Rapaz, o programinha é o bixo mesmo...
Versão Imprimível
Rapaz, o programinha é o bixo mesmo...
Vocês não conseguem perceber que isso é no protocolo TCP/IP?
Gente, peguem um DVD do Backtrack e vejam se não tem vários utilitários que conseguem entrar na rede de vocês rapidinho.
Agora, se tiver WPA2, tem que rodar um brute force.
Passada dessa fase, estando na rede, é só questão de protocolo. Se eu não respeito ele, posso fazer o que quiser. Pensem num spoof do gateway. Viram que 'acessar internet de graça' é um dos menores problemas?
concordo osmano, ja tive problemas gravissimos em minha propria rede com o sniffer cain e abel, o pessoal do forum ajudou bastante, porem o problema não é tando usar net gratis, mais sim como saber se defender desse programa, se o cara consegue scanear todos os macs da rede, imagina oque eele pode fazer!! nem vou falar para não abrir caminho para as coisas que podem acontecer se o camarada for bem instruido.Citação:
Postado originalmente por osmano807
Para bloquear o cain e abel vc pode criar a seguinte regra:
Código :
Que eu saiba, ele é um mero 'escutador', não trabalha em porta alguma.Citação:
Postado originalmente por nonoque
Alguém confirma pra mim? Faz tempo que não uso, tô mais brincando com o backtrack agora...
Legal
como ja disse, uma so ferramenta nao te dara seguranca.
com o SSL dificulta que o atacante consiga o loginXsenha do cliente.
sendo assim, mesmo que o atacante consiga o IPxMAC, ele nao consiguira navegar, ja que nao tem o loginXsenha.
outra ferramenta que acaba com todo esse problema, é o uso de radio e switch com vlan.
use isso que ninguem ira conseguir ver um outro na rede.
logo, nenhum atacante ira conseguir rodar um sniffer.
Citação:
Postado originalmente por danilosceu
Poderia salvar um export e fazer o upload das regras ao invés de postar como texto?
Humm, nem tanto, não sei o que o ssl na página faria com o cliente depois de logado... Não sei como o hotspot funciona direito, então não sei.Citação:
Postado originalmente por mascaraapj
Mas sniffer em rede com switch já fiz, e funcionou, fiz até spoof do gateway.
O ARP tem que passar por todo mundo no switch, o que já dá pra fazer isso.
É complicado, coisa do protocolo, creio que com o IPv6 isso vai parar um pouco (não é encriptado o pacote por padrão?)
sniffer com switch com vlan?
eu nunca consegui realizar essa façanha, como vc conseguiu?
Citação:
Postado originalmente por osmano807
Pensa comigo, o ARP tem que passar. Então eu faço um spoof do gateway, e pimba, tudo da rede passa por mim.Citação:
Postado originalmente por mascaraapj
Aí depende do sniffer se manda de volta para o servidor ou se manda pela rota default do seu pc.
(Ou eu posso ter sido enganado com a falsa promessa de vlan do switch do meu curso, humm)
O objetivo do ARP Spoofing é assumir o papel do gateway.
O atacante envia pacotes de broadcast a toda a rede avisando que o novo endereço MAC do ip xxx.xxx.xxx.xx (o endereço da máquina do atacante). Assim o atacante captura informações de tudo que trafega na rede que está sendo utilizada.
em um switch com vlan... a vlan é configurador para ser tratado na porta
vamos dar por exemplo um switch com 8 portas, servidor conectado na porta 1
qualquer porta encherga somente a porta 1... nenhuma outra porta encherga a outra.
como entao vc faria um arp spoffing?
ja que tecnicamente, o unico host que receberia os pacotes de broadcast seu seria o servidor...
Citação:
Postado originalmente por osmano807
Faz sentido, era pseudo vlan o switch que eu tava brincando.Citação:
Postado originalmente por mascaraapj
Bem, humm. De todo modo, ainda há um ponto crítico na rede, o servidor, se tudo vai passar por ele, deve ter como derrubar.
É isso, tem que pensar na rede inteira, internet grátis é a ponta do iceberg...
Aproveitando, vou enviar aos amigos algumas regras importantes de bloqueio de vírus.
Agradeçam por favor, foi muito tempo de pesquisa para chegar a esse resultado.
É só clicar na estrelinha.
Segue aí o arquivo -> Anexo 15431
na epoca isso ai nao ajudou em nada, o cain e abel tem varias formas de destruição, rsrsCitação:
Postado originalmente por nonoque
exatamenteCitação:
Postado originalmente por osmano807
Por esse motivo falei que tem que usar varias ferramentas, uma so nao dara seguranca.
com o uso de switch e radios com vlan, basicamente elimina esse problema de compartilhamento e sniffer.
porem, um tecnico que faz a manutencao desse cliente pode conseguir o IPxMAC do cliente.
mas ainda precisara do LOGINxSENHA.
com o uso de SSL com o hotspot, dificulta o atacante de obter o login e senha atraves da rede.
mas nada impede que o cliente forneça a senha tbm.
Com a junção do LOGINxSENHA ao IPxMAC forçamos o uso daquele LOGINxSENHA somente com aquele IPxMAC.
ai entra o shared user 1, somente um usuario podera se conectar com aquele LOGINxSENHA... dessa forma, caso o cliente forneça todos os dados, somente 1 podera se conectar de cada vez.
e para fechar com chave de ouro, a senha de conexao (WPA) e a senha de acesso ao setup do radio cliente (essas senhas devem ser conhecidas somente pela empresa), pois ai dificultamos que alguma pessoa nao autorizada acesse a rede, mesmo que tenha os dados de LOGINxSENHA, IPxMAC.
Citação:
Postado originalmente por osmano807
é.. o lance é dificultar o picareta
Acompanhando para tentar deixar mais segura minha rede.
exatamente.Citação:
Postado originalmente por nonoque
e acho que eu vou complicar um pouco mais ainda.
por enquanto, faço nat, forneço ao cliente um ip privado e fixo.
contudo, em breve estarei enviando ip valido, como nao terei ip suficiente para atender a todo mundo com ip valido fixo, terei que forneçe-los dinamicamente.
nesse caso, (mesmo que o cliente nao esteja autenticado) deixamos uma brecha para um atacante, na qual ele simula varias requisoes de IP... e facilmente poderia esgotar meus ips validos.
o que pensei para resolver isso foi o seguinte.
no hotspot tem uma a funcao nat 1:1
sendo assim, eu irei prender o user ao mac...
quando o usuario conectar na rede, ele recebe um ip privado classe A.
quando o usuario fazer o login, o hotspot automaticamente fornece o ip valido (faz o nat 1:1)
em um breve teste que realizei aqui, deu tudo certo.
porem, realizei o teste somente com ip privado.
conectei na rede, recebi um ip privado classe A (invalido para navegacao)
quando efetuei o login, o hotspot fez um nat 1:1 (recebi um ip privado classe C, valido para navegacao)
daqui a 15 dias estarei com ips suficiente para atender toda a rede, ai irei efetuar os novos testes e ver se vai funcionar com ip privado e valido.
Citação:
Postado originalmente por mascaraapj
a meu ver o PPPoE ja resolveria de uma vez todos esses problemas já que ele é criptografado e por usar mascara /32 já cria uma vlan amarrada por MACxIPxLOGINxSENHA.
e não existe broadcast no PPPoE
e aqui a senha de todos os radios só é conhecida pela empresa e o login e senha do PPPoE tambem.
so que sabemos que em wireless, para usar o ppoe... a rede tem que estar muito boa em relacao a latencia.
de qualquer forma, caso nao saiba, o ppoe tbm pode sofrer um sniffer... é mais dificil mas nao impossivel.
Citação:
Postado originalmente por rbginfo
bom concordo que de qualquer modo esta sugeita a isso, o nosso ramo sempre esta sugeito a isso e isso é uma das coisas que fazem esse ramo evoluir tão rapido e tornar as coisas obsoletas do dia para a noite.Citação:
Postado originalmente por mascaraapj
e com relação ao pppoe precisar de um sinal bom para funcionar eu não vejo como problema e sim como um padrao de qualidade, eu exijo que o sinal dos meus clientes estejam 100% para utilizarem a rede, isso evita varios problemas alem do pppoe.
sobre padrao de qualidade, somos dois entao.
tanto é que nem uso 2.4, exatamente por que com essa tecnologia nao se tem qualidade.
Citação:
Postado originalmente por rbginfo
bom como a minha cidade é pequena (apenas 40 mil habitantes em um espaço razoavel) eu posso me dar o luxo de poder usar 2.4 sem problemas, nunca tive problema algum pro conta de poluição RF, nem quando começei e usava antenas omni.Citação:
Postado originalmente por mascaraapj
hoje uso todos os paineis com pol. horizontal e acredito que falta muito tempo para eu precisar me preocupar com interferencia.
Um ataque interessante é por DDos. Se o link do atacante for maior que o seu é impossível se proteger.
Mas ai mudamos o assunto... começamos a falar sobre ataques, invasoes
e nao clone ou bloqueio de ferramenta para clone
Citação:
Postado originalmente por JorgeAldo
Concordo, disvirtuamos o assunto. Mas até o momento a melhor ideia que ví para isolar clientes numa rede foi segmentar em subredes e colocar os clientes em /30. Cada cliente teria um gateway. Mas não sei detalhadamente como fazer.
pelo que eu estou vendo não tem jeito ta todo mundo enrolado não existe proteção 100% e ponto final.
Por aí.Citação:
Postado originalmente por naldo864
Tem que ver se segmentar a rede em vários /30 funciona. Talvez sim, não sei, tem que testar direito. (mudando máscara, etc)
a questao é que muitos administradores configuram o idle e o keeplive com tempo alto... e o usuario ainda por cima dificilmente fecha a sesão...Citação:
Postado originalmente por osmano807
assim, aquela sesão continua aberta, bastando o camarada clonar o ip x mac.
o jeito nao é somente segmentar a rede... mas um conjunto de aplicacao.
uma rede bem configurada é praticamente impossivel o camarada conseguir o mac...
e mesmo que consiga de alguma forma (como ter dado manutencao na maquina da vitima), mesmo assim ele ainda precisaria do usuario e senha.
Se configurar o idle e keeplive com tamanho baixo (por exemplo: 5 min), mesmo que o cliente esqueça de finalizar a sesao... o camarada tera que clonar o ip x mac logo em seguida... pois se o camarada clonar o ip x mac depois da sesão ter sido finalizada, sera solicitado o user x senha.
Se fosse criado um protocolo proprietário o problema poderia ser resolvido. Quem for no MUM dê um toque no pessoal ca mikrotik pois isso é de interesse coletivo.
Só fazer engenharia reversa uai.Citação:
Postado originalmente por nonoque
A ideia não é fazer um protocolo proprietário, mas sim um protocolo com encriptação segura (AES por exemplo), ou de chave dupla (um ssh da vida), que mesmo todo o source aberto, não quebram.
Creio que isso é IPsec, não?
vc matou a charada
como assim
Em resumo, uma unica tecnologia nao garante segurança
o jeito é complicar mesmo.
Citação:
criptografia wp2, dificultando o acesso de pessoas nao autorizadas na rede
senha no AP, evitando que o usuario acesse o AP e bisbilhote ele, troque mac, etc.
"1 conexao por user" e user/senha preso ao ip x mac, evitando que o usuario/senha seja usado por outra pessoa.
AP cliente em modo ISP e recebendo IP /30, AP torre com a opcao isolocao ativada (se possivel, usar um switch com vlan para interligar os AP torre), com isso dificultamos que seja realizado um scann na rede ou que haja compartilhamento.
Apresenta aí pra gente.Citação:
Postado originalmente por JorgeAldo
Cliente recebendo IP/30Citação:
Postado originalmente por JorgeAldo
AP torre ativado isolação de cliente
Switch com vlan para interligar esses AP torre
sera que resolveria?
Ajuda muito.Citação:
Postado originalmente por mascaraapj
concordoCitação:
Postado originalmente por rbginfo
não vai falar né rsrsrsCitação:
Postado originalmente por JorgeAldo
verdade, isso resolveria alguns inconvenientes.Citação:
Postado originalmente por mascaraapj
nao testei isso ainda vou testarCitação:
Postado originalmente por Não Registrado(s)
post errado
unnn acho que entendi, tipo a chave ssh do mk, mais em servidor separado??Citação:
Postado originalmente por JorgeAldo
e isso não poderia ser feito se foce possivel aliar isso a um servidor radius??Citação:
Postado originalmente por JorgeAldo
algo do tipo que a autenticação pppoe foce gerada pelo login da chave ssh.
se foce possivel criar um autenticador dessa forma seria perfeito.
bom galera se nem um nem outro até gora deu resultado 100% satisfatórios, e muito se fala não teria uma solução para bloquear no proprio mk esse programa que fica tentando invadir o servidor ou clonar o mac. não seria o caso de criar um programa para ficar no hd de cada cliente com uma key individual como é o caso do mk? eu sofro ataque no meu servidor quase que 24horas por algumas portas o log do meu mk fica vermelho de cima em baixo com nome e senhas que falharam acho até engraçado tem hora!
eu tenho um script no meu mk que faz ele desliga todo dia as 3:30 da manhã isso já dificulta um pouco para os fedepe que temtam invadir pois o mk reiniciando o programa deles creio que começa do zero novamente pois comparei alguns logs os nomes tentados são os msm! por favor me corrijam se eu estiver errado! só que não dá pra ficar reiniciando o mk durante o dia quando o trafego e intenso... gostaria das opiniões!
Sobre ataque DDoS não conheço ainda bloqueio para ele eficiente. Quanto a idéia do SSH achei interessante. Se o amigo compartilhasse o desenvolvimento do programa quem sabe poderia ter ajuda e terminar mais rápido.
bom eu acredito que ficar reiniciando ajuda por esse ponto de zerar as tentativas...
mais não tem como ficar desligando o servidor... existem muitos clientes que botam arquivos grandes para baixar anoite, e a meu ver o uptime da rede é muito importante e mostra confiabilidade, e isso tambem zera o uptime da rede.
com relação ao sistema de autenticação do nosso amigo eu tambem fiquei muito intereçado e tambem me disponho a ajudar, não precisa abrir totalmente o projeto mas nos passar partes mais massivas e complexas para que possamos ajudar.
acredito que com uma forma de segurança dessa seria um passo importante nas nossas redes, principalmente com o surgimento de tecnologias que dispoe a venda de velocidades mais altas para os clientes, aposto que essas tentativas de ataque vão aumentar exponencialmente.
É isso aí gente. Vamos nos unir e criar uma solução. À propósito, novamente, quem vai no MUM em Salvador pegue no pé do povo da Mikrotik por uma solução.
Teria que ser como? Rodaria com o Captive portal em uma máquina separada?