Como bloquear MAC no NS2

[beirsdorf]

olá pessoal , é na vespera do jogão da copa que surgiu um problema, estão tentando rackear a minha rede aqui, e queria saber como se bloquea endereço mac pelo o nanostation2. abraço a todos.

[granlabor]

olá pessoal , é na vespera do jogão da copa que surgiu um problema, estão tentando rackear a minha rede aqui, e queria saber como se bloquea endereço mac pelo o nanostation2. abraço a todos.

Se você quer evitar que seu NanoStation CLIENTE se conecte a outro AP, faça isso:
- acesse a administração do rádio CLEINTE usando seu navegador.
- Clique na aba "LINK SETUP".
- no campo "Bloquear em MAC de AP:" digite o endereço MAC do ponto de acesso preferido.
- Aplique as alterações.

Isto evitará que seu rádio migre para outro AP com o mesmo SSID que o seu.
O lado negativo disso é que ocorrendo queima do AP você terá que acessar a interface LAN do rádio CLIENTE para atualizar o endereço MAC do AP.


Se você quer evitar que CLIENTES não autorizados se conectem ao seu NanoStation AP, faça isso:
- acesse a administração do rádio AP usando seu navegador.
- Clique na aba "LINK SETUP".
- Ative a caixa "ACL MAC:"
- Em "Protocolo:" selecione "PERMITIR".
- Digite no campo o endereço MAC autorizado e clique em "ADICONAR".
- Aplique as alterações.

Desta forma só os rádios autorizados se conectarão ao seu AP.
O lado negativo disso é que você terá que acrescentar o MAC de cada radio novo que estiver autorizado a se conectar na sua rede.


INFORMAÇÃO ATUALIZADA:
Trabalho com segurança de redes há 8 anos e lamento informá-lo que o procedimento acima está ultrapassado há pelo menos 3 anos. De lá pra cá tornou-se dispensável como medida de segurança em equipamentos wireless porque o invasor clona o MAC do cliente e depois tenta quebrar a cripografia pra ganhar acesso à rede.

Lista de acesso por MAC representa uma linha de comando a mais para o invasor e um trabalho danado para o administrador da rede wireless. É muito mais simples e eficiente ativar a criptografia WPA2 com uma senha bem complexa para proteger os rádios e deixar que equipamentos específicos cuidem do controle de acesso.

Redes wireless modernas permitem que os rádios se comuniquem sem restrições (só ativando a criptografia) e utilizam sistemas de gerenciamento na rede interna.


ZéAlves

[beirsdorf]

mas wpa2 não pesa muito no rádio? qual wpa2 TKIP ou AES? como faço sendo que tenho 20 rádios separados ? ir na casa de cada um?

outra coisa consegui bloquear o mac, atualizei a firmware para 3.5, obrigado.

[granlabor]

mas wpa2 não pesa muito no rádio? qual wpa2 TKIP ou AES? como faço sendo que tenho 20 rádios separados ? ir na casa de cada um?

outra coisa consegui bloquear o mac, atualizei a firmware para 3.5, obrigado.

Depende do processador que você tem no seu equipamento. Os mais modernos nem sentem a diferença com WPA2 ligado ou desligado. Se o AP está próximo do número máximo de clientes, talvez seja um problema... se isso acontecer é hora de migar para equipamento mais potente.

Toda rede que eu pego, ligo WPA2. Tente ligar a criptografia e monitore seu equipamento, talvez aceite sem dificuldades.

Se você não tiver acesso via browser ao GUI do equipamento, realmente vai ter que ir de cliente em cliente. Minha recomendação nesse caso? Ligue para cada um dos seus 20 clientes (ainda bem que são apenas 20) e peça pra eles ligarem o rádio... quem não estiver em casa ou não ligar, vai entrar em contato com você pra reclamar que está sem sinal. Daí você vai até esse cliente...

WPA2 TKIP já é o suficiente. Eu tenho percebido que Ubiquiti e Mikrotik não estão se falando com criptografia ligada. Se alguém souber como se corrige isso, me ensina por favor...


ZéAlves

[beirsdorf]

aqui uso um nano2 como ap, ligado uns 10 aps nele simultaneos, é um chip atheros de 180mhz, o que você acha? a maioria dos aps dos clientes tem chip realtek.

[granlabor]

aqui uso um nano2 como ap, ligado uns 10 aps nele simultaneos, é um chip atheros de 180mhz, o que você acha? a maioria dos aps dos clientes tem chip realtek.

Quanto aos outros equipamentos eu não sei dizer e o melhor é testar... Alguns equipamentos mais antigos não possuem WPA2, veja qual a criptografia é comum para todos os teus equipamentos e aplique. Menos WEP, porque é o mesmo que nada

já que você está começando pense na possibilidade de usar os bullets e nanos na tua infra de rede. Desta forma fica padronizado.

Se não me engano, o nano2 (bullet2), suporta 25 clientes simultâneos. Pode até ter mais clientes conectados ao AP, mas ele serve 25 simultaneamente. Com 10 clientes vc está com aproximadamente 50% da carga máxima de clientes (caso todos resolvam navegar ao mesmo tempo).

Acho que isso arremata o assunto. Se precisar de mais informações passe teu contato via MP do Under-Linux.

ZéAlves