Juntando forças para descoberta inedita contra navegação a base de clonagem de IP

ALGUEM TIVER IDEIA DO COMO FAZER O QUE VOU DIZER AQUI DIGA E VAMOS VER NO QUE DA.
A PERGUNTA PARA OS INTERESSADOS NO ASSUNTO É A SEGUINTE:
juntando informações adquiridas aqui no forum em livros e experiência, sabemos que o MAC e DHCP são fatores impressindivel para a navegação tanto em rede cabeada como em rede wireless e qualquer outra que use a infraestrutura. entao quem ja usa hotspot sabe que para estabilizar uma conexao antes do login o cliente primeiro recebe um ip gerado pelo SERVIDOR DHCP certo?IP>DHCP, e apos logar o cliente recebe outro ip do hotspot gerado pelo pool em IP>POOL>USED ADDRESS onde e armazenado ip's como no lease do servidor dhcp certo?
Quando o malandro clona um mac o ip vem de brinde certo?
E quem da este ip de brinde é o servidor dhcp sendo o ip ele consegue enxergar na hora da clonagem certo?
E é este o ip que da caminho para internet e nao o ip do pool correto?
Pois eu fiz os testes e a clonagem e navegação e baseada no ip do servidor dhcp gerado pelo pool apos o cliente logar.
A PERGUNTA QUE NAO QUER CALAR E A SEGUINTE:
como e que ele nao consegue ver o ip do pool?
como podemos fazer com que ele veja o ip do pool e não o do servidor dhcp?

pois se conseguissemos enviar o ip do pool ele nao conseguiria navegar pois o cliente estaria ativo em outro ip.
ou como poderiamos criar um seguimento tipo 192.168.1.1 para o pool e 192.168.2.1 para depois fazermos o redirecionamento para o seguimento do ip do servidor dhcp fazendo ele se confundir e nao consegui navegar pois ele estaria tentando o seguimento 192.168.1.1 que vai para o hotspot depois de logar e nao veria o ip do dhcp, se alguem nao entendeu me diga que reformulo a ideia.
obrigado
VAMOS JUNTAR FORÇAS PARA ESTE RESULTADO

Bom, pode ser feito um servidor dhcp de "mentira", que mandasse um ip qualquer, mas os usuários teriam ip fixo já colocado na interface. Bom, resolveria o problema de uns espertinhos que não conseguem descobrir os ips reais na rede.
Utilizar dhcp ipv6 poderia também, pois o ip é gerado a partir do MAC do cliente, e assim acho que não irá dar certo 2 ipv6 iguais.

Boa noite!
É o seguinte.

Eu sempre digo que a informática é uma lógica perfeita, é como o corpo humano.
Estava aqui pensando e veio umas idéias doidas na cabeça e veja no que deu.

Isto aqui é baseado em Mikrotik com hotspot e pode fazer as alterações com a rede oficial de seus clientes pois só assim obtive o resultado esperado e não atrapalhou em nada na navegação deles.

Da forma que esta configurado suas maquinas em router ou em bridge com certeza o mk direciona 2 ip's para que o cliente navegue, 1 quando liga a máquina e o outro quando loga no mk correto?
-Certo, então vai em IP>DHCP>Networks e coloque a mascara (Netmask) em 30 e de ok.
-Vá na aba Leases e delete todas leases criada pra vc ver depois o que vai acontecer, mas não pare aqui continue até o final.
-Vá em IP>POOL>Pools clique 2x na linha que contém um símbolo amarelo em formato de cruz, e na caixa que aparecer altere "Next Pool" para (Pool dhcp) ou seja o mesmo nome que foi dado ao pool do dhcp que gera ip para o cliente no hotspot após ter logado e é esse que temos que fazer o cliente usar pois o do servidor dhcp é que é usado pelos clonadores. veja a idéia no inicio deste tópico.

Agora como eu fiz, faça você também, baixe o a-mac e o Colasoft MAC scanner pois usei os dois para ver se ia dar muita diferença entre outros tipos de scanner's, agora faça ele scanear a rede que foi reconfigurada agora pouco, AQUI O RESULTADO FOI O SEGUINTE: só pescou o IP e MAC do servidor e do próprio pc que estava varrendo a rede, se foi isso que aconteceu ai também isso é ponto pra lógica na informática pois como o /30 não deixa o cliente enxergar o outro na rede ele barra os scanner's também certo? e setando o pool pra ele proprio evita que o cliente fique recebendo ip do servidor dhcp, não to dizendo que o servidor dhcp não vai mais trabalhar estou dizendo que o ip liberado para conectar teria que ser o mesmo para logar no hotspot assim evitando a garupa do malandro no segundo ip que teria que vir somente do servidor dhcp e que é o que os scanner consegue enxergar, se estiver errado me corrijam, então até aqui matamos dois coelhos com uma paulada só, inibimos os ip's de clientes para os scanner's na rede e forçamos a inibição de compartilhamento involuntário de pastas e arquivos na rede.

Agora vem o melhor, vai lá como vc sabe fazer e clone qualquer cliente da sua rede e tente navegar................e ai..................nada?..................tente esperar mais um pouco.................e agora................. Se esse foi o resultado ai, aqui também, então, BINGOO! acho que estamos no caminho certo acho que pode precisar de uma regra pro firewall se tiver alguem que manja de inventar regra ai já sabe né?por enquanto nenhuma adaptação extra a rede, é só lógica. Depois dessa acho que ainda dá pra implementar um SSL que um amigo nosso postou aqui no under e evitará que o malandro bata um sniff na sua rede pra roubar senha no hotspot mas se ele não conseguir navegar por clonagem o que que ele vai fazer com senha roubada né?

GENTE DESCULPE A IMPOLGAÇÃO AI MAIS SE ME PESQUISAREM AQUI NO FORUM NÃO TENHO MUITOS POST'S MAIS JÁ CORRI ATRÁS DE MUITAS SOLUÇÕES COMO ESTA, JÁ TENTEI AJUDAR MUITOS PORAQUI E ESPERO QUE ESTÁS IDÉIAS SIRVA PRA TODOS QUE ESTÃO NESTA LUTA AQUI NO FORUM, QUEM ENCONTRAR O PRIMEIRO BUG AI NA CONFIGURAÇÃO POSTA AI PRA PODERMOS MELHORA-LA.
OBRIGADO E BOA MADRUGADA! RSRSRS

Citação:

---

Postado originalmente por underwanderson

ALGUEM TIVER IDEIA DO COMO FAZER O QUE VOU DIZER AQUI DIGA E VAMOS VER NO QUE DA.
A PERGUNTA PARA OS INTERESSADOS NO ASSUNTO É A SEGUINTE:
juntando informações adquiridas aqui no forum em livros e experiência, sabemos que o MAC e DHCP são fatores impressindivel para a navegação tanto em rede cabeada como em rede wireless e qualquer outra que use a infraestrutura. entao quem ja usa hotspot sabe que para estabilizar uma conexao antes do login o cliente primeiro recebe um ip gerado pelo SERVIDOR DHCP certo?IP>DHCP, e apos logar o cliente recebe outro ip do hotspot gerado pelo pool em IP>POOL>USED ADDRESS onde e armazenado ip's como no lease do servidor dhcp certo?
Quando o malandro clona um mac o ip vem de brinde certo?
E quem da este ip de brinde é o servidor dhcp sendo o ip ele consegue enxergar na hora da clonagem certo?
E é este o ip que da caminho para internet e nao o ip do pool correto?
Pois eu fiz os testes e a clonagem e navegação e baseada no ip do servidor dhcp gerado pelo pool apos o cliente logar.
A PERGUNTA QUE NAO QUER CALAR E A SEGUINTE:
como e que ele nao consegue ver o ip do pool?
como podemos fazer com que ele veja o ip do pool e não o do servidor dhcp?

pois se conseguissemos enviar o ip do pool ele nao conseguiria navegar pois o cliente estaria ativo em outro ip.
ou como poderiamos criar um seguimento tipo 192.168.1.1 para o pool e 192.168.2.1 para depois fazermos o redirecionamento para o seguimento do ip do servidor dhcp fazendo ele se confundir e nao consegui navegar pois ele estaria tentando o seguimento 192.168.1.1 que vai para o hotspot depois de logar e nao veria o ip do dhcp, se alguem nao entendeu me diga que reformulo a ideia.
obrigado
VAMOS JUNTAR FORÇAS PARA ESTE RESULTADO

---

,Certificado SSL, leia em hotspot, tem muito material sobre o assunto.

Citação:

---

Postado originalmente por underwanderson

Boa noite!
É o seguinte.

Eu sempre digo que a informática é uma lógica perfeita, é como o corpo humano.
Estava aqui pensando e veio umas idéias doidas na cabeça e veja no que deu.

Isto aqui é baseado em Mikrotik com hotspot e pode fazer as alterações com a rede oficial de seus clientes pois só assim obtive o resultado esperado e não atrapalhou em nada na navegação deles.

Da forma que esta configurado suas maquinas em router ou em bridge com certeza o mk direciona 2 ip's para que o cliente navegue, 1 quando liga a máquina e o outro quando loga no mk correto?
-Certo, então vai em IP>DHCP>Networks e coloque a mascara (Netmask) em 30 e de ok.
-Vá na aba Leases e delete todas leases criada pra vc ver depois o que vai acontecer, mas não pare aqui continue até o final.
-Vá em IP>POOL>Pools clique 2x na linha que contém um símbolo amarelo em formato de cruz, e na caixa que aparecer altere "Next Pool" para (Pool dhcp) ou seja o mesmo nome que foi dado ao pool do dhcp que gera ip para o cliente no hotspot após ter logado e é esse que temos que fazer o cliente usar pois o do servidor dhcp é que é usado pelos clonadores. veja a idéia no inicio deste tópico.

Agora como eu fiz, faça você também, baixe o a-mac e o Colasoft MAC scanner pois usei os dois para ver se ia dar muita diferença entre outros tipos de scanner's, agora faça ele scanear a rede que foi reconfigurada agora pouco, AQUI O RESULTADO FOI O SEGUINTE: só pescou o IP e MAC do servidor e do próprio pc que estava varrendo a rede, se foi isso que aconteceu ai também isso é ponto pra lógica na informática pois como o /30 não deixa o cliente enxergar o outro na rede ele barra os scanner's também certo? e setando o pool pra ele proprio evita que o cliente fique recebendo ip do servidor dhcp, não to dizendo que o servidor dhcp não vai mais trabalhar estou dizendo que o ip liberado para conectar teria que ser o mesmo para logar no hotspot assim evitando a garupa do malandro no segundo ip que teria que vir somente do servidor dhcp e que é o que os scanner consegue enxergar, se estiver errado me corrijam, então até aqui matamos dois coelhos com uma paulada só, inibimos os ip's de clientes para os scanner's na rede e forçamos a inibição de compartilhamento involuntário de pastas e arquivos na rede.

Agora vem o melhor, vai lá como vc sabe fazer e clone qualquer cliente da sua rede e tente navegar................e ai..................nada?..................tente outro mac.................e agora.................não tem jeito né? desiste e vai trabalhar, arrumar mais clientes rsrsrs.
Se esse foi o resultado ai, aqui também, então, BINGOO! acho que é isso, não precisou de regra no firewall e por enquanto nenhuma adaptação extra a rede, é só lógica. Depois dessa acho que ainda dá pra implementar um SSL que um amigo nosso postou aqui no under e evitará que o malandro bata um sniff na sua rede pra roubar senha no hotspot mas se ele não conseguir navegar por clonagem o que que ele vai fazer com senha roubada né?

GENTE DESCULPE A IMPOLGAÇÃO AI MAIS SE ME PESQUISAREM AQUI NO FORUM NÃO TENHO MUITOS POST'S MAIS JÁ CORRI ATRÁS DE MUITAS SOLUÇÕES COMO ESTA, JÁ TENTEI AJUDAR MUITOS PORAQUI E ESPERO QUE ESTÁS IDÉIAS SIRVA PRA TODOS QUE ESTÃO NESTA LUTA AQUI NO FORUM, QUEM ENCONTRAR O PRIMEIRO BUG AI NA CONFIGURAÇÃO POSTA AI PRA PODERMOS MELHORA-LA.
OBRIGADO E BOA MADRUGADA! RSRSRS

---

Não sei o que pode ser mas mesmo com muita dificuldade consegui abrir a pagina do google aqui, e notei também quando o malandro clonar o mac o clonado vai ficar caindo o mk não vai deixar os dois ativos, se alguém tiver alguma idéia ai nos ajude, uma regra no firewall que avalize essa configuração não sei se consigo mais idéias, vejam ai e postem aqui.
obrigado
e boa madrugada

Citação:

---

Postado originalmente por underwanderson

Não sei o que pode ser mas mesmo com muita dificuldade consegui abrir a pagina do google aqui, e notei também quando o malandro clonar o mac o clonado vai ficar caindo o mk não vai deixar os dois ativos, se alguém tiver alguma idéia ai nos ajude, uma regra no firewall que avalize essa configuração não sei se consigo mais idéias, vejam ai e postem aqui.
obrigado
e boa madrugada

---

coloquei o certificado ssl e desmarquei somente a função HTTP CHAP e mantive MAC e Cookie e é claro HTTPS marcados e vamos ver o que da, com a colocação so certificado SSL as vezes em vez e com muita demora em vez de cair na navegação cai na tela de login do hotspot devido a solicitação de aceitação do certificado.
até mais, olha a hora!

Certificado SSL não constrage em nada clonagem;

algumas medidas para constrager, veja o tópico:PPPoe / Hotspot - Página 4

Ola amigo estou tocerdo que essa ideia sua der certo pois aqui e meu grande problema meu link e pequeno e infelismente aqui tem uns malas, esto aguardando e torcendo que der certo. Boa sorte

Citação:

---

Postado originalmente por wnascimento

,Certificado SSL, leia em hotspot, tem muito material sobre o assunto.

---

Nascimento, Certificado SSL dificulta um pouco os clones e os snifers, ele inibe a chance que eles tiam de pegar usuário x senha, então hotspot ainda continua sendo uma ganbi. hehehe com segurança mínima, mas ainda podem clonar e navegar.

Grato anderson pela Idéia proposta, estou colocando em testes aqui no laboratório, mas a idéia é interessante.

abraços

USE PPPOE que isso acaba!

Citação:

---

Postado originalmente por Marzio

USE PPPOE que isso acaba!

---

desculpe amigo, mas não é essa a idéia aqui, a idéia aqui é arrumar uma solução para manter o hotspot, uma regra de firewall ou um conjunto de configuração que ajuste o mk a inibir a clonagem ou dificultar.
obrigado

Só que rede grande não combina com Hotspot é isso que estou dizendo, a solução é autenticar mesmo com tunel e bem feito diga-se de passagem. Hotspot é somente para hóteis, aeroportos, etc.

Um abraço,

Marzio.

Citação:

---

Postado originalmente por Marzio

Só que rede grande não combina com Hotspot é isso que estou dizendo, a solução é autenticar mesmo com tunel e bem feito diga-se de passagem. Hotspot é somente para hóteis, aeroportos, etc.

Um abraço,

Marzio.

---

Concordo 100% use PPPoE é o mais correto e o mais seguro, hotspot não é sistema para seu provedor depender, claro a segurança deve começar na ap, controlar o MAC, ter WPA, etc ..

Realmente ppoe é uma tecnologia melhor que o hotspot, mas hotspot para mim e para muitos é uma questão comercial, quem aqui nunca ganhou um cliente pq o sinal do concorrente CAIU ??????!!!!

Mas voltando a questão original! Tenho um provedor para os nossos padrões ele é médio porte cerca de 270 clientes e almentando só que vem a questão "segurança", como fazer para não snifarem, como fazer para não clonarem, como fazer para não pegarem dados, até o ppoe é snifavel, então vem a questão primordial.

"Como esconder os macs/ips dos clientes, de forma a não feixar o hotspot ??"

Uma solução plausivel, Hostcert do nosso amigo Lauro, não querendo desmerer o trabalho do nosso amigo, é uma solução paga!

Nosso amigo Wanderson colocou uma idéia interessante em pauta.

Mas o nosso amigo Lauro teve uma idéia genial diga-se de passagem, porém tem de ter um servidor só para isto e instalar na máquina dos clientes, ai que ta o filão.

"Como fazer uma solução, mesmo q tenha de ter uma servidor dedicado,para tunelar o hotspot sem ter de instalar nada no cliente??????"

Esta é a idéia proposta! sei que muitos vão discordar do hotspot, muitos vão concordar. MAs imaginem

POR Favor, Deixem DE FORA O PPPOE AQUI NESTE Tópico, pois estamos em busca de uam solução para o hotspot, torna-lo mais seguro sem fecha-lo

Abraços

Citação:

---

Postado originalmente por Marzio

Só que rede grande não combina com Hotspot é isso que estou dizendo, a solução é autenticar mesmo com tunel e bem feito diga-se de passagem. Hotspot é somente para hóteis, aeroportos, etc.

Um abraço,

Marzio.

---

Tenho uma rede considerável cerca de 600 usuários com o hotspot e não uso ppoe por uma teoria simples: o protocolo de camada2 (ppoe) é mais sensível a qualidade da conexão (wireless perde muito) e não tem um controle de erro e reenvio de pacotes tão eficiente quanto o tcp/ip, como o hospot trabalha direito com o tcp/ip (e não com ele tunelado) a qualidade da conexão com o hotspot é melhor (ja testei várias vezes)

Na verdade existem dois problemas a ser resolvido quando a clonagem no hotspot

1 - Clone navega depois do usuário autenticado, sem a necessidade de inserir senha, no entanto a conexão do usuário real e também a do clonado fica muito ruim;

2 - Uso não autorizado atráves da clonagem de mac e ip de um usuário que não está navegando no momento (clonadores preferem empresas que fecham à noite até porque geralmente têm maior largura de banda);


Para 1º problema só vejo como solução o uso da criptografia wap2;

para 2º acredito que o ideal seria:

criar algo que registrasse o computador (como os bancos) um software que interagisse com o nosso sistema.

Imagino assim

cria se um aplicativo que comunique com um servidor linux central esse servidor verificaria de tempos em tempo a autenticidade do computador que está logado, caso a identificação nao corresponda ele emitiria um comando ssh ao mk desconectando o usuário

Agora como desenvolver isso?

Citação:

---

Postado originalmente por Marzio

Só que rede grande não combina com Hotspot é isso que estou dizendo, a solução é autenticar mesmo com tunel e bem feito diga-se de passagem. Hotspot é somente para hóteis, aeroportos, etc.

Um abraço,

Marzio.

---

pois é, mas isso agora já virou um dever tentar barrar isso com uma solução proprietaria do proprio mk, e mantendo o hotspot pois ja imaginou quantos hoteis, cafe's, restaurante e aeroportos para ganharmos din-din implementando soluções de segurança na rede deles? não podemos pensar somente no hoje, e no momentos que estamos passando, concorda comigo?
obrigado.

Citação:

---

Na verdade existem dois problemas a ser resolvido quando a clonagem no hotspot

1 - Clone navega depois do usuário autenticado, sem a necessidade de inserir senha, no entanto a conexão do usuário real e também a do clonado fica muito ruim;

2 - Uso não autorizado atráves da clonagem de mac e ip de um usuário que não está navegando no momento (clonadores preferem empresas que fecham à noite até porque geralmente têm maior largura de banda);


Para 1º problema só vejo como solução o uso da criptografia wap2;

para 2º acredito que o ideal seria:

criar algo que registrasse o computador (como os bancos) um software que interagisse com o nosso sistema.

Imagino assim

cria se um aplicativo que comunique com um servidor linux central esse servidor verificaria de tempos em tempo a autenticidade do computador que está logado, caso a identificação nao corresponda ele emitiria um comando ssh ao mk desconectando o usuário

Agora como desenvolver isso?

---

BOm, eu não tenho provedor, mas trabalho com soluções, uso a lógica pra isso. Analisem o que vou dizer.

Pela rede, só temos 2 métodos para identificar a conexao, que é o MAC e o IP. Os dois podem ser clonados facilmente, correto?

A idéia é usar hotspot, para o cara não ter q instalar porra nenhuma no micro dele pra acessar a rede (pppoe)., correto?

Quando uma pessoa conectar a rede, e quando for abrir qualquer página, ele for redirecionado a uma pagina do provedor, que precisa que ele faça login para poder acessar a internet.

A ideia do JHONNE seria fazer um plugin para o browse, onde a maquina seja identificada, para q o cara possa usar a rede, correto?

Citação:

---

Postado originalmente por caicarabruno

Realmente ppoe é uma tecnologia melhor que o hotspot, mas hotspot para mim e para muitos é uma questão comercial, quem aqui nunca ganhou um cliente pq o sinal do concorrente CAIU ??????!!!!

Mas voltando a questão original! Tenho um provedor para os nossos padrões ele é médio porte cerca de 270 clientes e almentando só que vem a questão "segurança", como fazer para não snifarem, como fazer para não clonarem, como fazer para não pegarem dados, até o ppoe é snifavel, então vem a questão primordial.

"Como esconder os macs/ips dos clientes, de forma a não feixar o hotspot ??"

Uma solução plausivel, Hostcert do nosso amigo Lauro, não querendo desmerer o trabalho do nosso amigo, é uma solução paga!

Nosso amigo Wanderson colocou uma idéia interessante em pauta.

Mas o nosso amigo Lauro teve uma idéia genial diga-se de passagem, porém tem de ter um servidor só para isto e instalar na máquina dos clientes, ai que ta o filão.

"Como fazer uma solução, mesmo q tenha de ter uma servidor dedicado,para tunelar o hotspot sem ter de instalar nada no cliente??????"

Esta é a idéia proposta! sei que muitos vão discordar do hotspot, muitos vão concordar. MAs imaginem

POR Favor, Deixem DE FORA O PPPOE AQUI NESTE Tópico, pois estamos em busca de uam solução para o hotspot, torna-lo mais seguro sem fecha-lo

Abraços

---

isso mesmo vamos juntar as massas cefalicas e mesmo os que ja usa o ppp0e pode ajudar, pois como ja disse em uma replica ao nosso amigo Mazio, até eles mesmo que usam ppp0e vai ganhar com isso com uma solução que ajudou a todos.
ajudem e não se arrependeram, escutem o que o nosso amigo caicarabruno vos fala, eu ja tenho o hostcert e estou em faze de teste ja faz quase um mes tai o amigo lauro que esta a disposição para ajudar no que for preciso pra leventar o servidor, eu sei que temos que fazer investimentos neste tipo de negocio e nao ficar so no 486zinho e radinho como ja vi alguns topicos aqui fazendo chacota da cara dos que estao começando, mas podemos mais, muito mais isso eu tenho certeza se houver ajuda sem esperar retorno aqui no forum e sim nos seus negocios wireless.
obrigados
AJUDEMOS

Citação:

---

Postado originalmente por Marzio

Só que rede grande não combina com Hotspot é isso que estou dizendo, a solução é autenticar mesmo com tunel e bem feito diga-se de passagem. Hotspot é somente para hóteis, aeroportos, etc.

Um abraço,

Marzio.

---

Isso ai Hotspot ou pppoe para provedor grande não rola

Bom,

1) O HOTSPOT seguro ainda não existe ele está sendo implementando, o pessoal da GI-LINK está criando um modelo de autenticação que fará uma chave baseada no Nº do Processador e serie do HD do micro em questão e ai sim, vou concordar que teremos um hotspot seguro. Observação: Implementado somente na rede MESH deles.

2) O Amigo argumentou com relação a estabilidade do pppoe, é simples melhore seu sinal pro seu cliente e garanto que você não terá problemas. A exemplo aqui temos centenas de clientes e praticamente não temos OS (Ordem de Serviço), lógico levou um tempo pra acertar tudo, mas garanto vale o esforço.

3) Isso ai Hotspot ou pppoe para provedor grande não rola. Resposta: HOTSPOT

Espero ter ajudado,

[]´s

Olá amigos
Uso o sistema hotspot e gosto dele podemos fazer muitas coisa (criar paginas de login e avisos) e implemetei User-manager para fazer o gerenciamento de credito. mas o usermanager nao tem como controlar atraves do mac.

mas vendo o forum mikrotik.com estaram lancando o usermanager na versao 2.0 . o qual terá varios recursos. conforme o link .

MikroTik RouterOS • View topic - Where is the New UserManager?

com isso podemos corrigir algumas falhas pois User-manager trabalha com Hotspot.

fica ai a minha dica pra aguardarmos mais um pouco..


valew t+

Citação:

---

Postado originalmente por airtonveiga

Olá amigos
Uso o sistema hotspot e gosto dele podemos fazer muitas coisa (criar paginas de login e avisos) e implemetei User-manager para fazer o gerenciamento de credito. mas o usermanager nao tem como controlar atraves do mac.

mas vendo o forum mikrotik.com estaram lancando o usermanager na versao 2.0 . o qual terá varios recursos. conforme o link .

MikroTik RouterOS • View topic - Where is the New UserManager?

com isso podemos corrigir algumas falhas pois User-manager trabalha com Hotspot.

fica ai a minha dica pra aguardarmos mais um pouco..


valew t+

---

Valew Pela Noticia amigo, porém de acordo com o Normis que é um dos caras da mikrotik se não me engano, ele esta em testes apenas na versão de testes do Mikrotik o 4, então anda estamso na versão 3.22 :(, vai demorar um pouco.

Mas mesmo o user manager fazendo controle pela mac não vai impedir de o usuário clonar e utilizar a internet. infelizmente.

abraços

Citação:

---

Postado originalmente por Marzio

Bom,

1) O HOTSPOT seguro ainda não existe ele está sendo implementando, o pessoal da GI-LINK está criando um modelo de autenticação que fará uma chave baseada no Nº do Processador e serie do HD do micro em questão e ai sim, vou concordar que teremos um hotspot seguro. Observação: Implementado somente na rede MESH deles.

2) O Amigo argumentou com relação a estabilidade do pppoe, é simples melhore seu sinal pro seu cliente e garanto que você não terá problemas. A exemplo aqui temos centenas de clientes e praticamente não temos OS (Ordem de Serviço), lógico levou um tempo pra acertar tudo, mas garanto vale o esforço.

3) Isso ai Hotspot ou pppoe para provedor grande não rola. Resposta: HOTSPOT

Espero ter ajudado,

[]´s

---

Grato Marzio pelo seu conhecimento.

Devido a resposta do amigo Marzio, coloquei em prática a famosa pesquisa! Encontrei algumas coisas interessantes em java para implementer a Solução da Gi-Link, como todos aqui sabem java é muito flexivel e funciona Servidor <-> Cliente, o que vou fazer ou tentar hehe, é criar umplugin para os browsers, onde este plugin terá a função de pegar dados como Nº Série HD e Placa Mãe, assim o plugin envia estar informações para o servidor "dedicado" para que possamos utilizar estas informações.
Porém vou fazer isto utilizando Radius+Mysql, por que ?? por que ???
Para que possamso vincular as informações coletadas ao nome de usuário do mesmo!

Agora só preciso me lembrar como programa :S haha.
Ja é um pequeno passo, mas vou conseguir.
posto novidades
abraços.

Citação:

---

Postado originalmente por caicarabruno

Grato Marzio pelo seu conhecimento.

Devido a resposta do amigo Marzio, coloquei em prática a famosa pesquisa! Encontrei algumas coisas interessantes em java para implementer a Solução da Gi-Link, como todos aqui sabem java é muito flexivel e funciona Servidor <-> Cliente, o que vou fazer ou tentar hehe, é criar umplugin para os browsers, onde este plugin terá a função de pegar dados como Nº Série HD e Placa Mãe, assim o plugin envia estar informações para o servidor "dedicado" para que possamos utilizar estas informações.
Porém vou fazer isto utilizando Radius+Mysql, por que ?? por que ???
Para que possamso vincular as informações coletadas ao nome de usuário do mesmo!

Agora só preciso me lembrar como programa :S haha.
Ja é um pequeno passo, mas vou conseguir.
posto novidades
abraços.

---

Ola amigo .

Desculpe minha ignorancia, mas não teria como fazer usando o proprio user-manager ja que ele e baseado em radius, ao inves de usar algo fora do mikrotik.?

valew t+

Citação:

---

Postado originalmente por airtonveiga

Ola amigo .

Desculpe minha ignorancia, mas não teria como fazer usando o proprio user-manager ja que ele e baseado em radius, ao inves de usar algo fora do mikrotik.?

valew t+

---

Caro veiga, tiria sim, mas se nós nos limitarmos apenas ao mikrotik pois temso várias soluções no mercado que utilizam hotspot, myatuh é um exemplo claro!

e também poderá utilizar a solução. só por isso

abraços

Citação:

---

Postado originalmente por underwanderson

Boa noite!
É o seguinte.

Eu sempre digo que a informática é uma lógica perfeita, é como o corpo humano.
Estava aqui pensando e veio umas idéias doidas na cabeça e veja no que deu.

Isto aqui é baseado em Mikrotik com hotspot e pode fazer as alterações com a rede oficial de seus clientes pois só assim obtive o resultado esperado e não atrapalhou em nada na navegação deles.

Da forma que esta configurado suas maquinas em router ou em bridge com certeza o mk direciona 2 ip's para que o cliente navegue, 1 quando liga a máquina e o outro quando loga no mk correto?
-Certo, então vai em IP>DHCP>Networks e coloque a mascara (Netmask) em 30 e de ok.
-Vá na aba Leases e delete todas leases criada pra vc ver depois o que vai acontecer, mas não pare aqui continue até o final.
-Vá em IP>POOL>Pools clique 2x na linha que contém um símbolo amarelo em formato de cruz, e na caixa que aparecer altere "Next Pool" para (Pool dhcp) ou seja o mesmo nome que foi dado ao pool do dhcp que gera ip para o cliente no hotspot após ter logado e é esse que temos que fazer o cliente usar pois o do servidor dhcp é que é usado pelos clonadores. veja a idéia no inicio deste tópico.

Agora como eu fiz, faça você também, baixe o a-mac e o Colasoft MAC scanner pois usei os dois para ver se ia dar muita diferença entre outros tipos de scanner's, agora faça ele scanear a rede que foi reconfigurada agora pouco, AQUI O RESULTADO FOI O SEGUINTE: só pescou o IP e MAC do servidor e do próprio pc que estava varrendo a rede, se foi isso que aconteceu ai também isso é ponto pra lógica na informática pois como o /30 não deixa o cliente enxergar o outro na rede ele barra os scanner's também certo? e setando o pool pra ele proprio evita que o cliente fique recebendo ip do servidor dhcp, não to dizendo que o servidor dhcp não vai mais trabalhar estou dizendo que o ip liberado para conectar teria que ser o mesmo para logar no hotspot assim evitando a garupa do malandro no segundo ip que teria que vir somente do servidor dhcp e que é o que os scanner consegue enxergar, se estiver errado me corrijam, então até aqui matamos dois coelhos com uma paulada só, inibimos os ip's de clientes para os scanner's na rede e forçamos a inibição de compartilhamento involuntário de pastas e arquivos na rede.

Agora vem o melhor, vai lá como vc sabe fazer e clone qualquer cliente da sua rede e tente navegar................e ai..................nada?..................tente esperar mais um pouco.................e agora................. Se esse foi o resultado ai, aqui também, então, BINGOO! acho que estamos no caminho certo acho que pode precisar de uma regra pro firewall se tiver alguem que manja de inventar regra ai já sabe né?por enquanto nenhuma adaptação extra a rede, é só lógica. Depois dessa acho que ainda dá pra implementar um SSL que um amigo nosso postou aqui no under e evitará que o malandro bata um sniff na sua rede pra roubar senha no hotspot mas se ele não conseguir navegar por clonagem o que que ele vai fazer com senha roubada né?

GENTE DESCULPE A IMPOLGAÇÃO AI MAIS SE ME PESQUISAREM AQUI NO FORUM NÃO TENHO MUITOS POST'S MAIS JÁ CORRI ATRÁS DE MUITAS SOLUÇÕES COMO ESTA, JÁ TENTEI AJUDAR MUITOS PORAQUI E ESPERO QUE ESTÁS IDÉIAS SIRVA PRA TODOS QUE ESTÃO NESTA LUTA AQUI NO FORUM, QUEM ENCONTRAR O PRIMEIRO BUG AI NA CONFIGURAÇÃO POSTA AI PRA PODERMOS MELHORA-LA.
OBRIGADO E BOA MADRUGADA! RSRSRS

---

Blz, a mascara que está sendo espanada para os clientes é a 255.255.255.252, com isso os clientes só enchegam a si mesmo e + uma maquina na rede, essa "+ uma maquina" tem que ser o MK, se não eles não saem da rede pq não tem roteador e pra isso tu tem que por um IP de cada uma das 64 redes que tu criou.
Exemplo:
Rede - IP 1 - IP 2 - Broadcast
192.168.0.0 - 192.168.0.1 - 192.168.0.2 - 192.168.0.3
192.168.0.4 - 192.168.0.5 - 192.168.0.6 - 192.168.0.7
192.168.0.8 - 192.168.0.9 - 192.168.0.10 - 192.168.0.11
192.168.0.12 - 192.168.0.13 - 192.168.0.14 - 192.168.0.15
192.168.0.16 - 192.168.0.17 - 192.168.0.18 - 192.168.0.19
192.168.0.20 - 192.168.0.21 - 192.168.0.22 - 192.168.0.33

E etc...

E depois vai ter que criar tambem um DHCP server para cada seguimento de rede.

Estou certo?

O que ele fez acima é criar subredes, um ip e um gateway, cada cliente esta em planos diferentes na rede, da forma que a maioria trabalha /24 todos estaria em uma mesma rede, /30 cada um tem sua rede, isso de fato inibe snifers, o RouterOS (pelo menos a versão que eu tenho,3.xx) só permite uma conexão por mac, se um cliente estiver conectado o clone nao conecta, mas eu nao uso hotspot, não ainda, uma solução interessante é o casamento do RouterOs com o Brazilfw, esse ultimo tem um ( hotspot ) captive portal muito eficiente e controla muito bem subredes, alem de squid , sarg, bind, entre outras afinidades, uma dica interessante que ja peguei aqui no forum pra aumentar a segurança use um dhcp à parte e no cliente use ip fixo com subredes. Desta forma o unico jeito do cara navegar de graça na sua rede é se tiver ajuda do cliente , prq alem de clonar o mac ele tera que setar o ip e ainda saber o login e senha do captive portal.

PPPOE também faz Captive Portal, só pra registrar. Aqui mesmo no forum tem o tutorial sobre o assunto.

[]´s

eu nunca usei ppoe, ms ja alguem falando no forumque nao precisa de colocar ip, nocaso pro hotspot funcionar com pppoe teria que usar ip. é isso?

Citação:

---

Postado originalmente por fernandofiorentinn

eu nunca usei ppoe, ms ja alguem falando no forumque nao precisa de colocar ip, nocaso pro hotspot funcionar com pppoe teria que usar ip. é isso?

---

PPPOE é um concentrador e no cliente não é preciso adcionar nenhum IP no micro o mesmo será atribuído quando o tunel for formado.

[]´s

Citação:

---

Postado originalmente por fernandofiorentinn

O que ele fez acima é criar subredes, um ip e um gateway, cada cliente esta em planos diferentes na rede, da forma que a maioria trabalha /24 todos estaria em uma mesma rede, /30 cada um tem sua rede, isso de fato inibe snifers, o RouterOS (pelo menos a versão que eu tenho,3.xx) só permite uma conexão por mac, se um cliente estiver conectado o clone nao conecta, mas eu nao uso hotspot, não ainda, uma solução interessante é o casamento do RouterOs com o Brazilfw, esse ultimo tem um ( hotspot ) captive portal muito eficiente e controla muito bem subredes, alem de squid , sarg, bind, entre outras afinidades, uma dica interessante que ja peguei aqui no forum pra aumentar a segurança use um dhcp à parte e no cliente use ip fixo com subredes. Desta forma o unico jeito do cara navegar de graça na sua rede é se tiver ajuda do cliente , prq alem de clonar o mac ele tera que setar o ip e ainda saber o login e senha do captive portal.

---

ola fernandofiorentinn,
poderia abrir um topico sobre o o Brazilfw e seu captive portal como vc disse "uma solução interessante é o casamento do RouterOs com o Brazilfw, esse ultimo tem um ( hotspot ) captive portal muito eficiente e controla muito bem subredes, alem de squid , sarg, bind, entre outras afinidades" pois ja tentei usar o Brazilfw so mas com mk ja pode ser realmente uma ajuda ne? e se puder explicar como funciona este (hotspot) captive portal agradeceria.
obrigado

Olá, estou preparando um tutorial com bse nas informaçoes do proprio site do BF, mas como o tempo é pouco vai demorar um pouquinho...

Boa noite unders de plantao!
eh o seguinte, apesar das configurações colocadas atraves de ideia minha aqui em um post, ainda continuo usando e com certificado ssl implementado, e ao refazer os testes aqui notei que consegui abrir paginas mas com mac que por ventura eu ja tinha em maos e navegando com alguma dificuldade (eu nao queria se fosse um clonador de mac ficar quebrando cabeça em uma rede com dificuldade de navegação!), blz, entao fiz uma avaliação e vi que quem nao possui mão de mac's da minha rede e vai aventurar levantar um mac scan pela primeira vez nesta rede, como foi dito o safado so recebera o mac dele mesmo e o do gateway da rede (o que teriamos de camufla-lo ou ate mesmo esconde-lo quem souber posta ai seja regra firewall ou outro meio), entao, ai continuando minhas ideias malucas.
configurei um ap edimax em bridge com wap2 e chave extensa onde o ap so ficaria ali pra autenticar a passagem pra internet apos cliente logar no hotspot em vez de colocar a tal chave wap2 no ponto de acesso externo o que bloquearia o hotspot para o publico e nao seria o ideal aqui. este ap edimax implementei ele entre o modem que esta em bridge e o mk (quem disca ppp0e é o mk), entao a rede tava ficando assim:
o cliente ligaria o pc, antes de logar pediria confirmação do certificado ja instalado na maquina sim ou nao (quem fez o teste sabe do que estou falando) entao ele logaria no hotspot com seu user e senha (o intuito aqui e manter o hotspot hein!) e antes do mk liberar ele pra fora na internet ele passaria por dentro do ap edimax com wap2 que esta ali so pra barrar-lo com autenticação wap2, ele iria digitar a chave somente uma vez a nao se que venha formatar a maquina um dia ai teria que digitar tal chave novamente (ou nos iriamos digitar para que ele nao tentasse passar para alguem) apesar que se explicassemos que ele e quem correria riscos passando tal chave pra alguem ele ate nem o faria.
mas ai que vem o problema, vi que o ap em bridge a conexao passa direto pra internet e nem pede a tal chave o que poderia ter feito? sera que o ap tem que ser um gateway? e como fariamos para redirecionar no firewall do mk para a criptografia do ap? como ficaria a regra?
entao so precisamos juntar e ver como fica isso e ai o malandro so chegaria ate o hotspot pois na hora boa de navegar ele teria que passar uns bons dias da vida dele tentando quebrar a chave pra ver a telinha do google.
ajudemo-nos e verás o quanto somos fortes!
obrigado e boa madrugada!

interessante mesmo seria um protocolo, a internet gira em torno do tcp/ip, a idéia é o seguinte, um protocolo proprietario, assim como se instala o ipx ele ( nosso protocolo ) seria instalado nas configuraçoes de rede na casa do cliente com alguma identificação , todo a comunicaçao entre o cliente e o servidor seria feita por esse protocolo, tipo um tunel, e no servidor é feita a conversão, seria um modem virtual... Implementando algumas regras no firewall, a unica coisa que o clone veria seria a pagina de propaganda do provedor.

Citação:

---

Postado originalmente por fernandofiorentinn

interessante mesmo seria um protocolo, a internet gira em torno do tcp/ip, a idéia é o seguinte, um protocolo proprietario, assim como se instala o ipx ele ( nosso protocolo ) seria instalado nas configuraçoes de rede na casa do cliente com alguma identificação , todo a comunicaçao entre o cliente e o servidor seria feita por esse protocolo, tipo um tunel, e no servidor é feita a conversão, seria um modem virtual... Implementando algumas regras no firewall, a unica coisa que o clone veria seria a pagina de propaganda do provedor.

---

ola, boa noite fernandofiorentinn
acho que a galera se disperssaram pois tem tempo e ninguem apareceu pra comentar o assunto exceto vc, mais tudo bem acho que consegui algo que pode dar muito trabalho pros safados ainda esta em teste mas pelo que vi parece que vai dar certo, o maximo que o safado vai conseguir e o ip e o mac dele proprio e do servidor o que seria suicidio da rede esse mac do server mas acho que consegui solucionar tal problema terminando os testes vou postar o msn ou fonte de comunicação segura que possa ser passado pois notei que os safados frequentam o under tambem e fica so estudando suas estrategias por aqui, se tudo ocorrer como imagino logo postarei, e olha so o hotspot que eh o primordial a ser mantido esta aberto aos ventos aqui e graças a Deus nada ainda aconteceu, eh um conjunto de configuraçãos e implementaçãoes que esta dando certo mais a frente entrarei em contato aqui mesmo. obrigado

Essa idéia de um protocolo é difícil, pois e acho que teríamos que saber um pouco sobre o kernel do Windows (o que é restrito, claro). Talvez em algum lugar tenha alguma dica de como fazer esse "driver".

aqui soh uso ip + mac(controlando banda pela queue), nao uso pppoe nem hotspot....

Um colega nosso aqui do under postou algo a respeito de :
ip + mac + nome_do_micro(ou nome_do_ap)

Porem pelo (pouco) que entendi isso soh seria possivel se usa-se apenasas rb´s sem servidor?!?!?!?!

E ae isso procede ?
Da mesmo pra fazer ip+mac+nome_do_micro ?

Nosso colega acima sitou algo sobre o portal capitve do BFW Easycaptive , ja usei e le digo que o projeto esta parado , esperando a nova versão do sistema a 3.0 , sendo que o mesmo addons esta descontinuado e com alguns bugs muito interresantes e inritantes ate , masi estou esperando que o desenvolvedor retorna com o projeto .

Na minha opnião, uma solução para quem saiba fazer claro :

Sistema de cookies nao seria interresante para este controle ?, exemplo , o cliente abre seu navegador e digita senha e usuario , o servidor cria o cookie com as devidas informações , esta ativo e libera a sua navegação ,um malandro consegue escanear o ip deste cliente e o mac , clona os dois abre o internet explorer ou mozilla sei la navegador , quando ele tenta acessar a internet o servidor verifica se a alguns cookie liberado para aquele mac ip dele caso nao tenha putfs pede senha , repetindo 3 ou mais vezes o mesmo lança um cookie negando acesso a pagina de login e redirecionando a uma pagina morta com alguns dizeres interresantes , fazendo assim um sistema sem interferrencia nso clientes ( ninguem precisa ir la ou adcionar qualquer programa).Não sei muito bem como funciona o sistema de cookies do MK mais não deve ser muito dificiel fazer este tipo de controle, eu acho


fuiiiiiiiiiiiii

Esse assunto é muito polemico....

Vejo assim uma solução quase perfeita...

No caso de redes SEM FIO.. é servidores MK com senhas WPA2-AES individual para cada cliente....
Sendo assim.. se voce for invadido (clonagem).. e for detectado.. voce sabe que alterando uma senha WPA2..voce derruba esse INVASOR de uma só vez....
Pra detectar esses eventos é criar um sistema de analise de LOGS....

CLiente empresarial.. voce sabe o horario de funcionamento dele.... se por acaso ele tem horario diferenciado.. no sistema que voce vai criar isso.. voce cadastra o horario de funcionamento dele...
Se tiver eventos de log para fora do horario voce ja sabe que ta havendo clonagem... e logico.. sabe onde resolver.. (logico que tudo isso num sistema AUTOMATIZADO).... e com senha WPA2-AES individual.. voce altera só daquele cliente e ta resolvido....

Se for cliente residencial.. voce verá possivelmente alguns momentos que deve HAVER CONFLITOS... (queio que seja possivel LOGAR ISSO NO MK)...

E criar sistemas tambem para detectar isso e tambem tratar automaticamente...

E logico.. nao esquecer de DESMARCAR "DEFAULT FORWARD" nos cartoes... e se tiver + de 1 cartao na interface do cliente, criar uma brigde e criar os filtros para nao se enxergarem....

No caso de redes CABEADAS... estar sempre de olho na mesma situacao.... Se voce trabalhar com DHCP na rede.. voce verá que se ja tiver alguem navegando no seu IP... ele simplesmente vai LOGAR.. dizendo que nao foi possivel atribuir o IP pq ja esta em uso.. e assim é DETECTAVEL também.

Se voce tiver mais condiçoes.. (em prol da qualidade.. utilizar SWITCHS GERENCIAVEIS.. (procurar um que seja "custo/beneficio" e bloquear que uma determinada porta só possa utilizar DETERMINADO IPxMAC e determinar que todo trafego só pode fluir para porta X (que é que vai ao encontro do GATEWAY).....

No mais.. por enquanto são as soluções...

Vamos estudar + opções e discutir...

A ideia de criar um PLUGIN para o NAVEGADOR é interessante..
Mas precisamos tirar essa ideia da BANCADA de IDEIAS.. e por em prática..
Consultar um PROGRAMADOR.. que saiba programar PLUGIN (igual de banco).. que ler dados como HD, PLACA MAE, MEMORIA, ETC... e fazer um cadastro.... num server PARALELO... e apos armazenado... ele sempre enviar uma solicitacao do cliente para o servidor... com os dados..
se nao bater... DESLOGAR O CLIENTE.. e se REPETIR DIVERSAS VEZES.. BLOQUEAR... E assim entrar em contato com o cliente para mudar IPxMAC para evitar as quedas....

Vamos as IDEIAS... Nao deixe a ideia MORRER.

Vamos a LUTA.

Técnica infalível é monitoramento da rede e publicidade.

Já alertei alguns clientes que estavam cooperando com tal atividade. 3 foram cancelados.

Já vi casos de no DHCP ter dois nomes diferente em HOSTS, onde ele mostra o nome do PC.

Quando suspeito, mandamos alguém na casa do cliente, como a maioria é rádio, eu mando rebotar e vejo se continua pingando.

Graças a Deus, naõ tenho problemas, se clonar, o cliente geralmente sabe e ajuda o contraventor. é a internet dele mesmo que vai ficar ruim.

Temos que ficar de olho.

Abraços e depois com mais calma leio o topico todo, e tento contribuir, com esta árdua jornada.