Invasao de Server MK

[maxbauer]

Olá pessoal,

Não sou expert em mk, estou usando ele faz pouco tempo, e por sinal, estou adorado.
Mas estou intrigado com uma coisa.

Seria possível alguem navegar na minha rede sem que seja visto?
Vou explicar melhor.

Montei um server com as seguintes configs.
Processador = Pentum III - 1GHz
Memoria = 512 MB DIM
HD = 40 GB IDE

Fiz as seguintes configs.
Amarrei IPxMAC
Setei a placa de rede dos clientes para reply-only
Criei Queues para cada ip liberado para controle de banda

Isso está instalado em conjunto com 2 RB-153 c/ 3 MiniPCI Atheros, e a rede é aberta sem senha, controlo apenas pelo atrelamento de IPxMAC.

Tem gente falando que esta usando a minha rede sem pagar.. isso seria possivel?

Vc's que sao mais intendidos no assunto, existe alguma falha que deixaria um ip sem estar cadastrado navegar?

Espero que possam me ajudar.

Mt Obrigado

[sergio]

Se está amarrando IPxMAC em IP/ARP, interfaces em Reply-Only (no caso do wireless ainda pode usar a opção Default Authenticate como disable e criar Access List, habilitando apenas a opção default authenticate para cada um) não tem jeito. A não ser que estejam clonando MACxIP, pois desta forma vão usar como se fosse um cliente cadastrado. Outro detalhe é não deixar nenhum IP configurado nas interfaces, com roteamento ou nat habilitado, pois se alguém usar o mesmo como gateway poderá navegar (se burlar as regras de autenticação) sem controle de banda.

Dica: use criptografia WPA2, feche sua rede, se puder implemente PPPoE ou HotSpot para prover uma camada a mais de segurança.

[maxbauer]

Se está amarrando IPxMAC em IP/ARP, interfaces em Reply-Only (no caso do wireless ainda pode usar a opção Default Authenticate como disable e criar Access List, habilitando apenas a opção default authenticate para cada um) não tem jeito. A não ser que estejam clonando MACxIP, pois desta forma vão usar como se fosse um cliente cadastrado. Outro detalhe é não deixar nenhum IP configurado nas interfaces, com roteamento ou nat habilitado, pois se alguém usar o mesmo como gateway poderá navegar (se burlar as regras de autenticação) sem controle de banda.

Dica: use criptografia WPA2, feche sua rede, se puder implemente PPPoE ou HotSpot para prover uma camada a mais de segurança.

sendo assim fico mais tranquilo... verei o que posso fazer em questao da seguranca...
mas so de saber que nao tem jeito ja fico tranquilo...

valeu!

[sergio]

sendo assim fico mais tranquilo... verei o que posso fazer em questao da seguranca...
mas so de saber que nao tem jeito ja fico tranquilo...

valeu!

Espero que tenha lido o resto, depois do não tem jeito.

[maxbauer]

Espero que tenha lido o resto, depois do não tem jeito.

li sim e intendi, c acaso ele conseguir o macXip do cliente ele pode se passar por ele, porém, como uso ap no clientes e os mesmos ficam sempre ligados, ao tentar usar o ip de outro cliente... da conflito de ip e nenhum dos 2 navega...

esses tempos tive um problema assim de conflito de ip, porém o kra nao emulou mac algum... ai ficou facil de ver quem era e bloquear ele...

nao tenho clientes que mexem mt com isso, a maioria sao ignorantes na parte tecnica, so sabem mesmo usar, a minha preocupacao é com o tecnico do provedor concorrente... o kra eh bom...

existe alguma maneira de invadir um server mk?

digo assim entrar nele e alterar as configs sem ter ip cadastrado e a senha do admin?

e supondo que um cliente meu queira mexer no server...
existe alguma possibilidade de ele conseguir entrar?

o server ta com ssh e telnet desativados...

valeu..

[elitnet]

li sim e intendi, c acaso ele conseguir o macXip do cliente ele pode se passar por ele, porém, como uso ap no clientes e os mesmos ficam sempre ligados, ao tentar usar o ip de outro cliente... da conflito de ip e nenhum dos 2 navega...

esses tempos tive um problema assim de conflito de ip, porém o kra nao emulou mac algum... ai ficou facil de ver quem era e bloquear ele...

nao tenho clientes que mexem mt com isso, a maioria sao ignorantes na parte tecnica, so sabem mesmo usar, a minha preocupacao é com o tecnico do provedor concorrente... o kra eh bom...

existe alguma maneira de invadir um server mk?

digo assim entrar nele e alterar as configs sem ter ip cadastrado e a senha do admin?

e supondo que um cliente meu queira mexer no server...
existe alguma possibilidade de ele conseguir entrar?

o server ta com ssh e telnet desativados...

valeu..

Amigo,

Sinceramente, esta rede sua, é o tipo de rede fácil de invadir! Voce teria que ter pelo menos uma autenticação, e outra coisa dificilmente quem vai tentar clonar ip e mac para navegar seja cliente seu, serão outras pessoas da cidade que querem internet de graça e q talvez vc nem conheça!! Também não se conforme em porque a cidade é pequena ou porque vc conhece as pessoas q elas não vao fazer isso, isso não existe!
Agora Já que vc usa rádio em todos os clientes, o que vc poderia fazer era implantar pppoe no seu servidor e colocar o proprio radio do cliente para autenticar, isso quer dizer q o cliente nem vai saber q existe usuario e senha pra conectar. Assim ficaria menos facil de alguem invadir!

[maxbauer]

Amigo,

Sinceramente, esta rede sua, é o tipo de rede fácil de invadir! Voce teria que ter pelo menos uma autenticação, e outra coisa dificilmente quem vai tentar clonar ip e mac para navegar seja cliente seu, serão outras pessoas da cidade que querem internet de graça e q talvez vc nem conheça!! Também não se conforme em porque a cidade é pequena ou porque vc conhece as pessoas q elas não vao fazer isso, isso não existe!
Agora Já que vc usa rádio em todos os clientes, o que vc poderia fazer era implantar pppoe no seu servidor e colocar o proprio radio do cliente para autenticar, isso quer dizer q o cliente nem vai saber q existe usuario e senha pra conectar. Assim ficaria menos facil de alguem invadir!

em respeito a autenticacao irei futuramente implantala sim... porem nao sera em pppoe, em sim em l2tp.

sei que minha rede e vulneravel... porem nao acho q seja tao simples assim invadi-la... quando alguem clonar mac x ip e mt pouco provavel que ele consiga navegar.. pq como os radios estao sempre ligados, vai dar conflito...

a minha duvida em questao seria a possibilidade de alguem invadir meu servidor...

pq em questao dele navegar, acho mt pouco provavel que consiga...

[lelyrock]

em respeito a autenticacao irei futuramente implantala sim... porem nao sera em pppoe, em sim em l2tp.

sei que minha rede e vulneravel... porem nao acho q seja tao simples assim invadi-la... quando alguem clonar mac x ip e mt pouco provavel que ele consiga navegar.. pq como os radios estao sempre ligados, vai dar conflito...

a minha duvida em questao seria a possibilidade de alguem invadir meu servidor...

pq em questao dele navegar, acho mt pouco provavel que consiga...

ja pensou q pode juntar uns amigos e usar em horarios diferentes (desligando o radio)? na minha cidade acontecia isso.....

[maxbauer]

ja pensou q pode juntar uns amigos e usar em horarios diferentes (desligando o radio)? na minha cidade acontecia isso.....

eh ainda nao havia pensado nessa possibilidade...
porém, a minha grande duvida c deu em respeito de um espertinho que diz a todo custo que navega na minha rede sem derrubar ninguem...
pensando no que me disseram, monitorei o trafego, e descobri que ele acessava via um cliente que tem access point em casa... fiz uma visita no cliente, expliquei o que havia acontecido (pois o mesmo reclamava de net lenta), e ele topou em retirar o ap...
por medida de segurança, troquei o ip dele e estou esperando alguma comprovação do suposto invasor...
pois fiz um desafio a ele, disse que c ele entrar no meu server, e tirar um print da tabela ARP e QUEUES, deixo ele usar a net sem limitação de banda... ele topou.. agora vamos ver...
a respeito da autenticacao, estou montando um outro server com l2tp assim que ele estiver pronto irei coloca-lo, ai sim... sei que sera mt dificil alguem conseguir algo...

valeu pela dica!

sempre frequentei esse forum... porém nunca havia postado, realmente me surpreendi, em relação ao tempo de resposta...
pra mim esse está sendo o melhor forum técnico que temos atualmente, espero que continue assim..

obrigado a todos

[sergio]

Para melhorar a segurança do seu servidor MT.

1 - permita conexões aos serviços FTP, WWW e SSH apenas de IPs cadastrados.(ip services)
2 - Mude a porta padrão do SSH (ip services)
3 - Desabilite o telnet (ip services)
4 - Permita o MAC Server apenas na interface da sua rede local (tools)
5 - Permita Winbox apenas na interface da sua rede local (tools)
6 - Trabalhe com filtros que controlem o INPUT ao servidor (ip firewall filter).

[lelyrock]

eh ainda nao havia pensado nessa possibilidade...
porém, a minha grande duvida c deu em respeito de um espertinho que diz a todo custo que navega na minha rede sem derrubar ninguem...
pensando no que me disseram, monitorei o trafego, e descobri que ele acessava via um cliente que tem access point em casa... fiz uma visita no cliente, expliquei o que havia acontecido (pois o mesmo reclamava de net lenta), e ele topou em retirar o ap...
por medida de segurança, troquei o ip dele e estou esperando alguma comprovação do suposto invasor...
pois fiz um desafio a ele, disse que c ele entrar no meu server, e tirar um print da tabela ARP e QUEUES, deixo ele usar a net sem limitação de banda... ele topou.. agora vamos ver...
a respeito da autenticacao, estou montando um outro server com l2tp assim que ele estiver pronto irei coloca-lo, ai sim... sei que sera mt dificil alguem conseguir algo...

valeu pela dica!

sempre frequentei esse forum... porém nunca havia postado, realmente me surpreendi, em relação ao tempo de resposta...
pra mim esse está sendo o melhor forum técnico que temos atualmente, espero que continue assim..

obrigado a todos

nao entendo muito de protocolos tb nao, mas talvez minha duvida (se alguem responder) possa te ajudar tb.... DHCP nao seria mais seguro q L2TP nao? acho q poderia ser mais seguro por esconder o IP, gatway e DNS ne? mas pra vc q usa AP em todos os clientes deixa eu te pergunta, vc faz NAT em todos? vc coloca uma senha (sua e nao do cliente) em todos APs? se nao ta fazendo isso, faça! é tb uma maneira de esconder o ip do cliente, e com a senha nenhum sabichao vai conseguir acessar o ap pra saber o ip dos clientes. aqui na minha cidade tinha um tecnico (q nao trabalhava no provedor) q quando ia dar manutençao no pc das pessoas, anotava o mac e ip das pessoas e clonava, pois os aps ficavam abertos pra qlqr um acessar.

[sergio]

nao entendo muito de protocolos tb nao, mas talvez minha duvida (se alguem responder) possa te ajudar tb.... DHCP nao seria mais seguro q L2TP nao? acho q poderia ser mais seguro por esconder o IP, gatway e DNS ne? mas pra vc q usa AP em todos os clientes deixa eu te pergunta, vc faz NAT em todos? vc coloca uma senha (sua e nao do cliente) em todos APs? se nao ta fazendo isso, faça! é tb uma maneira de esconder o ip do cliente, e com a senha nenhum sabichao vai conseguir acessar o ap pra saber o ip dos clientes. aqui na minha cidade tinha um tecnico (q nao trabalhava no provedor) q quando ia dar manutençao no pc das pessoas, anotava o mac e ip das pessoas e clonava, pois os aps ficavam abertos pra qlqr um acessar.

L2TP é túnel encriptado (VPN) que provê maior segurança, inclusive que PPPoE. É uma das melhores escolhas que ele poderá utilizar na rede, dependendo apenas do hardware, uma vez que o processamento utilizando é mais alto.

DHPC é para facilitar a administração do servidor na distribuição de endereços IPs.

leia a abaixo:

Introdução ao DHCP

VPN :: L2TP - Protocolo para Tunelamento na Camada de Enlace

[vipnet]

Na minha opnião, a utilização de DHCP facilitaria mais ainda a conexão de pessoas não autorizadas, pq bastaria apenas conectar ao rádio da distribuição, se não houver criptografia tipo wpa, wep etc.. e esperar o ip chegar! seria um pouco mais difícil se houvesse controle por MAC, mas mesmo assim ainda ficaria mais fácil quebrar do que IP amarrado ao MAC. abraços.

[maxbauer]

nao entendo muito de protocolos tb nao, mas talvez minha duvida (se alguem responder) possa te ajudar tb.... DHCP nao seria mais seguro q L2TP nao? acho q poderia ser mais seguro por esconder o IP, gatway e DNS ne? mas pra vc q usa AP em todos os clientes deixa eu te pergunta, vc faz NAT em todos? vc coloca uma senha (sua e nao do cliente) em todos APs? se nao ta fazendo isso, faça! é tb uma maneira de esconder o ip do cliente, e com a senha nenhum sabichao vai conseguir acessar o ap pra saber o ip dos clientes. aqui na minha cidade tinha um tecnico (q nao trabalhava no provedor) q quando ia dar manutençao no pc das pessoas, anotava o mac e ip das pessoas e clonava, pois os aps ficavam abertos pra qlqr um acessar.

sim... todos os meus aps sao protegidos por senha..
e eu os configuro da seguinte forma...

eu habilito o modo wisp e configuro o ip da interface wan...
no wisp ele serve como gateway, deixo setado o dhcp server do ap para distribuir apenas 2 ips, caso o cliente necessite de mais e so me avisar que libero, cada maquina conectada ao ap recebe um ip em uma faixa diferente a do servidor, ex.:
rede do servidor: 192.168.21.x
dhcp do ap: 192.168.100.x

essa foi a maneira mais simples e eficaz que encontrei para configurar os computadores dos clientes...
pq antes eu usava o ap em modo client, mas como amarro o ip ao mac, toda a vez que um cliente trocava de computador, eu tinha que liberar... isso era um problema.. e o pior toda a vez que um cliente formatava o pc, eu tinha que ir ate a casa dele configurar dinovo, pq por incrivel que pareça, os tecnicos aqui da minha cidade, nao se preocupam em salvar o ip do cliente, simplesmente formatam de qualquer jeito.. ai acabava sobrando pra mim...

eu estou utilizando aps ovislink wl-5460 no clientes...

valeu!

[lorrancf]

maxbauer ..cara.. vai no orkut e procura a comu

wi-fi hacking

você precisa aprender a clonar mac+ip para poder ter a noção do quanto está vulnerável.

[maxbauer]

maxbauer ..cara.. vai no orkut e procura a comu

wi-fi hacking

você precisa aprender a clonar mac+ip para poder ter a noção do quanto está vulnerável.

ok...
vou dar uma olhada...

valeu pela dica!

[iron]

Amigo maxbauer, aproveitando o seu post, gostaria de pedir seu auxílio num problema q estou tendo aki e já esgotei minhas possibilidades de tentativas de resolver, e agradeceria muito se vc ou outro amigo puder me dar uma luz...
É oseguinte: tenho uma rede num condomínio onde o MK está rodando blz apenas com duas placas de rede comuns controlando o acesso de clientes aa internet, eu uso apenas IP/MAC, DHCP, queue simples e web-proxy, tudo normal. No alto do prédio tenho um WL5460 (Ovislink) com firmware AP router trabalhando em modo bridge sem WEP, pra atender poucos clientes externos, quase todos usam placas PCI ou adaptadores USB sem problemas, porém tive a necessidade de instalar uns clientes com rádios, mas não tive sucesso em usar o rádio no modo client em bridge, só funciona se o rádio estiver no modo Clint ISP, ou seja fazendo roteamento e NAT.
Qual é minha intenção: fazer com que o rádio fique transparente e o PC do cliente receba IP, dns e gatway direto do MK, e que navegue, pq assim o cliente poderia ter vários pc´s na sua casa e eu controlaria todos apartir do MK e não apartir do rádio.
O mais curioso é que o pc do cliente até recebe IP do MK todo certinho, porém não há nada que o faça navegar.
Agradeceria muito se alguém desse uma idéia pra eu descobrir onde eu estou escorregando..
Grato,

[lelyrock]

Amigo maxbauer, aproveitando o seu post, gostaria de pedir seu auxílio num problema q estou tendo aki e já esgotei minhas possibilidades de tentativas de resolver, e agradeceria muito se vc ou outro amigo puder me dar uma luz...
É oseguinte: tenho uma rede num condomínio onde o MK está rodando blz apenas com duas placas de rede comuns controlando o acesso de clientes aa internet, eu uso apenas IP/MAC, DHCP, queue simples e web-proxy, tudo normal. No alto do prédio tenho um WL5460 (Ovislink) com firmware AP router trabalhando em modo bridge sem WEP, pra atender poucos clientes externos, quase todos usam placas PCI ou adaptadores USB sem problemas, porém tive a necessidade de instalar uns clientes com rádios, mas não tive sucesso em usar o rádio no modo client em bridge, só funciona se o rádio estiver no modo Clint ISP, ou seja fazendo roteamento e NAT.
Qual é minha intenção: fazer com que o rádio fique transparente e o PC do cliente receba IP, dns e gatway direto do MK, e que navegue, pq assim o cliente poderia ter vários pc´s na sua casa e eu controlaria todos apartir do MK e não apartir do rádio.
O mais curioso é que o pc do cliente até recebe IP do MK todo certinho, porém não há nada que o faça navegar.
Agradeceria muito se alguém desse uma idéia pra eu descobrir onde eu estou escorregando..
Grato,

tentou usar como modo gateway tb? qual AP vc usa nos clientes?

[maxbauer]

Amigo maxbauer, aproveitando o seu post, gostaria de pedir seu auxílio num problema q estou tendo aki e já esgotei minhas possibilidades de tentativas de resolver, e agradeceria muito se vc ou outro amigo puder me dar uma luz...
É oseguinte: tenho uma rede num condomínio onde o MK está rodando blz apenas com duas placas de rede comuns controlando o acesso de clientes aa internet, eu uso apenas IP/MAC, DHCP, queue simples e web-proxy, tudo normal. No alto do prédio tenho um WL5460 (Ovislink) com firmware AP router trabalhando em modo bridge sem WEP, pra atender poucos clientes externos, quase todos usam placas PCI ou adaptadores USB sem problemas, porém tive a necessidade de instalar uns clientes com rádios, mas não tive sucesso em usar o rádio no modo client em bridge, só funciona se o rádio estiver no modo Clint ISP, ou seja fazendo roteamento e NAT.
Qual é minha intenção: fazer com que o rádio fique transparente e o PC do cliente receba IP, dns e gatway direto do MK, e que navegue, pq assim o cliente poderia ter vários pc´s na sua casa e eu controlaria todos apartir do MK e não apartir do rádio.
O mais curioso é que o pc do cliente até recebe IP do MK todo certinho, porém não há nada que o faça navegar.
Agradeceria muito se alguém desse uma idéia pra eu descobrir onde eu estou escorregando..
Grato,

olha pra ser sincero com vc, nunca consegui fazer o cliente navegar com o ap em modo client... so em modo bridge... mas vc pode fazer um teste... coloca a interface do mk com o arp em modo enable, e v o MAC que ele achou pra aquele IP, depois vc copia ele e trava novamente pra v no que da...
pelo menos aqui eu percebi que quando eu colocava o ap em modo client, ele nao repassava o mac da rede do cliente...

tenta ai a depois me fala...

t+

[iron]

tentou usar como modo gateway tb? qual AP vc usa nos clientes?

OK lelyrock, já tentei sim, e em Gateway funciona, mas assim o rádio client fica como router, e faz todo controle da rede do cliente, e isso eu não quero, quero q ele fique transparente, como se o cliente entrasse direto com placa de rede compreende ??

grato,