Juntando forças para descoberta inedita contra navegação a base de clonagem de IP

[Marzio]

Bom,

1) O HOTSPOT seguro ainda não existe ele está sendo implementando, o pessoal da GI-LINK está criando um modelo de autenticação que fará uma chave baseada no Nº do Processador e serie do HD do micro em questão e ai sim, vou concordar que teremos um hotspot seguro. Observação: Implementado somente na rede MESH deles.

2) O Amigo argumentou com relação a estabilidade do pppoe, é simples melhore seu sinal pro seu cliente e garanto que você não terá problemas. A exemplo aqui temos centenas de clientes e praticamente não temos OS (Ordem de Serviço), lógico levou um tempo pra acertar tudo, mas garanto vale o esforço.

3) Isso ai Hotspot ou pppoe para provedor grande não rola. Resposta: HOTSPOT

Espero ter ajudado,

[]´s

[airtonveiga]

Olá amigos
Uso o sistema hotspot e gosto dele podemos fazer muitas coisa (criar paginas de login e avisos) e implemetei User-manager para fazer o gerenciamento de credito. mas o usermanager nao tem como controlar atraves do mac.

mas vendo o forum mikrotik.com estaram lancando o usermanager na versao 2.0 . o qual terá varios recursos. conforme o link .

MikroTik RouterOS • View topic - Where is the New UserManager?

com isso podemos corrigir algumas falhas pois User-manager trabalha com Hotspot.

fica ai a minha dica pra aguardarmos mais um pouco..


valew t+

[caicarabruno]

Olá amigos
Uso o sistema hotspot e gosto dele podemos fazer muitas coisa (criar paginas de login e avisos) e implemetei User-manager para fazer o gerenciamento de credito. mas o usermanager nao tem como controlar atraves do mac.

mas vendo o forum mikrotik.com estaram lancando o usermanager na versao 2.0 . o qual terá varios recursos. conforme o link .

MikroTik RouterOS • View topic - Where is the New UserManager?

com isso podemos corrigir algumas falhas pois User-manager trabalha com Hotspot.

fica ai a minha dica pra aguardarmos mais um pouco..


valew t+

Valew Pela Noticia amigo, porém de acordo com o Normis que é um dos caras da mikrotik se não me engano, ele esta em testes apenas na versão de testes do Mikrotik o 4, então anda estamso na versão 3.22 , vai demorar um pouco.

Mas mesmo o user manager fazendo controle pela mac não vai impedir de o usuário clonar e utilizar a internet. infelizmente.

abraços

[caicarabruno]

Bom,

1) O HOTSPOT seguro ainda não existe ele está sendo implementando, o pessoal da GI-LINK está criando um modelo de autenticação que fará uma chave baseada no Nº do Processador e serie do HD do micro em questão e ai sim, vou concordar que teremos um hotspot seguro. Observação: Implementado somente na rede MESH deles.

2) O Amigo argumentou com relação a estabilidade do pppoe, é simples melhore seu sinal pro seu cliente e garanto que você não terá problemas. A exemplo aqui temos centenas de clientes e praticamente não temos OS (Ordem de Serviço), lógico levou um tempo pra acertar tudo, mas garanto vale o esforço.

3) Isso ai Hotspot ou pppoe para provedor grande não rola. Resposta: HOTSPOT

Espero ter ajudado,

[]´s

Grato Marzio pelo seu conhecimento.

Devido a resposta do amigo Marzio, coloquei em prática a famosa pesquisa! Encontrei algumas coisas interessantes em java para implementer a Solução da Gi-Link, como todos aqui sabem java é muito flexivel e funciona Servidor <-> Cliente, o que vou fazer ou tentar hehe, é criar umplugin para os browsers, onde este plugin terá a função de pegar dados como Nº Série HD e Placa Mãe, assim o plugin envia estar informações para o servidor "dedicado" para que possamos utilizar estas informações.
Porém vou fazer isto utilizando Radius+Mysql, por que ?? por que ???
Para que possamso vincular as informações coletadas ao nome de usuário do mesmo!

Agora só preciso me lembrar como programa :S haha.
Ja é um pequeno passo, mas vou conseguir.
posto novidades
abraços.

[airtonveiga]

Grato Marzio pelo seu conhecimento.

Devido a resposta do amigo Marzio, coloquei em prática a famosa pesquisa! Encontrei algumas coisas interessantes em java para implementer a Solução da Gi-Link, como todos aqui sabem java é muito flexivel e funciona Servidor <-> Cliente, o que vou fazer ou tentar hehe, é criar umplugin para os browsers, onde este plugin terá a função de pegar dados como Nº Série HD e Placa Mãe, assim o plugin envia estar informações para o servidor "dedicado" para que possamos utilizar estas informações.
Porém vou fazer isto utilizando Radius+Mysql, por que ?? por que ???
Para que possamso vincular as informações coletadas ao nome de usuário do mesmo!

Agora só preciso me lembrar como programa :S haha.
Ja é um pequeno passo, mas vou conseguir.
posto novidades
abraços.

Ola amigo .

Desculpe minha ignorancia, mas não teria como fazer usando o proprio user-manager ja que ele e baseado em radius, ao inves de usar algo fora do mikrotik.?

valew t+

[caicarabruno]

Ola amigo .

Desculpe minha ignorancia, mas não teria como fazer usando o proprio user-manager ja que ele e baseado em radius, ao inves de usar algo fora do mikrotik.?

valew t+

Caro veiga, tiria sim, mas se nós nos limitarmos apenas ao mikrotik pois temso várias soluções no mercado que utilizam hotspot, myatuh é um exemplo claro!

e também poderá utilizar a solução. só por isso

abraços

[warllock01]

Boa noite!
É o seguinte.

Eu sempre digo que a informática é uma lógica perfeita, é como o corpo humano.
Estava aqui pensando e veio umas idéias doidas na cabeça e veja no que deu.

Isto aqui é baseado em Mikrotik com hotspot e pode fazer as alterações com a rede oficial de seus clientes pois só assim obtive o resultado esperado e não atrapalhou em nada na navegação deles.

Da forma que esta configurado suas maquinas em router ou em bridge com certeza o mk direciona 2 ip's para que o cliente navegue, 1 quando liga a máquina e o outro quando loga no mk correto?
-Certo, então vai em IP>DHCP>Networks e coloque a mascara (Netmask) em 30 e de ok.
-Vá na aba Leases e delete todas leases criada pra vc ver depois o que vai acontecer, mas não pare aqui continue até o final.
-Vá em IP>POOL>Pools clique 2x na linha que contém um símbolo amarelo em formato de cruz, e na caixa que aparecer altere "Next Pool" para (Pool dhcp) ou seja o mesmo nome que foi dado ao pool do dhcp que gera ip para o cliente no hotspot após ter logado e é esse que temos que fazer o cliente usar pois o do servidor dhcp é que é usado pelos clonadores. veja a idéia no inicio deste tópico.

Agora como eu fiz, faça você também, baixe o a-mac e o Colasoft MAC scanner pois usei os dois para ver se ia dar muita diferença entre outros tipos de scanner's, agora faça ele scanear a rede que foi reconfigurada agora pouco, AQUI O RESULTADO FOI O SEGUINTE: só pescou o IP e MAC do servidor e do próprio pc que estava varrendo a rede, se foi isso que aconteceu ai também isso é ponto pra lógica na informática pois como o /30 não deixa o cliente enxergar o outro na rede ele barra os scanner's também certo? e setando o pool pra ele proprio evita que o cliente fique recebendo ip do servidor dhcp, não to dizendo que o servidor dhcp não vai mais trabalhar estou dizendo que o ip liberado para conectar teria que ser o mesmo para logar no hotspot assim evitando a garupa do malandro no segundo ip que teria que vir somente do servidor dhcp e que é o que os scanner consegue enxergar, se estiver errado me corrijam, então até aqui matamos dois coelhos com uma paulada só, inibimos os ip's de clientes para os scanner's na rede e forçamos a inibição de compartilhamento involuntário de pastas e arquivos na rede.

Agora vem o melhor, vai lá como vc sabe fazer e clone qualquer cliente da sua rede e tente navegar................e ai..................nada?..................tente esperar mais um pouco.................e agora................. Se esse foi o resultado ai, aqui também, então, BINGOO! acho que estamos no caminho certo acho que pode precisar de uma regra pro firewall se tiver alguem que manja de inventar regra ai já sabe né?por enquanto nenhuma adaptação extra a rede, é só lógica. Depois dessa acho que ainda dá pra implementar um SSL que um amigo nosso postou aqui no under e evitará que o malandro bata um sniff na sua rede pra roubar senha no hotspot mas se ele não conseguir navegar por clonagem o que que ele vai fazer com senha roubada né?

GENTE DESCULPE A IMPOLGAÇÃO AI MAIS SE ME PESQUISAREM AQUI NO FORUM NÃO TENHO MUITOS POST'S MAIS JÁ CORRI ATRÁS DE MUITAS SOLUÇÕES COMO ESTA, JÁ TENTEI AJUDAR MUITOS PORAQUI E ESPERO QUE ESTÁS IDÉIAS SIRVA PRA TODOS QUE ESTÃO NESTA LUTA AQUI NO FORUM, QUEM ENCONTRAR O PRIMEIRO BUG AI NA CONFIGURAÇÃO POSTA AI PRA PODERMOS MELHORA-LA.
OBRIGADO E BOA MADRUGADA! RSRSRS

Blz, a mascara que está sendo espanada para os clientes é a 255.255.255.252, com isso os clientes só enchegam a si mesmo e + uma maquina na rede, essa "+ uma maquina" tem que ser o MK, se não eles não saem da rede pq não tem roteador e pra isso tu tem que por um IP de cada uma das 64 redes que tu criou.
Exemplo:
Rede - IP 1 - IP 2 - Broadcast
192.168.0.0 - 192.168.0.1 - 192.168.0.2 - 192.168.0.3
192.168.0.4 - 192.168.0.5 - 192.168.0.6 - 192.168.0.7
192.168.0.8 - 192.168.0.9 - 192.168.0.10 - 192.168.0.11
192.168.0.12 - 192.168.0.13 - 192.168.0.14 - 192.168.0.15
192.168.0.16 - 192.168.0.17 - 192.168.0.18 - 192.168.0.19
192.168.0.20 - 192.168.0.21 - 192.168.0.22 - 192.168.0.33

E etc...

E depois vai ter que criar tambem um DHCP server para cada seguimento de rede.

Estou certo?

[fernandofiorentinn]

O que ele fez acima é criar subredes, um ip e um gateway, cada cliente esta em planos diferentes na rede, da forma que a maioria trabalha /24 todos estaria em uma mesma rede, /30 cada um tem sua rede, isso de fato inibe snifers, o RouterOS (pelo menos a versão que eu tenho,3.xx) só permite uma conexão por mac, se um cliente estiver conectado o clone nao conecta, mas eu nao uso hotspot, não ainda, uma solução interessante é o casamento do RouterOs com o Brazilfw, esse ultimo tem um ( hotspot ) captive portal muito eficiente e controla muito bem subredes, alem de squid , sarg, bind, entre outras afinidades, uma dica interessante que ja peguei aqui no forum pra aumentar a segurança use um dhcp à parte e no cliente use ip fixo com subredes. Desta forma o unico jeito do cara navegar de graça na sua rede é se tiver ajuda do cliente , prq alem de clonar o mac ele tera que setar o ip e ainda saber o login e senha do captive portal.

[Marzio]

PPPOE também faz Captive Portal, só pra registrar. Aqui mesmo no forum tem o tutorial sobre o assunto.

[]´s

[fernandofiorentinn]

eu nunca usei ppoe, ms ja alguem falando no forumque nao precisa de colocar ip, nocaso pro hotspot funcionar com pppoe teria que usar ip. é isso?

[Marzio]

eu nunca usei ppoe, ms ja alguem falando no forumque nao precisa de colocar ip, nocaso pro hotspot funcionar com pppoe teria que usar ip. é isso?

PPPOE é um concentrador e no cliente não é preciso adcionar nenhum IP no micro o mesmo será atribuído quando o tunel for formado.

[]´s

[underwanderson]

O que ele fez acima é criar subredes, um ip e um gateway, cada cliente esta em planos diferentes na rede, da forma que a maioria trabalha /24 todos estaria em uma mesma rede, /30 cada um tem sua rede, isso de fato inibe snifers, o RouterOS (pelo menos a versão que eu tenho,3.xx) só permite uma conexão por mac, se um cliente estiver conectado o clone nao conecta, mas eu nao uso hotspot, não ainda, uma solução interessante é o casamento do RouterOs com o Brazilfw, esse ultimo tem um ( hotspot ) captive portal muito eficiente e controla muito bem subredes, alem de squid , sarg, bind, entre outras afinidades, uma dica interessante que ja peguei aqui no forum pra aumentar a segurança use um dhcp à parte e no cliente use ip fixo com subredes. Desta forma o unico jeito do cara navegar de graça na sua rede é se tiver ajuda do cliente , prq alem de clonar o mac ele tera que setar o ip e ainda saber o login e senha do captive portal.

ola fernandofiorentinn,
poderia abrir um topico sobre o o Brazilfw e seu captive portal como vc disse "uma solução interessante é o casamento do RouterOs com o Brazilfw, esse ultimo tem um ( hotspot ) captive portal muito eficiente e controla muito bem subredes, alem de squid , sarg, bind, entre outras afinidades" pois ja tentei usar o Brazilfw so mas com mk ja pode ser realmente uma ajuda ne? e se puder explicar como funciona este (hotspot) captive portal agradeceria.
obrigado

[fernandofiorentinn]

Olá, estou preparando um tutorial com bse nas informaçoes do proprio site do BF, mas como o tempo é pouco vai demorar um pouquinho...

[underwanderson]

Boa noite unders de plantao!
eh o seguinte, apesar das configurações colocadas atraves de ideia minha aqui em um post, ainda continuo usando e com certificado ssl implementado, e ao refazer os testes aqui notei que consegui abrir paginas mas com mac que por ventura eu ja tinha em maos e navegando com alguma dificuldade (eu nao queria se fosse um clonador de mac ficar quebrando cabeça em uma rede com dificuldade de navegação!), blz, entao fiz uma avaliação e vi que quem nao possui mão de mac's da minha rede e vai aventurar levantar um mac scan pela primeira vez nesta rede, como foi dito o safado so recebera o mac dele mesmo e o do gateway da rede (o que teriamos de camufla-lo ou ate mesmo esconde-lo quem souber posta ai seja regra firewall ou outro meio), entao, ai continuando minhas ideias malucas.
configurei um ap edimax em bridge com wap2 e chave extensa onde o ap so ficaria ali pra autenticar a passagem pra internet apos cliente logar no hotspot em vez de colocar a tal chave wap2 no ponto de acesso externo o que bloquearia o hotspot para o publico e nao seria o ideal aqui. este ap edimax implementei ele entre o modem que esta em bridge e o mk (quem disca ppp0e é o mk), entao a rede tava ficando assim:
o cliente ligaria o pc, antes de logar pediria confirmação do certificado ja instalado na maquina sim ou nao (quem fez o teste sabe do que estou falando) entao ele logaria no hotspot com seu user e senha (o intuito aqui e manter o hotspot hein!) e antes do mk liberar ele pra fora na internet ele passaria por dentro do ap edimax com wap2 que esta ali so pra barrar-lo com autenticação wap2, ele iria digitar a chave somente uma vez a nao se que venha formatar a maquina um dia ai teria que digitar tal chave novamente (ou nos iriamos digitar para que ele nao tentasse passar para alguem) apesar que se explicassemos que ele e quem correria riscos passando tal chave pra alguem ele ate nem o faria.
mas ai que vem o problema, vi que o ap em bridge a conexao passa direto pra internet e nem pede a tal chave o que poderia ter feito? sera que o ap tem que ser um gateway? e como fariamos para redirecionar no firewall do mk para a criptografia do ap? como ficaria a regra?
entao so precisamos juntar e ver como fica isso e ai o malandro so chegaria ate o hotspot pois na hora boa de navegar ele teria que passar uns bons dias da vida dele tentando quebrar a chave pra ver a telinha do google.
ajudemo-nos e verás o quanto somos fortes!
obrigado e boa madrugada!

[fernandofiorentinn]

interessante mesmo seria um protocolo, a internet gira em torno do tcp/ip, a idéia é o seguinte, um protocolo proprietario, assim como se instala o ipx ele ( nosso protocolo ) seria instalado nas configuraçoes de rede na casa do cliente com alguma identificação , todo a comunicaçao entre o cliente e o servidor seria feita por esse protocolo, tipo um tunel, e no servidor é feita a conversão, seria um modem virtual... Implementando algumas regras no firewall, a unica coisa que o clone veria seria a pagina de propaganda do provedor.

[underwanderson]

interessante mesmo seria um protocolo, a internet gira em torno do tcp/ip, a idéia é o seguinte, um protocolo proprietario, assim como se instala o ipx ele ( nosso protocolo ) seria instalado nas configuraçoes de rede na casa do cliente com alguma identificação , todo a comunicaçao entre o cliente e o servidor seria feita por esse protocolo, tipo um tunel, e no servidor é feita a conversão, seria um modem virtual... Implementando algumas regras no firewall, a unica coisa que o clone veria seria a pagina de propaganda do provedor.

ola, boa noite fernandofiorentinn
acho que a galera se disperssaram pois tem tempo e ninguem apareceu pra comentar o assunto exceto vc, mais tudo bem acho que consegui algo que pode dar muito trabalho pros safados ainda esta em teste mas pelo que vi parece que vai dar certo, o maximo que o safado vai conseguir e o ip e o mac dele proprio e do servidor o que seria suicidio da rede esse mac do server mas acho que consegui solucionar tal problema terminando os testes vou postar o msn ou fonte de comunicação segura que possa ser passado pois notei que os safados frequentam o under tambem e fica so estudando suas estrategias por aqui, se tudo ocorrer como imagino logo postarei, e olha so o hotspot que eh o primordial a ser mantido esta aberto aos ventos aqui e graças a Deus nada ainda aconteceu, eh um conjunto de configuraçãos e implementaçãoes que esta dando certo mais a frente entrarei em contato aqui mesmo. obrigado

[osmano807]

Essa idéia de um protocolo é difícil, pois e acho que teríamos que saber um pouco sobre o kernel do Windows (o que é restrito, claro). Talvez em algum lugar tenha alguma dica de como fazer esse "driver".

[mdcsp]

aqui soh uso ip + mac(controlando banda pela queue), nao uso pppoe nem hotspot....

Um colega nosso aqui do under postou algo a respeito de :
ip + mac + nome_do_micro(ou nome_do_ap)

Porem pelo (pouco) que entendi isso soh seria possivel se usa-se apenasas rb´s sem servidor?!?!?!?!

E ae isso procede ?
Da mesmo pra fazer ip+mac+nome_do_micro ?

[jmathayde]

Nosso colega acima sitou algo sobre o portal capitve do BFW Easycaptive , ja usei e le digo que o projeto esta parado , esperando a nova versão do sistema a 3.0 , sendo que o mesmo addons esta descontinuado e com alguns bugs muito interresantes e inritantes ate , masi estou esperando que o desenvolvedor retorna com o projeto .

Na minha opnião, uma solução para quem saiba fazer claro :

Sistema de cookies nao seria interresante para este controle ?, exemplo , o cliente abre seu navegador e digita senha e usuario , o servidor cria o cookie com as devidas informações , esta ativo e libera a sua navegação ,um malandro consegue escanear o ip deste cliente e o mac , clona os dois abre o internet explorer ou mozilla sei la navegador , quando ele tenta acessar a internet o servidor verifica se a alguns cookie liberado para aquele mac ip dele caso nao tenha putfs pede senha , repetindo 3 ou mais vezes o mesmo lança um cookie negando acesso a pagina de login e redirecionando a uma pagina morta com alguns dizeres interresantes , fazendo assim um sistema sem interferrencia nso clientes ( ninguem precisa ir la ou adcionar qualquer programa).Não sei muito bem como funciona o sistema de cookies do MK mais não deve ser muito dificiel fazer este tipo de controle, eu acho


fuiiiiiiiiiiiii

[aksgnet]

Esse assunto é muito polemico....

Vejo assim uma solução quase perfeita...

No caso de redes SEM FIO.. é servidores MK com senhas WPA2-AES individual para cada cliente....
Sendo assim.. se voce for invadido (clonagem).. e for detectado.. voce sabe que alterando uma senha WPA2..voce derruba esse INVASOR de uma só vez....
Pra detectar esses eventos é criar um sistema de analise de LOGS....

CLiente empresarial.. voce sabe o horario de funcionamento dele.... se por acaso ele tem horario diferenciado.. no sistema que voce vai criar isso.. voce cadastra o horario de funcionamento dele...
Se tiver eventos de log para fora do horario voce ja sabe que ta havendo clonagem... e logico.. sabe onde resolver.. (logico que tudo isso num sistema AUTOMATIZADO).... e com senha WPA2-AES individual.. voce altera só daquele cliente e ta resolvido....

Se for cliente residencial.. voce verá possivelmente alguns momentos que deve HAVER CONFLITOS... (queio que seja possivel LOGAR ISSO NO MK)...

E criar sistemas tambem para detectar isso e tambem tratar automaticamente...

E logico.. nao esquecer de DESMARCAR "DEFAULT FORWARD" nos cartoes... e se tiver + de 1 cartao na interface do cliente, criar uma brigde e criar os filtros para nao se enxergarem....

No caso de redes CABEADAS... estar sempre de olho na mesma situacao.... Se voce trabalhar com DHCP na rede.. voce verá que se ja tiver alguem navegando no seu IP... ele simplesmente vai LOGAR.. dizendo que nao foi possivel atribuir o IP pq ja esta em uso.. e assim é DETECTAVEL também.

Se voce tiver mais condiçoes.. (em prol da qualidade.. utilizar SWITCHS GERENCIAVEIS.. (procurar um que seja "custo/beneficio" e bloquear que uma determinada porta só possa utilizar DETERMINADO IPxMAC e determinar que todo trafego só pode fluir para porta X (que é que vai ao encontro do GATEWAY).....

No mais.. por enquanto são as soluções...

Vamos estudar + opções e discutir...

A ideia de criar um PLUGIN para o NAVEGADOR é interessante..
Mas precisamos tirar essa ideia da BANCADA de IDEIAS.. e por em prática..
Consultar um PROGRAMADOR.. que saiba programar PLUGIN (igual de banco).. que ler dados como HD, PLACA MAE, MEMORIA, ETC... e fazer um cadastro.... num server PARALELO... e apos armazenado... ele sempre enviar uma solicitacao do cliente para o servidor... com os dados..
se nao bater... DESLOGAR O CLIENTE.. e se REPETIR DIVERSAS VEZES.. BLOQUEAR... E assim entrar em contato com o cliente para mudar IPxMAC para evitar as quedas....

Vamos as IDEIAS... Nao deixe a ideia MORRER.

Vamos a LUTA.