nao esta na lista de acesso e mesmo assim ele constava na lista de registro. Mesmo colocando ele na lista e desmarcando o authenticate o safado ainda consegui conectar normalmente no sistema. Depois de rodar toda a internet achei o topico com a informação de que marcar a opção: ARP reply-only cairia a conexão do bastardo isso aconteceu por 5 segundos até o retorno do mesmo.
> ...


 

Bom, eu acho que entendi alguma coisa que esse camarada está fazendo ai...ele está navegando com seus ip's válidos, não com seu range de ip's inválidos, mas sim com seus ip's válidos, já viu essa possibilidade?

Para os que entendem muito sobre o MK e acham que é quase impossível entrar na rede e navegar eu já tinha descoberto essa falha aqui, não postei nada para não ensinar a ninguém, centralize as suas regras de firewall para bloquear essa invasão na interface do link, ou seja, procure fechar a interface do link.

OBS: Só tinha encontrado essa falha com ip's válidos :Fight:

----------


## Pirigoso

existe um programa wireless igual ao NETSTUMBLER quer escaneia tudo no ar MAC/IP/ROTA/GATEWAY/PORTA


é o programa mais fantástico que ja vi até hj e por motivo de seguranca nao vou postar aqui, mas ele ABRE TUDO TODOS OS SOCKETES coisa de outro mundo literalmete

OBS nao precisa saber nada da rede nem senha nem nome nada, apenas descascar 4cm do RGC213 e segurar por 10 seg com a mão e plimmm tudo e todos de forma ORGANIZADA e SEPARADA


O CARA QUE CRIOU ISSO É O CARA DOS CARAS!

obs somente extreme profissionais sabem usar este software, a pessoa que vc esta lidando pussui muito mais conhecimento que os anos lhe propos, nao tem o que vc fazer contra ele, a nao ser usar wep de preferencia 256bit

----------


## RBG

Deixa eu adivinhar...Vc usa Hostpot neh?

----------


## UltraFox

Não e Hotpot e rede roteada normal.

Pessoal acho que não seria uma boa hora para elogiar este filho da mãe mais sim criar uma solução ou contra medida estou com as calças na mão não tenho defesa a porcaria do programa ou cara não para de trocar fiquei de 17hs quando descobri até a meia noite quando desisti e deixei o cara navegar... Não tenho contra medidas. Ele não pode furar o bloqueio de MAC da MTK isso não é logico... ele esta usando macs do tipo AA:AA:AA:AA:AA:AA - 12:34:56:78:90 e isso mesmo o MTK esta deixando passar este tipo de MAC. Então ele escanea todo o MTK é pega os ips de clientes trafegando (qualquer IP) pega o MAC e cloca o cliente isso em questão de segundos.

Tem que existir uma maneira de travar essa troca de MAC.

----------


## netosdr

> Não e Hotpot e rede roteada normal.


Coloque autenticação ip x mac x usuario x senha, não use somente mac+ip.

Quanto a permitir estes macs pode ser bug ou alguma configuração do MK, tentou procurar no manual?

----------


## UltraFox

> Coloque autenticação ip x mac x usuario x senha, não use somente mac+ip.
> 
> Quanto a permitir estes macs pode ser bug ou alguma configuração do MK, tentou procurar no manual?


Já revirei do manual ao Google e todos os caras que eu conheço que mexem com o MTK.

Não se muda uma rede pra esse tipo de controle da noite pro dia isso e muito dificil... tenho que saber como corrigir essa precha antes... porq não adianta muito !!! PARAR todos os clientes subitamente.

----------


## netosdr

> Já revirei do manual ao Google e todos os caras que eu conheço que mexem com o MTK.
> 
> Não se muda uma rede pra esse tipo de controle da noite pro dia isso e muito dificil... tenho que saber como corrigir essa precha antes... porq não adianta muito !!! PARAR todos os clientes subitamente.


Vc pode se organizar, enviando os logins no boleto, configurando uma senha padrão, dividindo os clientes em servidores, se usa dhcp ir setando gateway que contem o hotspot aos poucos...

----------


## tecofoda

Não use o Mikrotik como router wireless.... a não ser que exista uma versão que usa WPA/WPA2, caso contrário vai ter que comprar um roteador Wireles (nunca D-Link) e usar a criptografia WPA,Mac Filters, mudar o range de ip que vem padrão de fábrica....
Pois o WPA, para ser quebrado, tem que usar um dicionário de senhas , a não ser que o cara te conheça muito bem para chutar uma senha sua ... não tem como quebrar, pode levar dias tentando! Agora se você usa WEP , já era, qualquer um vai entrar na sua rede, mesmo colocando toda segurança de firewall, mac filter, e range de ip ...

Braço!

----------


## Tuxbsd

Olá a todos do fórum.
Então Ultrafox, pelo visto o problema que vc tem ai pode ser vários motivos, porém tem duas que são coerentes:

- Primeira: Bug no Mikrotik
- Segunda: O mikrotik tem um controle de acesso muito bom, porém nada impede que alguém que já esteja conectado pegue uma lista de macs em uso na rede, ou seja, as vezes algum cliente seu tem a lista de macs, esta lista pode ser obtida através de vários programas como o CC Get Mac Address ou o IPScan(que inclusive mostra o ip tb), nada impede dele ter repassado a lista.

Agora o melhor que você pode fazer ai são regras de firewall mesmo, como Anti Mac Spoofing, bloqueio de mensagens de broacast(Muito usado pra descobrir os ip`s da rede), bloquear pings de rede interna para bloquear esses programas que fazem uso disso.
Outra coisa importante tb seria uma migração deste atual sistema para um sistema de autenticação centralizada como diz o usuário netosdr, como radius, pppoe e etc, além de ficar mais seguro você não tem tantos transtornos de administração de usuários.

Esquece criptografia!!! Não é a solução, pode até funcionar a curto prazo, até vc migrar todos os usuários com a chave não demora muito até ser quebrada e além de consumir banda do cartão, então esquece isso.


Espero ter ajudado qualquer coisa post aqui  :Proud:

----------


## UltraFox

RESOLVIDO

Alguem "Funcionario" Criou acidentalmente um MAC na lista de acesslist em branco nisso um MAC poderia ser qualquer um que o cara colocasse. Depois de descobrir isolei o problema e deixei o cara conectado estamos instalado o SNIFFER para salvar todos os passos do MELIANTE para sabermos quem e onde ele esta.

----------


## netosdr

> RESOLVIDO
> 
> Alguem "Funcionario" Criou acidentalmente um MAC na lista de acesslist em branco nisso um MAC poderia ser qualquer um que o cara colocasse. Depois de descobrir isolei o problema e deixei o cara conectado estamos instalado o SNIFFER para salvar todos os passos do MELIANTE para sabermos quem e onde ele esta.


Se vc descobrir quem é, registre um BO na delegacia, tenho certeza que ele vai pensar 2 vezes antes de quererm algo ilegal de novo...

----------


## marcelhalls

acho que voces estao querendo comprar missel pra matar mosquito nao acham nao?

Que nos sabemos que tudo que esteja em wireless seja visivel é o obviu, correto? sao ondas de radio com o principio basico de emissor e receptor, entao quem tiver um bom recepctor vai receber o que estao enviando ... porem a questao é, o que estou recebendo????

Deixe do jeito que ta meu caro .. mete uma cripto wpa2 e até logo.

Outro detalhe ... o cara nao invadiu seu MK, ele apenas usou a cabeca, clonou os macs que saiu mudando o mac da wifi dele.

Outro detalhe, voce usa AP+WDS ? Se sim .. fica mais facil pq ele pegou todos os seus mac cadastrados, independente da localizacao de seus clientes.

Solução .. mete wpa ou wpa2 e deixa o cara querer tirar a onda dele hehehehehehe ele vai estar de cara no chao

----------


## netosdr

> acho que voces estao querendo comprar missel pra matar mosquito nao acham nao?
> 
> Que nos sabemos que tudo que esteja em wireless seja visivel é o obviu, correto? sao ondas de radio com o principio basico de emissor e receptor, entao quem tiver um bom recepctor vai receber o que estao enviando ... porem a questao é, o que estou recebendo????
> 
> Deixe do jeito que ta meu caro .. mete uma cripto wpa2 e até logo.
> 
> Outro detalhe ... o cara nao invadiu seu MK, ele apenas usou a cabeca, clonou os macs que saiu mudando o mac da wifi dele.
> 
> Outro detalhe, voce usa AP+WDS ? Se sim .. fica mais facil pq ele pegou todos os seus mac cadastrados, independente da localizacao de seus clientes.
> ...


Criptografia é pra amador, em grandes provedores não se usa criptografia, sobrecarrega equipamentos, dá dor de cabeça pra configurar os clientes, muita canseira.

Tem métodos de autenticação que já criptografa os dados no servidor, pra que colocar isso no ap que tem 64MB de RAM e processadorzinho de 100mhz?

Se o cara "invadiu" usou de meios ilícitos pra conseguir isso, porque o PROVEDOR em questão não dá acesso, ele VENDE, se quiser pode requerer seus direitos, um simples boletim de ocorrência e uma visita de um policial na casa dele vai fazer ele ficar esperto....

Bem, é só o que eu penso!

----------


## marcelhalls

Amigo,

Acho que voce esta equivocado, mas nao é minha competencia em questionar isso, eu dei a opção de uma das alternativas, existem outras, aonde a minha ou a sua pode ser a melhor, cabe ao cliente em escolher levando algum criterio em relevancia ( custo ou beneficio ).

Se o problema é hardware, coloque um que atenda, é pra isso que existe MK e dlink no mercado, o cliente escolhe o preço que se quer pagar, depois ele ver se o que ele pagou valeu a pena.

Problema em clientes? Cripto? Acho que mais uma vez voce se equivocou, ou como cito no primeiro paragrado, veja o seu criterio de relevancia, se voce usa plaquinhas em clientes, isso pode ser um problema, mas se voce usa radios, acho que voce deve mudar a marca de seus radios, mas nao deixe de usar criptografia, wireless sem cripto = amadorismo

Espero ter sido claro e inofensivo.

Boa sorte!

----------


## ruyneto

Amigos,

Para se proteger existem 2 maneiras, uma é usando autenticação do usuário por PPOE por exemplo, mas sempre lembrando que esse trafego da PPOE tem de ser criptografado se não o cara descobre as senhas. Ou usando criptografia nos rádios, lembrando que já existe um trabalho que conseguiu quebrar chaves WPA por isso sempre use WPA2.

Abraços.

----------


## marcelhalls

Concordo em genero numero e grau  :Smile: 

So so meio sismado com PPoE em wireless porque o pacote é gigante! so par metalico mesmo pra guentar o trafego dele hehehehehe

MK com MK o bicho ainda senta  :Frown:

----------


## netosdr

> Amigo,
> 
> Acho que voce esta equivocado, mas nao é minha competencia em questionar isso, eu dei a opção de uma das alternativas, existem outras, aonde a minha ou a sua pode ser a melhor, cabe ao cliente em escolher levando algum criterio em relevancia ( custo ou beneficio ).
> 
> Se o problema é hardware, coloque um que atenda, é pra isso que existe MK e dlink no mercado, o cliente escolhe o preço que se quer pagar, depois ele ver se o que ele pagou valeu a pena.
> 
> Problema em clientes? Cripto? Acho que mais uma vez voce se equivocou, ou como cito no primeiro paragrado, veja o seu criterio de relevancia, se voce usa plaquinhas em clientes, isso pode ser um problema, mas se voce usa radios, acho que voce deve mudar a marca de seus radios, mas nao deixe de usar criptografia, wireless sem cripto = amadorismo
> 
> Espero ter sido claro e inofensivo.
> ...


Se em algum momento eu ofendi, me desculpe..

Existem diversas opniões, cada um deve seguir o que for melhor pra si.

Cada realidade deve direcionar pensamento e metodologia de trabalho.

No começo por exemplo também pensei que criptografia iria ser bom (e é com certeza) mas pra minha realidade não se encaixa.

Um abraço.

----------


## fernandolv

O problema e que muitos prpvedores usao placas pci wireless no pc isso facilita muito qualquer programa que rode na sua rede pegando ip/mac .
Aqui so uso radio roteado no cliente numca tive dores de cabeca , o cara pode ate scanear so que nao vai passar nada pra minha rede , se passa o sistema indentifica e dropa o ip do cliente e o cara fica sem navega , sendo assim ele me liga e o fumo come.
So aconteceu de 1 cliente me ligar pra desbloquear..
Quando libero um ip no servidor coloco o ip na wan do radio roteando pra lan do radio sendo assim nao passa nada de fora pra dentro e de dentro pra fora.

----------


## Arcanjo_tc

Aqui estou usando PPPOE e Hotspot. O PPPOE é tranquilo mas o Hotspot era vulneravel a sniffers. Resultado, taquei mascara de 32 bits no dhcp e até agora testei varios sniffers e nenhum conseguiu scanear. Pode até ser que consiga mas ainda nao achei nenhum....

Outra coisa, deichei o dhcp server como static e ainda assossiei o arp com o dhcp server dae ninguem pega ip a nao ser que esteja cadastrado.

Isso tudo vai dificultando cada vez mais a vida dos malditos script kids!

----------


## magrock

Sei que não fui chamado na conversa, hehehehe
mas tenho uma opnião de amador com relação ao MK que pode se tornar até uma solução
eu aqui utilizo IP's fixo para clientes, sem DHCP Server, HOTSPOT com HTTP-chap,HTTP-PAP,MAC e HTTPS ,mas tem um detalhe, fui lá no IP BINDINGS e bloqueei os IP's que não estavam sendo Utilizados, assim pode ter a MAC do papa que ele não entra, pois o HOTSPOT vai pedir o usuario e senha, vai checar a MAC e o IP se não bater os 3 pedidos, O malandro não entra.
Bom aqui fica minha dica 
 :Beer:   :Stupid:   :Canabis:

----------


## marcelhalls

> Sei que não fui chamado na conversa, hehehehe
> mas tenho uma opnião de amador com relação ao MK que pode se tornar até uma solução
> eu aqui utilizo IP's fixo para clientes, sem DHCP Server, HOTSPOT com HTTP-chap,HTTP-PAP,MAC e HTTPS ,mas tem um detalhe, fui lá no IP BINDINGS e bloqueei os IP's que não estavam sendo Utilizados, assim pode ter a MAC do papa que ele não entra, pois o HOTSPOT vai pedir o usuario e senha, vai checar a MAC e o IP se não bater os 3 pedidos, O malandro não entra.
> Bom aqui fica minha dica


Gostei dessa! Fica aí a dica!

----------


## deniss

opa boa tarde a todos realmente um forma segura é ultilizar hotsprt e o pppoe na mesma rede aqui na minha rede nao tenho problema cara cria um server hotspot (e ,ou)pppoe e posta ai

----------


## armc_2003

> existe um programa wireless igual ao NETSTUMBLER quer escaneia tudo no ar MAC/IP/ROTA/GATEWAY/PORTA
> 
> 
> é o programa mais fantástico que ja vi até hj e por motivo de seguranca nao vou postar aqui, mas ele ABRE TUDO TODOS OS SOCKETES coisa de outro mundo literalmete
> 
> OBS nao precisa saber nada da rede nem senha nem nome nada, apenas descascar 4cm do RGC213 e segurar por 10 seg com a mão e plimmm tudo e todos de forma ORGANIZADA e SEPARADA
> 
> 
> O CARA QUE CRIOU ISSO É O CARA DOS CARAS!
> ...


Me desculpe da forma como vou falar, mas : PÁRA DE CONVERSAR BOBAGENS!
Sem querer ofender, mas não existe mágica, somente a técnica.

----------


## armc_2003

> Já revirei do manual ao Google e todos os caras que eu conheço que mexem com o MTK.
> 
> Não se muda uma rede pra esse tipo de controle da noite pro dia isso e muito dificil... tenho que saber como corrigir essa precha antes... porq não adianta muito !!! PARAR todos os clientes subitamente.


 Garanto pra vc que é alguma configuração mal feita no seu MK ou o referido atacante tem acesso direto ao seu firewall. Fica tranquilo que o seu problemas está em uma dessas 2 possibilidades.

----------


## masterbeto

bom vo dar minha opinia tbm
bom eu ja fiz muito disso tbm quando nao tinha minha net a radio
fazer o q eu precisava navegar e o cara nao instalava pra minha area
bom netstumbler eh bem basico, kismet, wireshark e ethereal ja sao advanced, quem conhece sabe
bom umas falhar q ele pode se utilizar e eh a mais basica, mac clone, agora vc se pergunta como ele consegue 1 mac seu, ai vao as dicas
1-basico, ele pode ter 1 amigo q use a sua net, clona o mac entra na rede e usa a sua net ou procura mais macs e ips validos
2-intermediario, ele procura um wds seu se vc nao usa encriptacao melhor pra ele eh so clona o mac do wds o mk aceita, e eh facil descobrir wds. Ex.: torre1 torre2 torre3
3-avancado, ele scaneia todo e qualquer tipo de ondas no ar, tanto de ap como de clientes e depois salva tudo e vai testando 1 por 1, uma hora entra, DEMORA mais entra
solucao basica uma key wpa ou wpa2 q sao as mais power
pros - wpa wpa2 na hora da conexao requer essa key e ele nao vai saber e nem quebrar, pelo menos nao com facilidade
contras- se vc possui sua rede igual eu q tenho a 3 anos vc possui placas q nao suportam wpa e wpa2 e nem wep 256bits
bom no meu caso to na opcao 2 entao uso misero wep 64 bits, mas como conheco as taticas ninjas se for preciso sei como me defender em ultimo caso tem de trocar as placas de clientes antigas por wpa ou wpa 2 ja era
mas como disseram ai manda a policia na casa do cara, vai mandar como? uma antena direcional bem posicionada vc pega sinal e envia no minimo uns 5 km como vc vai saber quem eh o cara e como vai provar ? e outra como hoje em dia as coisas estao meio loucas, quem nao te garante q esse cara te conhece de vista e pode querer ter matar pq vc mandou a policia na casa dele ?
quer uma boa solucao poe criptografia seguindo essas ordens wpa2, wpa, wep 256, wep 128, wep 64 a q lhe servir melhor, e outra coisa se mesmo assim o cara continuar usando esquece ele e deixa ele usar de boa pq enquanto tiver so ele ta bom, o f.... eh se ele passar pra um monte de amigo dele ai sim vc vai ter dor de kbca, pq se o cara conseguir quebrar crypto wpa2 sinal q ele pelo menos entende ou procura info no sites de wardriver

----------


## 14735

eu sempre digo he melhor fazer uma coisa segura de cara do que ter problemas depois 
esse negocio de criar hotspot e deixa apenas conectar pelo MAC na minha opnião he uma idiotice 
qualquer um que intenda um pouco vai burlar o sistema 
hotspot tem que colocar login senha e prender ip ao mac sempre .
outra coisa verificar se nao esta liberado mais de um mac por cliente isso impede a clonagem de mac de funcionar .
varios detalhes basicos que deicham uma rede segura ou nao depende de cada um .
aki no meu eu deixo at o que nao he cliente conectar por 5 min para teste pelo trial e nunca tive qualquer tipo de problemas com esse povo que fica pegando net na faixa.
basta ter o minimo de seguraça na rede que nao tem erro .

----------


## eugeniomarques

estranho... aki apareceu uma msg do forum.. q minha mensagem eh muito curta.. e eu vou ter q digitar tudo de novo...

entao antes.. q de erro de novo.. deixa eu encher de bobagem aki no inicio..

 :Smile: 

mas eu dizia :

eu sou iniciante.. em mk..

mas soube q a melhor opcao seria usar o radius... no mk 3.xx vc tem o pacote user manager q dah pra fazer miseria...

amarrar ip x mac x login x senha.. jogar tudo em um servidor radius.. e ainda por cima dah pra colocar uma wep/wpa diferente pra cada cliente seu...

tudo isso com o radius..

entao.. essa eh minha dica..

agora vou copiar isso aki antes de postar..

fuiz.

----------


## UltraFox

> estranho... aki apareceu uma msg do forum.. q minha mensagem eh muito curta.. e eu vou ter q digitar tudo de novo...
> 
> entao antes.. q de erro de novo.. deixa eu encher de bobagem aki no inicio..
> 
> 
> 
> mas eu dizia :
> 
> eu sou iniciante.. em mk..
> ...


Aqui é justamente isso que estamos tentando fazer neste topico.

https://under-linux.org/forums/mikrotik/119127-delphi-bsd-mtk-new-post.html

Aproveita e dá uma mãozinha pra nós;;;

----------


## renatocostas

Olha tenho Varios clientes utilizando o MKT com autenticação com senha e access list e até hoje nunca sofri nenhum ataque, sofri apenas tentativas, mas ataque mesmo nunca, o mais indicado seria vc colocar autenticação por hotspot ou pppoe e ip x mac e tbm dar uma olhadaem seu servidor para ver se nao tem falha de segurança, outra coisa segurança wpe é muito facil de quebrar, a wpa é mais dificil porem nao impossivel, e se vc estiver usando acess point esse tipo de segurança nao é indicada pois sobrecarrega os mesmos.

Obrigado pela Atenção.

Renato Costa
Gerente T.I Plim Telecom

----------


## alexsuarezferreira

> Já revirei do manual ao Google e todos os caras que eu conheço que mexem com o MTK.
> 
> Não se muda uma rede pra esse tipo de controle da noite pro dia isso e muito dificil... tenho que saber como corrigir essa precha antes... porq não adianta muito !!! PARAR todos os clientes subitamente.


bota eles pra discar pppoe, dai vc migra pouco a pouco, depois fica mais facil, pois so navega ip+mac+user+senha, eu aqui nao tive problemas mesmo assim to migrando tudo...

----------


## terencerocha

pppoe ajudaria...wpa2...tb...coloca uma chave pra cada cliente...ai quero ver o cara usar...

----------

