eai pessoal do hotspot e arp, oque vcs estão fazendo para se defender dos clonadores de mac? o e-cut ta solto por ai. algo que bloqueie?
Versão Imprimível
eai pessoal do hotspot e arp, oque vcs estão fazendo para se defender dos clonadores de mac? o e-cut ta solto por ai. algo que bloqueie?
hotspot:
rede /30
userXsenha preso ao IPxMAC
SSL
1 conexao por login
no cookie.
switch com vlan, radio wireless com vlan
não deu mesma coisaCitação:
Postado originalmente por mascaraapj
nao entendi?Citação:
Postado originalmente por danilosceu
com switch e radio com vlan... o camarada nao conseguira rodar um sniffer na rede e descobrir o IPxMAC de algum cliente... para conseguir esse dado, o clonador devera ter acesso a alguma maquina de algum cliente.
com hotspot+ssl, mesmo que o clonador consiga o IPxMAC, ele tbm iria precisar do login e senha que esta atrelado a aquele IPxMAC... devido a pagina de login possuir SSL, dificilmente ele conseguiria pegar esse login na rede... sendo que a dificuldade aumenta se somado ao switch ou radio com vlan.
se permitir apenas 1 conexao por login no hotspot.... mesmo que de alguma forma o clonador consiga esses dados (a unica forma que consegui imaginar foi atraves de engenharia social ou se o clonador for tecnico de manutencao de pc do cliente)... ele so podera clonar quando o cliente verdadeiro nao estiver online.... pois se estiver, nenhum nem outro ira conseguir navegar.
não nescessariamente, ele conecta na rede sem fio e roda o e-cut, e pega um mac de cliente, eo cara coloka na placa de rede sem fio, e ja sai navegando. a base do programa é essa.Citação:
Postado originalmente por mascaraapj
amigo,
Com o hotspot, o cliente somente sai navegando ao colocar o mac de outro usuario, somente quando o servidor esta mal configurado.
quando é permitido mais de uma conexao com o mesmo usuario.
e outra, como ele vai pegar um mac se o switch e/ou o radio possuem vlan?
a unica coisa que ele vai enchergar é o servidor.
Citação:
Postado originalmente por danilosceu
outra opção tambem é usar PPPoE no lugar de hotspot.
no hotspot se voce configurar para apenas 1 conexão acabou se entrar duas 1 cai masmo se for o mesmo mac .Citação:
Postado originalmente por danilosceu
quanto maior o numero de informações e testes e experiências melhor será a segurança para todos vamos compartilhar idéias e soluções. o que dizem sobre o certificado de segurança do hotspot?
Citação:
Postado originalmente por danilosceu
simples so mudar smtp server deve que vc deixou (public e ip 0.0.0.0/0) aponta isso para seu servidor e pronto
ninguem mais vai ver mac dos seus clientes.
Existe um sistema onde o cliente roda um aplicativo que gera uma chave baseada no wardwade da máquina que é validada pelo servidor.
e que sistema e esse vc saberia informar?Citação:
Postado originalmente por nonoque
isso e interesante, poderia dar maiores informaçoes..
Citação:
Postado originalmente por nonoque
Empresa Hostcert - Essa empresa garante 100%, eles criaram uma placa de rede virtual que amarra os hardware da maquina em uma chave, ai vc tem que ir no gatway e ativar a chave ai sim o camarada navega.
HostCERT - A Solu
É instalado um programa que gera uma CHAVE desta instalação, e fica armazenado na maquina.
esta chave é enviada para o servidor na primeira conexão, e autorizada!!
E quando precisa usar a net, o cliente USA este programa, que pega a chave instalada, e envia para o servidor, que compara com a chave inicial, se OK, a conexão é estabelecida, que CONTROLA A VELOCIDADE no cliente, que pode criptografar inclusive.
Se vc instalar o mesmo programa em outro micro, vai gerar OUTRA CHAVE, e nao vai navegar.
Se clonar o mac , tambem, precisa do programa, e nao vai navegar.
O sistema hoje, possui o valor de R$ 350,00 por licença de servidor, sem limite de clientes, considerando que um servidor pode atender tranquilamente 3000 usuários simultâneos, o valor é extremamente atrativo, até mesmo para pequenos provedores.
AGRADECE AÍ GALEGA!!!!!
se isso tudo for mesmo verdade será muito bom mais isso depende muito né de até quando, pois hj não a nada que alguem não faça para enganar um sistema! sempre a uma falha e os cara descobre torce para que esse seja msm seguro. Enquanto ao certificado do hotspot alguem usa sabe como conseguir? e comprado onde ou e free? gostaria de algumas informações.
Tem programas free que fazem.. Existe um tuto aqui na under sobre isso.
Para ser mais específico segue o link:
https://under-linux.org/f210/certifi...otspot-123193/
Agradece aí cambada!!
vlw já to lendo :)Citação:
Postado originalmente por nonoque
Por aqui estou utilizando o hotspot com certificado digital, vai tranquilo, e não dá pra duplicar um usuario na rede, pois se o usuario estiver autenticado, e tentar fazer um segundo login, o hotspot retorna um aviso de que não há mais sessões permitidas à este usuário, sem derrubar o "original".
e como e este certificado seu como vc o fez ou conseguiu e free?Citação:
Postado originalmente por Jfabiopd
Mas para dois macs não navegarem não precisa de certificado. O lance é quando um cara clona o mac.
prefiro usar pppoe, ja ouvi falar dessa chave mesmo, mais nunca testei.
Tem um tutorial no fórum que ajuda a criar um certificado próprio, a unica coisa é que vc tem que orientar seus clientes a aceitar o certificado, pois não é validade por uma certificadora válida, vou procurar e posto o link aqui, e sobre quando clonar o mac, se vc já começa utilizando o certificado é muito raro alguém conseguir snifar a rede e abrir a senha do usuário que tá encripitada, então o segundo mac, nao vai autenticar.
Edit:
Não amarro o ip ao cliente, e procuro sempre tar mudando os leases no dhcp, isso evita que a clonagem de IPxMAC seja sempre válida.
leases? não entendi o que é?Citação:
Postado originalmente por Jfabiopd
vc só muda o ip do cliente em leases, nao tem nada a aver o cara vai clonar o mac do mesmo geitoCitação:
Postado originalmente por claudinhohw
bom então e quase impossível evitar intrusos na rede? pois o que era mais seguro era o mac se clonam ele de qualquer modo que faça nunca sera segura, ou seja sempre terá alguém pra bular e invadir né?
se vc tem um pppoe que pede usuario e senha e ainda amarra no mac, e como muitos falaram acima deixar apenas uma autenticação, fica mais dificil, mais não é impossivel tbm clonar isso tudo. ja vi varios casos de clientes passarem usuario e senha para outros não clientes, e depois ligarem reclamando que estão sem net, e quando falo que o usuario deles está em uso ai muda a historia.Citação:
Postado originalmente por claudinhohw
mais com pppoe fica meio sem graça com o hotspot e bom que alem de fazer propaganda agente ainda pode cadastrar os clientes via chat e passar dados para deposito etc. tudo via chat hotspot como é o caso do que eu uso livezilla! bom com a galera msm sito acima o mais certo e fazer tudo que estiver ao nosso alcance para bloquear-los.Citação:
Postado originalmente por danilosceu
Interessante é fazer uma rede /30 o que impede sniffar e usar pppoe que passa os dados em um túnel criptografado. Mas nada impede alguém burlar..
é o pior é que os cara passa senha prós amigos ai o bicho pega! se não fosse por isso ai sim seria bem mais seguro pra gente colocar a senha e não falar pro cliente tbm ai vira um saco! o bom seria se existir um programa para instala no computador do cliente para ele fazer todo esse trabalho de proteção com uma senha para administrador e uma senha para usuário ai sim fica mais seguro...
desculpem se fala alguma besteira pois sou novo com redes wirelles :)
É verdade
aqui eu uso hotspot
apenas 1 conexao pro user
fixo o ip e o max no dhcp leases e no arp
fixo o ip e mac no user.
assim, aquele usuario so é valido para quem tiver o ip e o mac correto.
e pode conectar somente 1 usuario com esse user.
para completar e evitar que o login/senha, IPxMAC seja pego atraves de sniffer na rede... eu uso SSL no hotspot
e swtich com vlan
1 conexão??
Explique melhor isso...
ele quis dizer que somente um usuário com determinado MAC e IP poderá se conectar por vez caso outro usuário clone o MAC somente um dos dois conseguira....Citação:
Postado originalmente por nonoque
e isso msm mascaraapj?
Alguém pode me mandar esse e-cut por email. Tô afim de fazer uns testes aqui na minha rede e ver se esse programa consegue mesmo pegar os macs por aqui. Meu email é [email protected]
só conecta um usuario por ves, o mac dele só aceita uma autenticação
Anexo 15367
é netcut o nome acho que eu me confundi quando abri o topico
tem que ter o winpcap instalado
Testei aqui na prefeitura onde presto serviço e abriu todos os macs. Tenso cara!!
Mas além de clonar o mac o cara precisa do login do hotspot pois se não tiver o cookie na máquina acho que não entra. E sniffar não é tarefa para um leigo.
Tira esse arquivo aí.. rs
kkkkkkkkkkkkkkkkkkCitação:
Postado originalmente por nonoque
tem até video aula disso ai cara meu irmao de 14 anos a feis isso ai rodarCitação:
Postado originalmente por nonoque
É realmente muito fácil...
imagina o malandro se não vão fazer tbm kkkkkkCitação:
Postado originalmente por danilosceu
Pois é
coloca pppoe que isso não acontece. tudo resolvido.
ele gera uma mascara /32, nem broadcast tem.
e fazer cadastro de cliente pelo chat?
e o sinal?? me da até uma arrepio de pensar nas gambiarras.
É interessante lembrar que para o pppoe funcionar bem o nível de sinal deve estar bom. Se a rede não estiver redondinha o pppoe vira uma dor de cabeça.
realmente, ppoe e otimo e tal, mas s e a rede tiver latancia alta, ou perda de pacotes, fica um problema tremento, cliente ja detesta discador, imagia ter que discar 10 veces por hora???w
realmente ppoe em wireless, e uma faa de dois gumes, muito complicado, melhor pensar tres veces antes de implementear.
ja usei ppoe, mas acho hotspot melhor para wireless.
e min ha opiniao, basados em minhas experienrias, mas cada um tes sua convicçoes..
Citação:
Postado originalmente por nonoque
sim, isso mesmo.
um rede com IPxMACxHotspot somente... nao tem segurança.
uma vez que com sniffer o atacante podera pegar o IP, MAC... ate mesmo o usuario e senha.
como ja disse anteriormente, algumas tecnicas a mais podem garantir um pouco mais de seguranca.
como por exemplo:
rede /30 - dificulta o atacante de realizar um sniffer.
certificado SSL - dificulta o atacante de obter atraves da rede o usuario e senha de algum cliente.
User preso ao IPxMAC - dificulta o uso do login e senha por outra pessoa.
Shared user 1 - Permite 1 unica pessoa usar aquele login/senha, nao é possivel realizar login simultaneo.
Radio/Switch com Vlan - dificulta o compartilhamento e o sniffer na rede.
AP com WPA (individual ou conhecida somente pela empresa) - dificulta a conexao com a rede de pessoas desconhecidas.
Radio cliente com senha conhecida somente pela empresa - dificulta do cliente futricar e descobrir a senha de conexao com o AP
Essas as segurancas que uso aqui.
Citação:
Postado originalmente por claudinhohw
É interessante dificultar. Só não gosto muito de usar criptografia WPA ou WEP no sinal pois gera uma pequena perda de desempenho.
login simultaneo ja testado, /30 ja testado, ip ao mac ja testado, radio cliente com senha ja testado, nem umas dessas barra o programa, ssl nao testei e as outra tbm nao, uso pppoe mais quero descobrir como bloqueia essa merda de programa pois tenho varios parceiros que usam hotpsot ainda.Citação:
Postado originalmente por mascaraapj