re: Segmentar Rede para Impedir Clonagem de MAC Address
O ideal mesmo seria utilizar 802.1x e entregando uma senha diferente para cada AP.
O SSL para autenticação do hotspot é uma boa. Aí, o handshake é criptografado. A parte de autenticação praticamente se resolveria. O negócio seria fechar o acesso a rede com WPA2 ou 802.1x.
Sem essas situações, dificilmente teriamos uma rede fechada, já que como comentamos, poderiamos colocar o IP dos gateways e fazer um fuzuê na rede.
Saudações,
re: Segmentar Rede para Impedir Clonagem de MAC Address
Será que realmente a criptografia não vai demandar processamento demais não?
re: Segmentar Rede para Impedir Clonagem de MAC Address
Logicamente se perde com o processamento. Só que prefiro ter menos clientes por célula e ter controle deles do que colocar 10x clientes mais por célula e ser um deus nos acuda.
re: Segmentar Rede para Impedir Clonagem de MAC Address
É.. ainda tenho alguma resistência quanto a criptografia nos rádios.
re: Segmentar Rede para Impedir Clonagem de MAC Address
Bom,o que vejo falarem é somente com relação a redes wireless,no meu caso tenho rede cabeada, tralho com hotspot com radius, e cada cliente tem sua subrede, no hotspot está configurado 1 address per mac,.
O problema é o seguinte,
Se algum funcion´rio mau intencionado colocar um cliente na rede, com mesmo ip , clona o mac e passa user e senha para um segundo cliente,
CLIENTE A - PAGA
CLIENTE B - CLONADOR
o cliente A nao está em casa , e o cliente B conecta,enquanto isso o cliente A chega e tenta conectar , e com certeza va i dar problema na autenticaçao,.
Teria que teroutra forma de identificar o pc - vejo algo do tipo de certificado.
Tem alguma solução?
re: Segmentar Rede para Impedir Clonagem de MAC Address
Citação:
Postado originalmente por
asafec
Bom,o que vejo falarem é somente com relação a redes wireless,no meu caso tenho rede cabeada, tralho com hotspot com radius, e cada cliente tem sua subrede, no hotspot está configurado 1 address per mac,.
O problema é o seguinte,
Se algum funcion´rio mau intencionado colocar um cliente na rede, com mesmo ip , clona o mac e passa user e senha para um segundo cliente,
CLIENTE A - PAGA
CLIENTE B - CLONADOR
o cliente A nao está em casa , e o cliente B conecta,enquanto isso o cliente A chega e tenta conectar , e com certeza va i dar problema na autenticaçao,.
Teria que teroutra forma de identificar o pc - vejo algo do tipo de certificado.
Tem alguma solução?
Mas na sua rede há como saber a senha dos usuários?
Uma boa conduta de um bom administrador é criptografar todo registro de senha de modo que nem ele mesmo consiga descobrir a mesma, tendo como unica forma, a troca de senha...
E outra coisa, se um funcionário mal intencionado chegar a conseguir fazer isso, seria facilmente detectado quando ocorresse esse problema do cliente, e obvio que uma das soluções seria colocar o bendito no olho da rua.
re: Segmentar Rede para Impedir Clonagem de MAC Address
Citação:
Postado originalmente por
asafec
Bom,o que vejo falarem é somente com relação a redes wireless,no meu caso tenho rede cabeada, tralho com hotspot com radius, e cada cliente tem sua subrede, no hotspot está configurado 1 address per mac,.
O problema é o seguinte,
Se algum funcion´rio mau intencionado colocar um cliente na rede, com mesmo ip , clona o mac e passa user e senha para um segundo cliente,
CLIENTE A - PAGA
CLIENTE B - CLONADOR
o cliente A nao está em casa , e o cliente B conecta,enquanto isso o cliente A chega e tenta conectar , e com certeza va i dar problema na autenticaçao,.
Teria que teroutra forma de identificar o pc - vejo algo do tipo de certificado.
Tem alguma solução?
Para Indentificar o Computador Do Cliente é só vc ir em:
IP>>DHCP SERVER
Na Aba Leases, Lá vai ter IP, MAC e O Host Name do Cliente...
o Host Name é o Nome do Computador na "REDE"...
aqui eu modifiquei e ai deu pra indentificar qual pc era do cliente!
no win 7 automaticamente já Fica com nome cadastrado...ex "Joaozinho-PC"
abraços
re: Segmentar Rede para Impedir Clonagem de MAC Address
Talves isso possa ajudar para o não funcionamento dos programas que exibem ips e macs.
O que teu Faco aqui geralmente é o seguinte:
RB 450G ou 493 em Baixo gerenciando:
Ether1 -> uplink
ether2,ether3,ether4,ether5 em Bridge
;;; Bloqueio de Entre as Bridges
chain=forward out-bridge=br0 action=drop in-bridge=br
;;; Nao Aceita Entrada de DHCP
chain=input action=drop in-bridge=br0 mac-protocol=ip src-port=67
ip-protocol=udp
------------------
Nos Aps que geralmente uso UBNT, seleciono a opcao Enabled cliente isolacao, e nos mikrotik desabilito o Default forward.
------------------
pode ir em ip neighbours veja que não aparece o radio que esta ao lado. ou
UBNT, tool -> discover. que não aprece o radio ao lado.
eu acredito que isso mata praticamente todos os programas de discovery que procuram ips e macs conectados. eu não tenho esses programas para fazer o teste, mas tenho aqui 1500 clientes, todas as redes abertas, hotspot configurado o basico via setup e nunca apareceu problema de clonagem.
WPA e WPA2 pra min só tente a atrapalhar o desempenho da rede, aonde eu tinha, acabei tirando pois o acesso fica mais lentão
re: Segmentar Rede para Impedir Clonagem de MAC Address
Citação:
Postado originalmente por
gzanatta00
Talves isso possa ajudar para o não funcionamento dos programas que exibem ips e macs.
O que teu Faco aqui geralmente é o seguinte:
RB 450G ou 493 em Baixo gerenciando:
Ether1 -> uplink
ether2,ether3,ether4,ether5 em Bridge
;;; Bloqueio de Entre as Bridges
chain=forward out-bridge=br0 action=drop in-bridge=br
;;; Nao Aceita Entrada de DHCP
chain=input action=drop in-bridge=br0 mac-protocol=ip src-port=67
ip-protocol=udp
------------------
Nos Aps que geralmente uso UBNT, seleciono a opcao Enabled cliente isolacao, e nos mikrotik desabilito o Default forward.
------------------
pode ir em ip neighbours veja que não aparece o radio que esta ao lado. ou
UBNT, tool -> discover. que não aprece o radio ao lado.
eu acredito que isso mata praticamente todos os programas de discovery que procuram ips e macs conectados. eu não tenho esses programas para fazer o teste, mas tenho aqui 1500 clientes, todas as redes abertas, hotspot configurado o basico via setup e nunca apareceu problema de clonagem.
WPA e WPA2 pra min só tente a atrapalhar o desempenho da rede, aonde eu tinha, acabei tirando pois o acesso fica mais lentão
Com hotspot basico
Sem criptografia wireless
Sem roteamento, VLAN
Pode ter certeza que se tiver alguma clonagem, VOCE NUNCA VAI SABER.
o clone é global, funciona como se fosse o original, nao tem como detectar.
e detalhe, funciona ambos ao mesmo tempo!!!
___________
WPA e WPA2 nao atrapalha a rede, nao a deixa lenta.
se assim ficou quando o ativou, é sinal de rede ou roteador wireless com problema.
a criptografia wireless apenas usa um pouco do processamento dos AP.
Uso a anos WPA AES e nunca tive problemas.
re: Segmentar Rede para Impedir Clonagem de MAC Address
Citação:
Postado originalmente por
mascaraapj
WPA e WPA2 nao atrapalha a rede, nao a deixa lenta.
se assim ficou quando o ativou, é sinal de rede ou roteador wireless com problema.
a criptografia wireless apenas usa um pouco do processamento dos AP.
Uso a anos WPA AES e nunca tive problemas.
só se é problema da criptografia, pois sem tudo é uma maravilha.
me sistema é todo roteado, ips validos nos clientes, não tem nat.
e tem como ver se tem gente clonando. pois eu comprei ums 10 SXT a um tempo atras e fiz um script para configura-lo somente colando no new terminal. e deixei um descuido de alterar o mac para porta wlan1 para sempre a mesma, e sempre só funcionava somente 1 radio. tava quase mandando trocar todos esses radio quando descobri essa façanha minha.
re: Segmentar Rede para Impedir Clonagem de MAC Address
Citação:
Postado originalmente por
gzanatta00
só se é problema da criptografia, pois sem tudo é uma maravilha.
me sistema é todo roteado, ips validos nos clientes, não tem nat.
e tem como ver se tem gente clonando. pois eu comprei ums 10 SXT a um tempo atras e fiz um script para configura-lo somente colando no new terminal. e deixei um descuido de alterar o mac para porta wlan1 para sempre a mesma, e sempre só funcionava somente 1 radio. tava quase mandando trocar todos esses radio quando descobri essa façanha minha.
como disse anteriormente.
se com criptografia a "rede" ficou ruim... é sinal de que a rede ou o roteador tem algum problema.
talvez processamento baixo?
somente com hotspot, sem nenhum outro mecanismo de seguranca (principalmente sem criptografia wireless)
independente de ter configurado o servidor com Hotspot+IP+MAC, permitindo uma conexao per host.
se houve um clone, voce NUNCA sabera... pode apostar.
re: Segmentar Rede para Impedir Clonagem de MAC Address
Olha tem muita gente que fala: ah usa pppoe que acaba com os problemas de clonagem.
se nao estou enganado a melhor forma de se usar pppoe e desabilitando o protocolo IPv4
ou fazendo o radinho de cliente pppoe.
resumindo dificilmente vc conseguirá acabar com os clones de mac.
a nao ser que use um programa especifico para bloqueio de clonagem de mac como o hostcert: HostCERT - A Solu
esse sim evita.