Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Invasão (Burlando) Mikrotik

    Boa noite a todos.

    Hoje encontramos uma situação pitoresca por assim dizer.

    Um pirata invadiu o sistema sem ter o menor acesso.
    Usamos MIKROTIK com default authenticate desmarcado e forward desmarcado também cadastramos todos os clientes na acess list.

    Porem notei que hoje um dos meus pontos a pontos estava tendo um consumo acima do normal.
    quando entrei no MTK ele tinha um MAC - que nao esta na lista de acesso e mesmo assim ele constava na lista de registro. Mesmo colocando ele na lista e desmarcando o authenticate o safado ainda consegui conectar normalmente no sistema. Depois de rodar toda a internet achei o topico com a informação de que marcar a opção: ARP reply-only cairia a conexão do bastardo isso aconteceu por 5 segundos até o retorno do mesmo.

    Nisso parece que ele tem um programa que de alguma forma passa os meus IPs chaves de servidores clientes e etc, é até incrivel como ele sabe bem os IPs. e principalmente a velocidade que estes IPs são trocados não seria um pessoa trocando. Então sai criando conflitos de IP e mais um tanto de porcaria na rede.

    A Solução até o momento foi criar uma regra de FIREWALL para bloquei por MAC DROPando assim todos os pacotes destinados para o filho da mãe.

    Os idiotas são muito inventivos.... O cara esta mudando "clonando" o mac e foge do bloqueio no Firewall.

    O Que me deixou de cabelo em Pé é justamente como ele fez para BURLAR o controle de MAC do proprio MTK.

    Com a palavras os Mestres do Forum...

  2. #2

    Padrão

    Citação Postado originalmente por UltraFox Ver Post
    Boa noite a todos.

    Hoje encontramos uma situação pitoresca por assim dizer.

    Um pirata invadiu o sistema sem ter o menor acesso.
    Usamos MIKROTIK com default authenticate desmarcado e forward desmarcado também cadastramos todos os clientes na acess list.

    Porem notei que hoje um dos meus pontos a pontos estava tendo um consumo acima do normal.
    quando entrei no MTK ele tinha um MAC - que nao esta na lista de acesso e mesmo assim ele constava na lista de registro. Mesmo colocando ele na lista e desmarcando o authenticate o safado ainda consegui conectar normalmente no sistema. Depois de rodar toda a internet achei o topico com a informação de que marcar a opção: ARP reply-only cairia a conexão do bastardo isso aconteceu por 5 segundos até o retorno do mesmo.

    Nisso parece que ele tem um programa que de alguma forma passa os meus IPs chaves de servidores clientes e etc, é até incrivel como ele sabe bem os IPs. e principalmente a velocidade que estes IPs são trocados não seria um pessoa trocando. Então sai criando conflitos de IP e mais um tanto de porcaria na rede.

    A Solução até o momento foi criar uma regra de FIREWALL para bloquei por MAC DROPando assim todos os pacotes destinados para o filho da mãe.

    Os idiotas são muito inventivos.... O cara esta mudando "clonando" o mac e foge do bloqueio no Firewall.

    O Que me deixou de cabelo em Pé é justamente como ele fez para BURLAR o controle de MAC do proprio MTK.

    Com a palavras os Mestres do Forum...


    Bom, eu acho que entendi alguma coisa que esse camarada está fazendo ai...ele está navegando com seus ip's válidos, não com seu range de ip's inválidos, mas sim com seus ip's válidos, já viu essa possibilidade?

    Para os que entendem muito sobre o MK e acham que é quase impossível entrar na rede e navegar eu já tinha descoberto essa falha aqui, não postei nada para não ensinar a ninguém, centralize as suas regras de firewall para bloquear essa invasão na interface do link, ou seja, procure fechar a interface do link.

    OBS: Só tinha encontrado essa falha com ip's válidos



  3. #3

    Padrão

    existe um programa wireless igual ao NETSTUMBLER quer escaneia tudo no ar MAC/IP/ROTA/GATEWAY/PORTA


    é o programa mais fantástico que ja vi até hj e por motivo de seguranca nao vou postar aqui, mas ele ABRE TUDO TODOS OS SOCKETES coisa de outro mundo literalmete

    OBS nao precisa saber nada da rede nem senha nem nome nada, apenas descascar 4cm do RGC213 e segurar por 10 seg com a mão e plimmm tudo e todos de forma ORGANIZADA e SEPARADA


    O CARA QUE CRIOU ISSO É O CARA DOS CARAS!

    obs somente extreme profissionais sabem usar este software, a pessoa que vc esta lidando pussui muito mais conhecimento que os anos lhe propos, nao tem o que vc fazer contra ele, a nao ser usar wep de preferencia 256bit
    Última edição por Pirigoso; 25-11-2008 às 00:55.

  4. #4

    Padrão

    Deixa eu adivinhar...Vc usa Hostpot neh?



  5. #5

    Padrão

    Não e Hotpot e rede roteada normal.

    Pessoal acho que não seria uma boa hora para elogiar este filho da mãe mais sim criar uma solução ou contra medida estou com as calças na mão não tenho defesa a porcaria do programa ou cara não para de trocar fiquei de 17hs quando descobri até a meia noite quando desisti e deixei o cara navegar... Não tenho contra medidas. Ele não pode furar o bloqueio de MAC da MTK isso não é logico... ele esta usando macs do tipo AA:AA:AA:AA:AA:AA - 12:34:56:78:90 e isso mesmo o MTK esta deixando passar este tipo de MAC. Então ele escanea todo o MTK é pega os ips de clientes trafegando (qualquer IP) pega o MAC e cloca o cliente isso em questão de segundos.

    Tem que existir uma maneira de travar essa troca de MAC.

  6. #6

    Padrão

    Citação Postado originalmente por UltraFox Ver Post
    Não e Hotpot e rede roteada normal.
    Coloque autenticação ip x mac x usuario x senha, não use somente mac+ip.

    Quanto a permitir estes macs pode ser bug ou alguma configuração do MK, tentou procurar no manual?



  7. #7

    Padrão

    Citação Postado originalmente por netosdr Ver Post
    Coloque autenticação ip x mac x usuario x senha, não use somente mac+ip.

    Quanto a permitir estes macs pode ser bug ou alguma configuração do MK, tentou procurar no manual?
    Já revirei do manual ao Google e todos os caras que eu conheço que mexem com o MTK.

    Não se muda uma rede pra esse tipo de controle da noite pro dia isso e muito dificil... tenho que saber como corrigir essa precha antes... porq não adianta muito !!! PARAR todos os clientes subitamente.

  8. #8

    Padrão

    Citação Postado originalmente por UltraFox Ver Post
    Já revirei do manual ao Google e todos os caras que eu conheço que mexem com o MTK.

    Não se muda uma rede pra esse tipo de controle da noite pro dia isso e muito dificil... tenho que saber como corrigir essa precha antes... porq não adianta muito !!! PARAR todos os clientes subitamente.
    Vc pode se organizar, enviando os logins no boleto, configurando uma senha padrão, dividindo os clientes em servidores, se usa dhcp ir setando gateway que contem o hotspot aos poucos...



  9. #9

    Padrão Solução

    Não use o Mikrotik como router wireless.... a não ser que exista uma versão que usa WPA/WPA2, caso contrário vai ter que comprar um roteador Wireles (nunca D-Link) e usar a criptografia WPA,Mac Filters, mudar o range de ip que vem padrão de fábrica....
    Pois o WPA, para ser quebrado, tem que usar um dicionário de senhas , a não ser que o cara te conheça muito bem para chutar uma senha sua ... não tem como quebrar, pode levar dias tentando! Agora se você usa WEP , já era, qualquer um vai entrar na sua rede, mesmo colocando toda segurança de firewall, mac filter, e range de ip ...

    Braço!
    Última edição por tecofoda; 25-11-2008 às 11:20.

  10. #10

    Padrão

    Olá a todos do fórum.
    Então Ultrafox, pelo visto o problema que vc tem ai pode ser vários motivos, porém tem duas que são coerentes:

    - Primeira: Bug no Mikrotik
    - Segunda: O mikrotik tem um controle de acesso muito bom, porém nada impede que alguém que já esteja conectado pegue uma lista de macs em uso na rede, ou seja, as vezes algum cliente seu tem a lista de macs, esta lista pode ser obtida através de vários programas como o CC Get Mac Address ou o IPScan(que inclusive mostra o ip tb), nada impede dele ter repassado a lista.

    Agora o melhor que você pode fazer ai são regras de firewall mesmo, como Anti Mac Spoofing, bloqueio de mensagens de broacast(Muito usado pra descobrir os ip`s da rede), bloquear pings de rede interna para bloquear esses programas que fazem uso disso.
    Outra coisa importante tb seria uma migração deste atual sistema para um sistema de autenticação centralizada como diz o usuário netosdr, como radius, pppoe e etc, além de ficar mais seguro você não tem tantos transtornos de administração de usuários.

    Esquece criptografia!!! Não é a solução, pode até funcionar a curto prazo, até vc migrar todos os usuários com a chave não demora muito até ser quebrada e além de consumir banda do cartão, então esquece isso.


    Espero ter ajudado qualquer coisa post aqui
    Última edição por Tuxbsd; 25-11-2008 às 11:31.



  11. #11

    Padrão RESOLVIDO

    RESOLVIDO

    Alguem "Funcionario" Criou acidentalmente um MAC na lista de acesslist em branco nisso um MAC poderia ser qualquer um que o cara colocasse. Depois de descobrir isolei o problema e deixei o cara conectado estamos instalado o SNIFFER para salvar todos os passos do MELIANTE para sabermos quem e onde ele esta.

  12. #12

    Padrão

    Citação Postado originalmente por UltraFox Ver Post
    RESOLVIDO

    Alguem "Funcionario" Criou acidentalmente um MAC na lista de acesslist em branco nisso um MAC poderia ser qualquer um que o cara colocasse. Depois de descobrir isolei o problema e deixei o cara conectado estamos instalado o SNIFFER para salvar todos os passos do MELIANTE para sabermos quem e onde ele esta.
    Se vc descobrir quem é, registre um BO na delegacia, tenho certeza que ele vai pensar 2 vezes antes de quererm algo ilegal de novo...



  13. #13

    Padrão

    acho que voces estao querendo comprar missel pra matar mosquito nao acham nao?

    Que nos sabemos que tudo que esteja em wireless seja visivel é o obviu, correto? sao ondas de radio com o principio basico de emissor e receptor, entao quem tiver um bom recepctor vai receber o que estao enviando ... porem a questao é, o que estou recebendo????

    Deixe do jeito que ta meu caro .. mete uma cripto wpa2 e até logo.

    Outro detalhe ... o cara nao invadiu seu MK, ele apenas usou a cabeca, clonou os macs que saiu mudando o mac da wifi dele.

    Outro detalhe, voce usa AP+WDS ? Se sim .. fica mais facil pq ele pegou todos os seus mac cadastrados, independente da localizacao de seus clientes.

    Solução .. mete wpa ou wpa2 e deixa o cara querer tirar a onda dele hehehehehehe ele vai estar de cara no chao

  14. #14

    Padrão

    Citação Postado originalmente por marcelhalls Ver Post
    acho que voces estao querendo comprar missel pra matar mosquito nao acham nao?

    Que nos sabemos que tudo que esteja em wireless seja visivel é o obviu, correto? sao ondas de radio com o principio basico de emissor e receptor, entao quem tiver um bom recepctor vai receber o que estao enviando ... porem a questao é, o que estou recebendo????

    Deixe do jeito que ta meu caro .. mete uma cripto wpa2 e até logo.

    Outro detalhe ... o cara nao invadiu seu MK, ele apenas usou a cabeca, clonou os macs que saiu mudando o mac da wifi dele.

    Outro detalhe, voce usa AP+WDS ? Se sim .. fica mais facil pq ele pegou todos os seus mac cadastrados, independente da localizacao de seus clientes.

    Solução .. mete wpa ou wpa2 e deixa o cara querer tirar a onda dele hehehehehehe ele vai estar de cara no chao
    Criptografia é pra amador, em grandes provedores não se usa criptografia, sobrecarrega equipamentos, dá dor de cabeça pra configurar os clientes, muita canseira.

    Tem métodos de autenticação que já criptografa os dados no servidor, pra que colocar isso no ap que tem 64MB de RAM e processadorzinho de 100mhz?

    Se o cara "invadiu" usou de meios ilícitos pra conseguir isso, porque o PROVEDOR em questão não dá acesso, ele VENDE, se quiser pode requerer seus direitos, um simples boletim de ocorrência e uma visita de um policial na casa dele vai fazer ele ficar esperto....

    Bem, é só o que eu penso!



  15. #15

    Padrão

    Amigo,

    Acho que voce esta equivocado, mas nao é minha competencia em questionar isso, eu dei a opção de uma das alternativas, existem outras, aonde a minha ou a sua pode ser a melhor, cabe ao cliente em escolher levando algum criterio em relevancia ( custo ou beneficio ).

    Se o problema é hardware, coloque um que atenda, é pra isso que existe MK e dlink no mercado, o cliente escolhe o preço que se quer pagar, depois ele ver se o que ele pagou valeu a pena.

    Problema em clientes? Cripto? Acho que mais uma vez voce se equivocou, ou como cito no primeiro paragrado, veja o seu criterio de relevancia, se voce usa plaquinhas em clientes, isso pode ser um problema, mas se voce usa radios, acho que voce deve mudar a marca de seus radios, mas nao deixe de usar criptografia, wireless sem cripto = amadorismo

    Espero ter sido claro e inofensivo.

    Boa sorte!

  16. #16

    Padrão

    Amigos,

    Para se proteger existem 2 maneiras, uma é usando autenticação do usuário por PPOE por exemplo, mas sempre lembrando que esse trafego da PPOE tem de ser criptografado se não o cara descobre as senhas. Ou usando criptografia nos rádios, lembrando que já existe um trabalho que conseguiu quebrar chaves WPA por isso sempre use WPA2.

    Abraços.



  17. #17

    Padrão

    Concordo em genero numero e grau

    So so meio sismado com PPoE em wireless porque o pacote é gigante! so par metalico mesmo pra guentar o trafego dele hehehehehe

    MK com MK o bicho ainda senta

  18. #18

    Padrão

    Citação Postado originalmente por marcelhalls Ver Post
    Amigo,

    Acho que voce esta equivocado, mas nao é minha competencia em questionar isso, eu dei a opção de uma das alternativas, existem outras, aonde a minha ou a sua pode ser a melhor, cabe ao cliente em escolher levando algum criterio em relevancia ( custo ou beneficio ).

    Se o problema é hardware, coloque um que atenda, é pra isso que existe MK e dlink no mercado, o cliente escolhe o preço que se quer pagar, depois ele ver se o que ele pagou valeu a pena.

    Problema em clientes? Cripto? Acho que mais uma vez voce se equivocou, ou como cito no primeiro paragrado, veja o seu criterio de relevancia, se voce usa plaquinhas em clientes, isso pode ser um problema, mas se voce usa radios, acho que voce deve mudar a marca de seus radios, mas nao deixe de usar criptografia, wireless sem cripto = amadorismo

    Espero ter sido claro e inofensivo.

    Boa sorte!
    Se em algum momento eu ofendi, me desculpe..

    Existem diversas opniões, cada um deve seguir o que for melhor pra si.

    Cada realidade deve direcionar pensamento e metodologia de trabalho.

    No começo por exemplo também pensei que criptografia iria ser bom (e é com certeza) mas pra minha realidade não se encaixa.

    Um abraço.



  19. #19

    Padrão

    O problema e que muitos prpvedores usao placas pci wireless no pc isso facilita muito qualquer programa que rode na sua rede pegando ip/mac .
    Aqui so uso radio roteado no cliente numca tive dores de cabeca , o cara pode ate scanear so que nao vai passar nada pra minha rede , se passa o sistema indentifica e dropa o ip do cliente e o cara fica sem navega , sendo assim ele me liga e o fumo come.
    So aconteceu de 1 cliente me ligar pra desbloquear..
    Quando libero um ip no servidor coloco o ip na wan do radio roteando pra lan do radio sendo assim nao passa nada de fora pra dentro e de dentro pra fora.

  20. #20

    Padrão

    Aqui estou usando PPPOE e Hotspot. O PPPOE é tranquilo mas o Hotspot era vulneravel a sniffers. Resultado, taquei mascara de 32 bits no dhcp e até agora testei varios sniffers e nenhum conseguiu scanear. Pode até ser que consiga mas ainda nao achei nenhum....

    Outra coisa, deichei o dhcp server como static e ainda assossiei o arp com o dhcp server dae ninguem pega ip a nao ser que esteja cadastrado.

    Isso tudo vai dificultando cada vez mais a vida dos malditos script kids!