O que será este ataque que consegue conectar e usa porta 56? tenho como bloquear esse mac para não conectar na interface?
Versão Imprimível
O que será este ataque que consegue conectar e usa porta 56? tenho como bloquear esse mac para não conectar na interface?
Não tem nada na porta 56... pelo menos não vi.
Esse MAC (final 56) está tentando conectar e não está listado na ACCESS LIST ou então porque não tem a criptografia correta, então o sistema está chutando mesmo... ou seja, ele é banido, não conecta.
mas como ele aparece connected em algumas linhas??
o Sergio, eu testei aqui e se o cara nao tem o mac na access list, ele nao aparece no log como connected nao.
Como tenho criptografia , deixo sem cadastro de mac. Default authentication, então o cara poe uma senha qualquer e entra , a senha não bate e o mk bani ele. Acho que é isso.
Mas ta dando umas loucuras aqui que quase que eu to ficando louco, erro no dhcp, e sem contar que vou no cliente meço o sinal , la ta -65 chego aqui vejo no mk ta -75. Isso ta me deixando louco.
Isso se vc usar controle de MAC, access list, ele nunca vai aparecer em LOG - Conected..
agora se vc usa criptografica, ai sim ele aparece normal, e depois aparece Desconectd... devido a senha errada...
Respondendo a algumas questões.
Quando se usa criptografia, ao tentar se conectar em uma rede protegida por criptografia você se conecta, porem quando o mk vê que a chave esta errada, ele expulsa o mac da rede, porem ao tentar se conectar novamente vai acontecer o mesmo processo.
Fazendo pelo access list (É o que eu uso) ele simplesmente não deixa conectar, quando mac pede a solicitação para se conectar na rede o mk ve que esse mac nao esta cadastrado e não deixa conectar, por isso não aparece no log.
adiciona esse mac ai na access-list e desmarca as opçoes forwarding e auth... q ele nao conecta mais..
Se vc tiver fazendo a leitura do sinal que está chegando na casa do cliente, e do sinal do cliente que está chegando na sua torre, está certo mesmo, são 2 coisas diferentes. Se vc rodar o netstumbler no pc do cliente e ver o sinal da sua rede lá, com certeza será diferente do sinal do seu cliente no winbox. Seria uma coincidência e nada mais que isso, se fossem os mesmos.
Se você está checando tudo no winbox, e quando vc tá na casa do cliente bate -65 e quando sai de lá vai pra -75, aí sim, tá com variação mesmo. Acontece, pode ser fruto da interferência, mais clientes conectados no mesmo rádio quando você fez a segunda leitura, a antena do cara balançando, mil coisas. Aí é checar pra ver se é algo do qual você tenha influência ou não. Não existe regra pra isso, vai na intuição mesmo.
Então , o que fico pensando é no gasto de processamento desnecessario em ficar o dia inteiro conferindo senha para ver se esta correta, será que posso ter algum problema?
Gostaria de saber se tem um manual de logs para que possamos consultar e saber do que se trata cada um......
Lembrandoo que esses Macs são de clientes meus.....
O que significa os logs:
1- Not in local ACL by default acept
2- disconected, group key exchange timeout
3- baned (last failure - unicast key exchange timeout)
4- Sent deauth
Por favor me deem uma força os mais experientes.
Amigo, aposto que vc não usa cripto, talvez esteja ai a raiz de seus problemas.
Abraços
Jodrix
Eu uso cripto, mas acho que estes ataques vem pelo link.
Pois eu já deixei os rádios desligados e só o servidor ligado e houve ataques deste tipo.
Era comum aparecer por ssh. Desativei e dias atrás apareceu por ftp. Mas todos deu mensagem de " login failure".
sim, sao computadores ou servidores rodando algum scanner de vulnerabilidade ssh/ftp/telnet...
em todos os routers, servidores, etc etc eu faço uma ACL com ips que vao poder acessar estes serviços.. entao somente os ips cadastrados acessam estes serviços... ficando livre deste tipo de tentativa...
Po gente, seis ficam batendo sempre na mesma tecla, todo servidor tem q ter Firewal, ou sistema de proteçao.... o Mk oferece varias formas... as mais usadas sao, controle de MAC no Wireles, e Criptografia, e no Mk, o firewal conf. pra so a Faixa da REde, ou so Um determinado IP acessar os serviços do Mk.... o povo fala de uso de memoria, processador, de fica lento, por causa dessas regras,,, a Rb ja foi projetada pra fazer isso... é logico q se enxe de regras, vai ficando lento, mas tbm vai ficar protegido... Desculpa alguem se falei meio grosso, mas tudo bem configurado, funciona 100%....
Entao vc deve ver, como é seu controle de acesso??? por MAC,entao é o Mk bloqueando o MAC,
é por Criptografia, é o Mk bloqueando o cliente com senha errada... ai é normal amigo. é sinal q seu Mk ta fazendo o serviço correto.
Cada dia uma coisa nova....Da uma olhada nestes logs
Veja que isso é apenas um cliente, gerando esse "monte" de log. Sugiro que dê uma verificada nos seus clientes, pois pelo visto não conseguem realizar a troca de chaves criptográficas com muita facilidade. Normalmente isso é porcaria do MS Windows ou o driver da própria adaptadora wireless.