pra nao constar nas tags de pesquisas de qualquer ferramenta de busca peço que delete tambem estas citações feitas por ti pois consta todo texto do manifesto lembrando que eu deletei os mesmo, me desculpe de coração e ate alguma oportunidade.
Versão Imprimível
pra nao constar nas tags de pesquisas de qualquer ferramenta de busca peço que delete tambem estas citações feitas por ti pois consta todo texto do manifesto lembrando que eu deletei os mesmo, me desculpe de coração e ate alguma oportunidade.
Citação:
Postado originalmente por jbssi
ola! jbssi, fiz aluguns testes aqui e nao consegue navegar mesmo depois de clonar o mac ele nao gerou o mesmo ip como antes fazia e clonei o ip depois igual ao do mac que estava navegando e nao deu nem tela de hotspot, agora vou testar clonando MAC-IP-NOME DA MAQUINA pra ver se navega de ante-mao obrigado ai pela dica foi muito produtiva, entao vou fazer os teste e posto novamente.
obrigado
eh! no deu tem falhas e se pode navegar ainda, mas valu! vamos continuar tentando.
obrigado
pergunto se eu uso hotspot com ssl + login + senha + mac + ip como alguem pode usar minha rede sem ser com o meu proprio infeliz cliente passando os seus dados a outros.....
pode.. basta clonar o ip e o mac
é mais ai o cara tem que saber o login e senha, e só tem dois meios de saber ou cliente passa ou ele com um sniffer descobre, mais se estiver sendo usado ssl acho dificil ele descobrir já que ssl é um protocolo considerado seguro, por prova alguns bancos, grandes lojas virtuais e etc utilizam somente ele como proteção....Citação:
Postado originalmente por alexandrecorrea
Citação:
Postado originalmente por pedrovigia
Citação:
Postado originalmente por pedrovigia
Meu caro, como o Alexandre postou, se o usuário já realizou sua autenticação, já era! só clonar MAC+IP... simples assim. Não tem mais conversa.
Se usar SSL, o que irá autenticar? O cliente? ou o cliente que autenticará seu hotspot? Normalmente se utiliza certificados para trocar as chaves de autenticação e prover WPA2.
nao precisa saber login e senha nao.. basta o seu cliente ter logado.. e a sessao estabelecida.. ai o atacante clona mac e ip.. e consegue navegar.. porque para o servidor (seja linux ou mikrotik ou qualquer outro sistema) vai estar chegando ip com mac iguais...
qualquer sistema que nao tenha um tunelamento tipo vpn, pppoe, pptp, eoip.. esta sujeito a isso..
se nao fosse este problema.. eu estaria com hotspot na rede aqui ateh hoje.. migrei tudo para pppoe.. nao arrependo... controle eh mais facil.. tudo centralizado.. configuracao eh bem minima.. no cliente basta estar conectado no wireless e mandar discar.. nao precisa colocar ip.. etc etc...
certo com o cliente autenticado, mais ai o pirata precisa usar o mesmo ip que o cliente esta usando, pergunto pode dois ip's iguais na mesma rede ao mesmo tempo?
poder nao pode.. mas funciona...
nao vai dar conflito pq o mac e ip sao os mesmos... o que acontece eh nao ficar boa a navegação.. mas dai.. o seu cliente provavelmente desliga o pc.. dai o atacante fica online :P
Citação:
Postado originalmente por pedrovigia
Agora chegou no ponto... esse é o conceito do hotspot... o tal de Universal Client... uma "gambi" que fizeram para que tudo funcione, independente da configuração do cliente.
Citação:
Postado originalmente por sergio
Sergão, quem sou eu para duvidar. Estou aqui aprendendo com vocês.
Mas me lembrei de uma coisa escrita naquela apresentação do Maia que você postou, sobre segurança.
Analisa os pontos fracos de cada sistema, seja ppoe ou hotspot
Lá na pag 66 ele tira algumas conclusões.
E conclui que os dois sistemas tem suas vantagens como administração e controle da rede.
Mas que não dispensam uma boa criptografia.
Como eu pessoalmente gosto do hotspot, estou lendo e relendo aquela matéria para colocar em prática.
Nesta apresentação fala também disso que você e o Alexandre estão dizendo, que navega sim e explica porque.
É como voces dizem e o Maia confirma: Controle de mac x ip x usuário x senha não garante
segurança. Mas é o que a maioria faz, pensando que está seguro.
Citação:
Postado originalmente por 1929
amigo uma vez que um cliente seu se conectou via hotspot exemplo:
IP 192.168.0.2
mac: 00:01:02:03:04:05:06
usuario: joao
senha: mk
entao ele esta conectado com as informaçoes acima
A outra pessoa que quer conectar de graça a sua internet, é simples ele pega e clonar o mac da placa de rede do seu cliente ex.: "00:01:02:03:04:05:06" e coloca o mesmo ip do cliente conectado na placa de rede dele ex.: "192.168.0.2" ai pronto já esta funcionando.
e para clonar mac não precisa de programa nenhum você pode fazer isto no proprio windows veja como fazer a imagen em anexo
E depois que o cookie do cara expirar? O atacando vai ter que esperar o cara logar denovo?
é isso 1929. Entendeu o espírito da coisa. Tanto que venho dizendo isso aqui no forum e em outros que participo há muitoooo tempo.Citação:
Postado originalmente por 1929
Não adianta... segurança é segurança, não tem meio termo. O grande problema é largar mão das "facilidades".
Agora um detalhe, que ocorreu na rede de um conhecido: não adianta configurar WPA2, pppoe, e tudo o mais e deixar o básico do básico padrão... Configuraram WPA2, autenticação, sistema para gerar a cripto e senha automaticamente (os operadores nem precisam conhece-las) e esqueceram todos os clientes (transceptores Ovislink/Zinwell) com a senha padrão do root e do usuário web.
ai lasca...
hehehheheehe
Citação:
Postado originalmente por lipeiori
Sim, ou pegar outro mac ativo e clonar...hehehehe
hehehe, pra quem ja capturou um, pegar outro fica facil.Citação:
Postado originalmente por sergio
Exatamente, e é isso que na apresentação do Maia, que o Sérgio postou, também confirma. E como disse o Sérgio , o Maia é uma das autoridades em MK.Citação:
Postado originalmente por edielsonps
E esta questão de segurança hoje é mais importante ainda pelos aspectos legais. Tu já imaginou um pedófilo invadindo a rede e colocando em xeque a identidade de um assinante do provedor? Se for rastreado e aí, como fica a coisa?
Realmente segurança nunca é demais.
ola amigos acho que aqui esta a soluçao desse plobema de mac clonados...
Certificado SSL no hotspot :hello:
nao resolve !! mesmo usando SSL.. o ssl somente vai evitar que capturem a senha de autenticação..
dps que alguem logar.. qq pessoa q clonar o mac e o ip.. vai conseguir navegar..
PPPoE resolve esse problema?Citação:
Postado originalmente por alexandrecorrea
Pretendo usar portal cativo para divulgação numa rede (duas redes numa placa) e pppoe conectado em outra rede.
Grato.
Página 41 do material que Sérgio postou tem o método que eu pensei em usar aqui, só não sabia ser possível e prático (ou então tô muito enganado). Seria o uso de pppoe + usuário e senha + certificado para fechar a conexão. Talvez isso com uso de concessão dinâmica de ip numa faixa grande (mascara/16) pelo pppoe-server + radius torne miserável a vida dos invasores.
entre o cliente e o gateway deve ser fechado um tunel.. pppoe com mpppe ... fica seguro..
Você poderia me indicar algum material sobre como implementar isso no Linux? Tenho pppoe funcionando já.Citação:
Postado originalmente por alexandrecorrea
poderia comentar este topico pra mim alexandre,Citação:
Postado originalmente por alexandrecorrea
o que é o correto quanto acesso com certificado ssl
no link: Certificado SSL no hotspot - Página 10
obrigado.
o Alexandre comentou sobre MPPE pessoal. Sim, é bom, simples, não "pesa" tanto no lado servidor, massss....
quem usa por exemplo os radinhos de plástico (azul, branco ou prata), seja com firm original ou Linux adaptado terá problemas, pois normalmente não estão com suporte a MPPE ativo.
ola amigos, recente coloquei uma radio em um cliente! estava eu fazendo um teste de clonagem de mac e nao consegui navegar, se eu clonar o mac de um cliente com placa pci ou usb consigo navegar beleza, por que com radio nao passa alguem tem um explicaçao logica? alguem ja fez esse teste? firmware do radio do cliente e wap pro.
vc nao clonou o mac errado? o radio geralmente tem 3 macs diferentes..
fiquei na duvida quando voce me perguntou, mas acabei de conferir agora com aquele progama chager mac, e isso mesmo. clonei o mac certo!!! versao do meu mikrotik 2.9.27.Citação:
Postado originalmente por fernandofiorentinn
Não amigo, clona mac + ip é como falsidade ideológica. É como se o gatonet fosse o próprio cliente. Independente de cripto pra login/senha.
Abraços
Bem gente pra resolver o problema da navegação sem autenticação é wap2, testei e posso garantir que funciona bem, aquele negócio de clonar, mac e ip e navegar sem saber a senha não dá;
Também estão dizendo que na versão 3.XX dois macs não conseguem se associar simultaneamente ao ap (ou seja o original ou entaum o clone, nunca os dois);
agora o de clonar e navegar quando o cliente não está navegando, acho que só com ap no cliente;
Li toda a apresentação do Maya que o Ségio postou, mas sempre depara com o mesmo problema:
as chaves pré estão disponíveis no registro do windows.
Entaum penso que a solução mais plausível seriamos achar uma forma de criar um software que interagisse com o servidor, como um serviço que rodaria no windows e de tempos em tempos confirmasse a autenticidade do usuário, caso essa não fosse validada o sistema derrubaria a conexão;
Também andei pensando.... E aquela autenticação que os bancos usam, só computador identificado consegue ter acesso a conta, como funciona? Me parece que talvez seja interessante criar um captive portal onde um sistema em java consiga enviar informacoes do computador para que esse possa logar.
o Zeroshell tem um sistema parecido, usa um certificado ssl com base no hardware do cliente, porem é um firewall bem limitado..
E se o cliente tiver o java desatualizado (como muitos, nem sabem o que é isso)? E se ele desabilitar o java com medo de que você saiba que placa de vídeo, memória, processador ele tem?
Sobre o programa, alguma coisa tipo vpn, que conectaria só com uma senha no cliente (gerada automaticamente pelo serial do hd+processador)
algo tipo vpn, acho ruim, já existe esse tipo de solucão, mas quando o cliente tem uma rede necessita de servidor windows, com é o caso do hostcert.Citação:
Postado originalmente por osmano807
tava vendo aki, sobre o zeroshell, achei interessante, se testou, dê mais detalhes fernando.Citação:
Postado originalmente por fernandofiorentinn
Acredito que EAP resolve, infelizmente não testei ainda.Citação:
Postado originalmente por JHONNE
cara existe uma forma de dificultar clonagem de mac e ip
e vc colocar controle de mac nos aps
tipo assim cliente ki ta na setorial A nao conecta na B nen na C e assim por diante
se fisser isso com certeza vai diminuir e muito
aki quase todos os problema foram sanados usando controle de mac reduçao de 95%
já testei sim, porém é muito cheio de bugs tem muito que evoluir ainda, ele roda direto do cd, mas tem uma forma de instalar no hd, as configurações ele só segura se salvar em um pendrive, o captive portal dele tmb é cheio de bugs, uma hora funciona outras nao, mas no caso do certificado é bem interessante, quando o cliente conecta a primeira vez ele gera o certificado que fica salvo no servidor e atrelado ao ip e mac do cliente, caso o mac seja clonado é gerado outro certificado , porém nao navega prq o primeiro certificado tem que ser revogado no servidor.Citação:
Postado originalmente por JHONNE
cara essa do certificado seria uma mão na roda, vou fazer testes com essa distro.Citação:
Postado originalmente por fernandofiorentinn
colocar software na maquina do cliente eh complicado.. alem de dar manutenção em excesso.. cliente formata computador direto... e em uma rede com N computadores ? e se o servidor do cara for um UNIX... hehe tem isso tambem..
o lauro da hostcert tem isso funcionando.. o software dele eh show.. seguro...
Eh, Alexandre conheço o hostcert, mas o problema dele são as redes, vc precisar ter um gateway windows para sua rede interna, aí realmente é complicado.Citação:
Postado originalmente por alexandrecorrea
Essa do certificado é maneiro porque imagino eu ele seja instaldo via browser como acontece com os dos bancos
gateway eh linux
Amigos,
Creio que isso não seja um bicho de sete cabeças, alguem ai conhece de programação?
Penso no seguinte, um software que o cliente instalasse na maquina dele esse software iria coletar os dados da maquina e gerar um serial (baseado em hd, mb essas coisas). esse mesmo software conectaria em uma base de dados no servidor por ssh ou telnet que validaria ou não esse serial.
É preciso melhorar a ideia e consultar alquem que saiba programar pra ver a viabilidade do sistema.
Abraço
Citação:
Postado originalmente por aleksei
O problema é que tem clientes que precisam rodar varias maquinas tenho aqui clientes com 6 micros outros com 4 e varios clientes residenciais com 2 micros em casa ai distribuir varios users pra eles e barra.
abraços
Mas ai você usa AP certo?Citação:
Postado originalmente por jeanfrank
Creio que no caso de utilizar Ap não entraria o problema.
Pois o Ap você tem acesso direto e pode configurar a criptografia como quiser.
Talvez ate dé pra fazer alguma coisa no ap, mas ai já complica.
Vamos pensar mais um pouco e gerar ideias, depois procuramos saber da viabilidade. Quem sabe conseguimos algo bom.
Sobre a rede, o pc-servidor dela vai fazer nat, então não precisa de instalar o programa em todos os pc's.Citação:
Postado originalmente por rogeriosims
Esse negócia de autenticação seria muito bom, tipo, se não for válida a chave, com iptables, bloquear o pc. Tem que ser solução baseada em C/C++ (nada de C#), pois ainda existem pessoas que não usam windows.
Vamos ver, precisaríamos de fazer conexão via ssh com o servidor, enviaria a chave do cliente via um comando (tipo validar_cliente ID-CLIENTE HARDWARE-ID), e depois se não batesse a informação, desconectasse o pc. Se tudo estiver certo, adicionasse uma regra no iptables para adicionar o pc a rede.
Acho que é fácil :stickyman:...
SSH da linha de comando (putty)
http://e-articles.info/e/a/title/Cre...e-using-PuTTY/
Pegando o serial do HD (VC++)
http://www.codeguru.com/Cpp/W-P/syst...icle.php/c2815
Pegando todas as informações do PC (Processador, etc)
http://www.codeproject.com/KB/system...formation.aspx
(eu não tenho o VC++, por isso não testo, mas depois vou ver se baixo a versão express [eu uso cygwin + gcc])
Creio que pppoe seja mais seguro, porque nele vc pode usar MSCHAPv2 (da microsoft, nao sei se possui para linux) com criptografia MPPE, criptografia MPPE de chave de 128 bits (alta segurança) e de chave de 40 bits (padrão). Mas se o computador do cliente nao for mto bom vai sentir uma certa lentidao e vai pesar no servidor tbm (pois como o alexandre me disse para os radios sao pacotes normais, quem tem mais trabalho é o servidor e o pc do cliente)... bom, pelo menos foi o que eu notei aki com testes no servidor FreeRADIUS. nao sei se vou implementar mas ta ai a dica.
Alias achei o HostCERT mto interessante, agora temos q ver o desempenho
abraços
amigo, isso o hostcert ja faz, mas tem essa de ter que instalar programa extra no cliente como nosso amigo alexandre disse "e se o cliente formata a maquina?" e se o cliente que usar um notebook alem do pc ja conectado? entao eu imagino que a solução pode ser feita diretamente em um conjunto de configurações no proprio mikrotik mas como? e quais combinações de configurações sem a nescessidade de uma instalação direta no cliente o que poderia ocasionar dor de cabeça para as redes, manutenção e até chateação do cliente ao ponto dele se dispersar para o concorrente por ter que ficar abrindo chamado, pois o cliente so quer ligar o pc e no maximo logar para navegar e mais nada se ele sentir que esta muito dificil ele desiste logo, isso é a realidade.Citação:
Postado originalmente por rogeriosims
obrigado
este foi um topico em um outro post meu aqui leiam e tentem nos ajudar.
obrigado!
===================================================
Boa noite unders de plantao!
eh o seguinte, apesar das configurações colocadas atraves de ideia minha aqui em um post, ainda continuo usando e com certificado ssl implementado, e ao refazer os testes aqui notei que consegui abrir paginas mas com mac que por ventura eu ja tinha em maos e navegando com alguma dificuldade (eu nao queria se fosse um clonador de mac ficar quebrando cabeça em uma rede com dificuldade de navegação!), blz, entao fiz uma avaliação e vi que quem nao possui mão de mac's da minha rede e vai aventurar levantar um mac scan pela primeira vez nesta rede, como foi dito o safado so recebera o mac dele mesmo e o do gateway da rede (o que teriamos de camufla-lo ou ate mesmo esconde-lo quem souber posta ai seja regra firewall ou outro meio), entao, ai continuando minhas ideias malucas.
configurei um ap edimax em bridge com wap2 e chave extensa onde o ap so ficaria ali pra autenticar a passagem pra internet apos cliente logar no hotspot em vez de colocar a tal chave wap2 no ponto de acesso externo o que bloquearia o hotspot para o publico e nao seria o ideal aqui. este ap edimax implementei ele entre o modem que esta em bridge e o mk (quem disca ppp0e é o mk), entao a rede tava ficando assim:
o cliente ligaria o pc, antes de logar pediria confirmação do certificado ja instalado na maquina sim ou nao (quem fez o teste sabe do que estou falando) entao ele logaria no hotspot com seu user e senha (o intuito aqui e manter o hotspot hein!) e antes do mk liberar ele pra fora na internet ele passaria por dentro do ap edimax com wap2 que esta ali so pra barrar-lo com autenticação wap2, ele iria digitar a chave somente uma vez a nao se que venha formatar a maquina um dia ai teria que digitar tal chave novamente (ou nos iriamos digitar para que ele nao tentasse passar para alguem) apesar que se explicassemos que ele e quem correria riscos passando tal chave pra alguem ele ate nem o faria.
mas ai que vem o problema, vi que o ap em bridge a conexao passa direto pra internet e nem pede a tal chave o que poderia ter feito? sera que o ap tem que ser um gateway? e como fariamos para redirecionar no firewall do mk para a criptografia do ap? como ficaria a regra?
entao so precisamos juntar e ver como fica isso e ai o malandro so chegaria ate o hotspot pois na hora boa de navegar ele teria que passar uns bons dias da vida dele tentando quebrar a chave pra ver a telinha do google.
ajudemo-nos e verás o quanto somos fortes!
obrigado e boa madrugada!
==================================================
o link: JUNTANDO FORÇAS PARA DESCOBERTA INEDITA CONTRA NAVEGAÇÃO A BASE DE CLONAGEM DE IP - Página 7
cheguei a indentificar dois clonadores de mac na minha rede com hotspot, resolvi o problema ativando a chave wep 128bits do ap router, apesar de nao ser tao boa quanto a wpa2, mas por causa de umas placa pci nao ter o progama para a wpa2, e escondi a faixa de ip da rede, so sendo visivel para os clientes cadastrados no dhcp,ficou muito bom.:dancing2:
como escondeu a faixa de ip da rede desativou o dhcp? se nao como foi que fez para esconder tal faixa para o publico sem eles deixar de acessar a tela do seu hotspot? ou vc nao usa hotspot?Citação:
Postado originalmente por kfdigital
obrigado