Página 2 de 3 PrimeiroPrimeiro 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #21

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Pois é amigo Gray fox , essa tecnica é parecida com a tecnica "middle of the men" homem do meio , nunca testei mas parece que realmente funciona , seria onde o invasor levantaria um "fake AP" com o mesmo SSID e BSSID , tambem com o mesmo hotspot , dai entao esse fake AP faria a captura de informaçoes do cliente e pelo que pude entender ele consegue falsificar certificados SSL facilmente.
    Vamos ver se alguem posta alguma soluçao pra esse tipo de caso .

    Abrços .

  2. #22

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Interessante essa técnica, nunca ouví falar dela.



  3. #23

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Citação Postado originalmente por GrayFox Ver Post
    Quando digo entregar o sinal é: Se existir 2 SSIDs no ar, o sinal que você encontra mais forte para você é onde você acaba conectando. Então, se um provedor coloca um AP sem criptografia e um entendido querer avacalhar com a rede é completamente viável. Como disse, se existir um AP sem criptografia, tu podes fazer um AP tambem com o mesmo SSID e mesmo canal. Automaticamente alguns clientes iriam se conectar na sua ERB. Com isso, dá pra fazer o que eu já tinha dito, fazer um apache, firewall, etc.
    Se a rede nao tiver criptografia da para fazer tranquilamente
    Agora eu entendi o que vc quis dizer...

    Mas, se tiver criptografia, nao da de fazer isso.

    Citação Postado originalmente por GrayFox Ver Post
    A única forma que eu colocaria hotspot para funcionar seria colocar ele dentro de uma rede com criptografia WPA2. Somente desta forma.
    Mesmo dentro de uma rede com WPA2, se vc nao colocar outros meios de segurança, continuara tendo problemas.

    Caso1:
    Imaginemos que tenhamos 2 clientes, A e B.
    Imaginemos que ja esteja configurado o WPA no AP Cliente
    Imaginemos que nao configuramos o Hotspot para aceitar somente 1 conexao pro user.
    Imaginemos que bloqueamos o cliente A

    Simplesmente o Cliente A podera usar a Senha do Cliente B (seu amigo, vizinho) e continuar tendo acesso a Internet.

    Caso2:
    Imaginemos que tenhamos 2 clientes, A e B.
    Imaginemos que ja esteja configurado o WPA no AP Cliente
    Imaginemos que o Hotspot esteja configurado para aceitar somente 1 conexao por user... porem, nao configuramos senha no AP.
    Imaginemos que bloqueamos o cliente A

    Simplesmente o Cliente A pega o MAC do Cliente B... clona o MAC no AP dele e assim podera usar a Senha do Cliente B

    Citação Postado originalmente por GrayFox Ver Post
    O que eu gosto do PPPoE é que mesmo com rede aberta vc consegue ter uma rede mais segura do que com hotspot.
    realmente, um pouco mais segura... mas ainda com brechas de segurança.
    sabemos que ate PPOE pode ser snifado.

    Citação Postado originalmente por GrayFox Ver Post
    A única desvantagem que vejo do PPP em relacao ao hotspot é que para o PPP funcionar direito, a sua rede precisa estar com a relação sinal/ruido bonitinho, sem perda de pacotes, coisa que com hotspot se você estiver com o sinal -80 ele vai funcionar.
    Nao vejo isso como desvantagem, vejo isso como garantia de qualidade.
    sinal bom, nao importa a autenticacao/rede

    Citação Postado originalmente por GrayFox Ver Post
    Não estou defendendo o PPP de uma maneira jesuíta, só que tive experiências com essas tecnologias e para provedores de Internet acredito que o PPP te deixa menos refém da possibilidade de aparecer alguém querendo avacalhar com a rede.
    Saudações a todos,
    Como eu disse, ate o PPOE tem seus problemas.
    Uma coisa que acho bom no Hotspot é a questao de propaganda, redirecionamento quando autenticado.

  4. #24

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Citação Postado originalmente por nonoque Ver Post
    Interessante essa técnica, nunca ouví falar dela.
    Veja aqui.
    Men In The Middle



  5. #25

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Vou olhar sim.

    Como o amigo acima, uma das coisas que acho fantásticas no hotspot é o fato de avisar clientes, bloquear com mensagem etc.. Isso é ótimo. É por isso que ainda tenho esperanças.

  6. #26

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Amigo, todo o tráfego é capturável, só que quando vc utiliza o servidor PPP com CHAP e MPPE, quando vc captura os pacotes eles vao estar totalmente embaralhados.
    O CHAP faz com que o handshake de user/password seja com criptografia e o MPPE criptografa o tráfego gerado após o handshake. Então, quando se captura os pacotes, mesmo sabendo o IP e o mac, o cabeçalho dos pacotes PPP possuem uma diferenciacao que mesmo se vc clonar o mac e colocar o IP dele o trafego nao passa. Os pacotes IP estão dentro de datagramas ethernet, por isso PPPoE (ppp dentro de datagramas ethernet).
    Então, se sabe de alguma falha da autenticação PPP por favor avise-nos.

    Nos seus 2 casos, uma maneira de consertar seria trancar o login e tambem fazer uma regra dentro do AP cliente para que nao tenha trafego fora das redes 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16.
    Resolveria o problema de vizinho emprestando senha.

    Realmente a idéia que se tem é a do man in the middle.

    Saudações,
    Última edição por GrayFox; 02-11-2010 às 17:55.



  7. #27

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    realmente, todo trafego por ser capturado... ate do PPPOE (puro)
    o jeito, como ja disse anteriormente... para que nao haja clone ou user/senha emprestado... o jeito é complicar.

    No caso do Hotspot:
    criptografia wp2, dificultando o acesso de pessoas nao autorizadas na rede
    senha no AP, evitando que o usuario acesse o AP e bisbilhote ele, troque mac, etc.
    "1 conexao por user" e user/senha preso ao ip x mac, evitando que o usuario/senha seja usado por outra pessoa.

    AP cliente em modo ISP e recebendo IP /30, AP torre com a opcao isolocao ativada (se possivel, usar um switch com vlan para interligar os AP torre), com isso dificultamos que seja realizado um scann na rede ou que haja compartilhamento.

    No caso do PPOE, vc ja disse pelo menos umas 3 alternativas
    Última edição por AndrioPJ; 02-11-2010 às 18:24.

  8. #28

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Rapaz, esse tópico está ficando cada vez mais rico e produtivo. Parabéns a todos!!



  9. #29

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Uma duvida, se você colocar uma senha no WP2, outra senha no AP do cliente , ocultar os clientes um do outro e determinar que esse AP apenas aceite a conexão de 1 MAC, não resolveria?

    - Eles não conseguiriam vasculhar a rede ja que as mesma estariam ocultas
    - Sem a senha do WP2 eles sequer conseguiriam acessar a rede, assim não poderiam fazer o passo acima
    - Sem a senha do AP eles não teriam acesso a configuração do AP, e não poderia descobrir o MAC/IP do mesmo.

    Enfim para alguem conseguir acessar, precisaria acessar o AP ( burlando a senha), copiar o MAC/IP, e ainda sim precisaria descobrir a senha WP2.

    Não sei se tive algum erro no raciocínio, me corrijam se estiver errado.

  10. #30

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Citação Postado originalmente por Stronks Ver Post
    Uma duvida, se você colocar uma senha no WP2, outra senha no AP do cliente , ocultar os clientes um do outro e determinar que esse AP apenas aceite a conexão de 1 MAC, não resolveria?

    - Eles não conseguiriam vasculhar a rede ja que as mesma estariam ocultas
    - Sem a senha do WP2 eles sequer conseguiriam acessar a rede, assim não poderiam fazer o passo acima
    - Sem a senha do AP eles não teriam acesso a configuração do AP, e não poderia descobrir o MAC/IP do mesmo.

    Enfim para alguem conseguir acessar, precisaria acessar o AP ( burlando a senha), copiar o MAC/IP, e ainda sim precisaria descobrir a senha WP2.

    Não sei se tive algum erro no raciocínio, me corrijam se estiver errado.
    Só que se algum cliente sniffar vai ver pois teoricamente estão na mesma rede.
    Eu pensei em uma coisa.
    Ao invés de clientes terem o ip
    192.168.1.1 - 192.168.1.2 - 192.168.1.3

    Se colocássemos
    192.168.1.1 - 192.168.2.1 - 192.168.3.1 - 192.168.4.1

    Como seria?

    Por estarem em faixas diferentes não se enxergariam. Será que daria certo assim?



  11. #31

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Com faixa de rede diferente, um cliente nao enxergaria o outro pelos metodos simples, como mapeando a rede.
    porem, ainda assim, com um sniffer ele pegaria tudo que trafegar ali na rede.... nao importa a faixa.
    Para quem usa Hotspot, uma das solucoes é usar SSL no login... assim mesmo que alguem pegue esse trafego, dificilmente ira conseguir saber o login, pois estara encriptado.

    em todo caso, o unico jeito de nao pegar trafego algum... é usar radio com a opcao "isolacao de cliente" ativado e switch com vlan para interligar os radios (ou em qualquer lugar que seja preciso um switch).

    um jeito de evitar que pessoas nao autorizadas acessem a rede é:
    usar criptografia, de preferencia WPA2 e usar senha para acesso ao setup do radio cliente.
    assim evitamos que cliente tenha conhecimento e altere o IPxMAC, como tbm evitamos dele saber qual a chave de rede (WPA2).

    Citação Postado originalmente por nonoque Ver Post
    Só que se algum cliente sniffar vai ver pois teoricamente estão na mesma rede.
    Eu pensei em uma coisa.
    Ao invés de clientes terem o ip
    192.168.1.1 - 192.168.1.2 - 192.168.1.3

    Se colocássemos
    192.168.1.1 - 192.168.2.1 - 192.168.3.1 - 192.168.4.1

    Como seria?

    Por estarem em faixas diferentes não se enxergariam. Será que daria certo assim?

  12. #32

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Citação Postado originalmente por nonoque Ver Post
    Só que se algum cliente sniffar vai ver pois teoricamente estão na mesma rede.
    Eu pensei em uma coisa.
    Ao invés de clientes terem o ip
    192.168.1.1 - 192.168.1.2 - 192.168.1.3

    Se colocássemos
    192.168.1.1 - 192.168.2.1 - 192.168.3.1 - 192.168.4.1

    Como seria?

    Por estarem em faixas diferentes não se enxergariam. Será que daria certo assim?
    Essa tecnica de sniffar consegue interpretar a criptografia WP2?



  13. #33

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Aqui fiz algumas regras para evitar que clientes se enxerguem bloqueando as portas 135, 139 e 445 mas não é eficiente. Não acho eficiente o block relay dos rádios também.

    E o lance do SSL o problema é ter que configurar no cliente. O bom é ter uma rede onde o cliente formata seu computador e não precisa te chamar pra configurar e em qualquer alteração o computador do cliente está preparado para trabalhar.

  14. #34

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Quem falou que precisa configurar o cliente?
    aqui uso certificado e nao precisei configurara nada.

    é claro que uso certificado valido, paguei R$ 60,00 valido por 1 ano... da algo como R$ 5,00 por mês
    compensa viu.

    Citação Postado originalmente por nonoque Ver Post
    Aqui fiz algumas regras para evitar que clientes se enxerguem bloqueando as portas 135, 139 e 445 mas não é eficiente. Não acho eficiente o block relay dos rádios também.

    E o lance do SSL o problema é ter que configurar no cliente. O bom é ter uma rede onde o cliente formata seu computador e não precisa te chamar pra configurar e em qualquer alteração o computador do cliente está preparado para trabalhar.



  15. #35

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Caracas Andrio. Como tú fez isso? Me explica que eu quero também!!!
    O lance do certificado, ajuda somente evitar que a senha seja capturada quando o cliente loga no hotspot? Só mesmo isso?

    Abraço

    Citação Postado originalmente por mascaraapj Ver Post
    Quem falou que precisa configurar o cliente?
    aqui uso certificado e nao precisei configurara nada.

    é claro que uso certificado valido, paguei R$ 60,00 valido por 1 ano... da algo como R$ 5,00 por mês
    compensa viu.

  16. #36

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Nos links a seguir dao uma ideia de como configurar o hotspot para usar SSL.
    a unica coisa de diferente que vc tera que fazer é comprar um certificado valido.
    o meu certificado eu comprei com o Itamar.

    https://under-linux.org/f210/seguran...do-ssl-122980/
    https://under-linux.org/f210/certifi...otspot-123193/


    sobre o block relay (Isolacao de clientes disponivel nos radios), eu tbm nao confio muito nele
    por isso uso outras tecnicas junto, como: ip/30 para cada cliente, switch com vlan para interligar os radios.
    assim, mesmo que consigam passar por cima do block relay... so irao conseguir fazer um sniffer naquele radio, os demais nao ira pegar nada.

    Contudo, acho dificil conseguir fazer um sniffer, ate pq todos os AP cliente sao configurados como ISP Cliente (o sniffer so ira pegar o trafego da Rede interna do cliente).
    Para conseguirem realizar um sniffer em algum radio, o camarada teria que conectar-se diretamente no radio (AP).. e para isso teria que ter conhecimento da chave WPA2 (aqui é diferente para cada radio)... e se de alguma forma descobrir essa chave, ai cairia nas outras tecnicas, que dificultaria conseguir qualquer informacao e/ou navegar na net.
    Citação Postado originalmente por nonoque Ver Post
    Caracas Andrio. Como tú fez isso? Me explica que eu quero também!!!
    O lance do certificado, ajuda somente evitar que a senha seja capturada quando o cliente loga no hotspot? Só mesmo isso?

    Abraço
    Última edição por AndrioPJ; 10-11-2010 às 15:28.



  17. #37

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Resumindo, WP2 e uma boa senha no ap cliente resolveria uma boa parte, tendo outras medidas pra dar cobertura...

  18. #38

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    O ruim da criptografia é que não vai mais existir a possibilidade de um usuário encontrar a rede e se cadastrar. É como uma isca pra clientes isso.



  19. #39

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    isca para clientes ou isca para intrusos...?
    Citação Postado originalmente por nonoque Ver Post
    O ruim da criptografia é que não vai mais existir a possibilidade de um usuário encontrar a rede e se cadastrar. É como uma isca pra clientes isso.
    Última edição por AndrioPJ; 10-11-2010 às 16:37.

  20. #40

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Para os dois... rsrs