Re: e-cut, quem sabe se defender?? ta virando moda a galera clonar mac agora
Por esse motivo falei que tem que usar varias ferramentas, uma so nao dara seguranca.
com o uso de switch e radios com vlan, basicamente elimina esse problema de compartilhamento e sniffer.
porem, um tecnico que faz a manutencao desse cliente pode conseguir o IPxMAC do cliente.
mas ainda precisara do LOGINxSENHA.
com o uso de SSL com o hotspot, dificulta o atacante de obter o login e senha atraves da rede.
mas nada impede que o cliente forneça a senha tbm.
Com a junção do LOGINxSENHA ao IPxMAC forçamos o uso daquele LOGINxSENHA somente com aquele IPxMAC.
ai entra o shared user 1, somente um usuario podera se conectar com aquele LOGINxSENHA... dessa forma, caso o cliente forneça todos os dados, somente 1 podera se conectar de cada vez.
e para fechar com chave de ouro, a senha de conexao (WPA) e a senha de acesso ao setup do radio cliente (essas senhas devem ser conhecidas somente pela empresa), pois ai dificultamos que alguma pessoa nao autorizada acesse a rede, mesmo que tenha os dados de LOGINxSENHA, IPxMAC.
Citação:
Postado originalmente por
osmano807
Faz sentido, era pseudo vlan o switch que eu tava brincando.
Bem, humm. De todo modo, ainda há um ponto crítico na rede, o servidor, se tudo vai passar por ele, deve ter como derrubar.
É isso, tem que pensar na rede inteira, internet grátis é a ponta do iceberg...
Re: e-cut, quem sabe se defender?? ta virando moda a galera clonar mac agora
é.. o lance é dificultar o picareta
Re: e-cut, quem sabe se defender?? ta virando moda a galera clonar mac agora
Acompanhando para tentar deixar mais segura minha rede.
Re: e-cut, quem sabe se defender?? ta virando moda a galera clonar mac agora
Citação:
Postado originalmente por
nonoque
é.. o lance é dificultar o picareta
exatamente.
e acho que eu vou complicar um pouco mais ainda.
por enquanto, faço nat, forneço ao cliente um ip privado e fixo.
contudo, em breve estarei enviando ip valido, como nao terei ip suficiente para atender a todo mundo com ip valido fixo, terei que forneçe-los dinamicamente.
nesse caso, (mesmo que o cliente nao esteja autenticado) deixamos uma brecha para um atacante, na qual ele simula varias requisoes de IP... e facilmente poderia esgotar meus ips validos.
o que pensei para resolver isso foi o seguinte.
no hotspot tem uma a funcao nat 1:1
sendo assim, eu irei prender o user ao mac...
quando o usuario conectar na rede, ele recebe um ip privado classe A.
quando o usuario fazer o login, o hotspot automaticamente fornece o ip valido (faz o nat 1:1)
em um breve teste que realizei aqui, deu tudo certo.
porem, realizei o teste somente com ip privado.
conectei na rede, recebi um ip privado classe A (invalido para navegacao)
quando efetuei o login, o hotspot fez um nat 1:1 (recebi um ip privado classe C, valido para navegacao)
daqui a 15 dias estarei com ips suficiente para atender toda a rede, ai irei efetuar os novos testes e ver se vai funcionar com ip privado e valido.
Re: e-cut, quem sabe se defender?? ta virando moda a galera clonar mac agora
Citação:
Postado originalmente por
mascaraapj
Por esse motivo falei que tem que usar varias ferramentas, uma so nao dara seguranca.
com o uso de switch e radios com vlan, basicamente elimina esse problema de compartilhamento e sniffer.
porem, um tecnico que faz a manutencao desse cliente pode conseguir o IPxMAC do cliente.
mas ainda precisara do LOGINxSENHA.
com o uso de SSL com o hotspot, dificulta o atacante de obter o login e senha atraves da rede.
mas nada impede que o cliente forneça a senha tbm.
Com a junção do LOGINxSENHA ao IPxMAC forçamos o uso daquele LOGINxSENHA somente com aquele IPxMAC.
ai entra o shared user 1, somente um usuario podera se conectar com aquele LOGINxSENHA... dessa forma, caso o cliente forneça todos os dados, somente 1 podera se conectar de cada vez.
e para fechar com chave de ouro, a senha de conexao (WPA) e a senha de acesso ao setup do radio cliente (essas senhas devem ser conhecidas somente pela empresa), pois ai dificultamos que alguma pessoa nao autorizada acesse a rede, mesmo que tenha os dados de LOGINxSENHA, IPxMAC.
a meu ver o PPPoE ja resolveria de uma vez todos esses problemas já que ele é criptografado e por usar mascara /32 já cria uma vlan amarrada por MACxIPxLOGINxSENHA.
e não existe broadcast no PPPoE
e aqui a senha de todos os radios só é conhecida pela empresa e o login e senha do PPPoE tambem.