Página 3 de 11 PrimeiroPrimeiro 12345678 ... ÚltimoÚltimo
+ Responder ao Tópico



  1. Citação Postado originalmente por Tremedeira Ver Post
    Imagine a seguinte situaçao :
    Se o seu cliente que usa login e senha abre uma sessao no seu hotspot , apos ser aberto essa sessao, automaticamente o mk cria um cookie para esse usuario , dai entao os "muleke" usam aquele programinha que scaneia redes e pegam mac x ip de quem esta ativo e clona , esse muleke nao vai prescisar autenticar por que o mikrotik entende que ja existe uma sessao iniciada praquele mac x ip , o que acontece entao !?? navegaçao liberada..
    Realmente é muito complicado , mesmo setando um mac por host nao adiantaria , ele fazz uma conexao paralela com a do usuario verdadeiro. As vezes Imperceptível .
    Amigo,

    Primeiro - não é devido ao cookie que o tal clonador tera acesso somente por ter clonado IPxMAC.
    O cookie é criado e fica armazenado no navegador de quem autenticou...

    o "clonador" so tera acesso imediato na rede se seção do cliente nao foi finalizada.

    Faça um teste, configure a duração do cookie para 12 hrs... configure o Idle e keeplive para em torno de 1 ou 2 min.
    Faca a autenticação e desligue o pc, espere 5 min (assim, nesse tempo o Hotspot ira finalizar a seção do cliente), apos esse tempo voltei a ligar o pc... contudo, ao inves de abrir o mesmo navegador, abra outro navegador, veras que sera pedido usuario e senha normalmente (pois a seção ja foi finalizada)...
    depois va e abra o mesmo navegador na qual vc fez a autenticacao anterior, veras que sera autenticado automaticamente. (isso acontece pq o Cookie incial/valido foi criado e salvo naquele navegador e tem a validade de 12 hrs).

    Segundo - Configurando o "Address Per MAC" com o valor "1" - somente é possivel 1 conexao por usuario, dessa forma, se haver clonagem, somente um ira navegar.
    Agora imaginemos o seguinte: foi configurado no Hotspot um idle e keeplive auto... o cliente efetuou a autenticacao e logo em seguida desligou o pc, mas nao finalizou a seção...
    logo, se alguem clonar o IPxMAC desse cliente... consiguira navegar normalmente sem que seja necessario colocar o USERxSENHA (pois a seção ja estava aberta).
    Solucao: configurar um idle e keeplive baixo (no maximo 5min), dessa forma se o cliente sair o clonador precisar clonar o IPxMAC logo em seguida.

  2. Citação Postado originalmente por Tremedeira Ver Post
    Imagine a seguinte situaçao :
    dai entao os "muleke" usam aquele programinha que scaneia redes e pegam mac x ip de quem esta ativo e clona ,
    Ai vc me diz... do mesmo jeito que o "muleke" usou aquele programinha que scaneia a rede e pega o mac x ip.. ele pode ter usado aquele outra programinha que é possivel pegar o usuario x senha... ai ele usa as duas informaçoes e autentica na rede.
    Solucao: Configure o Hotspot para fazer a autenticacao via HTTPS (SSL), ai dificulta que a senha seja pega pela rede.

    Otimo, conseguimos dificultar que o "muleke" descubra o usuario e senha pela rede, mas e o IP x MAC?
    Um jeito de dificultar é colocando cada cliente em uma rede /30, e usar switchs e radio com vlan.... assim dificultamos que um usuario enchergue o outro.

    Legal, agora o "muleke" nao vai mais conseguir pegar o ip x mac x user x senha pela rede, mas nada impede que o "muleke" pegue essa informacao com o seu vizinho e conecte na rede.
    Um jeito de dificultar isso é colocando senha para acesso ao setup do radio e criptografia para se conectar na rede... dessa forma, mesmo que o "muleke" tenha todas as informacoes, o mesmo nao consiguira se conectar na rede pois nao sabe a senha de autenticacao no AP.

    Agora vamos supor que o cliente va viajar e empresta seu equipamento para um "amigo"do outro lado da cidade.
    Justamente naquela torre onde ja esta no limite.
    Solucao: Configurar para que aquele cliente somente seja aceito em uma regiao.

    Em resumo, para uma maior segurança é necessario usar varios meios de segurança.



  3. E se entrasse na rede e colocasse o IP do gateway e fizesse um servidor apache com a cara da tela de login do hotspot, fizesse uma regra de firewall para que toda a requisicao que chegasse fosse redirecionada para essa tela clonada e cada vez que você coloca o usuario e senha os mesmos sao salvos em um arquivo de texto?

    Ainda acho que a solução de hotspot é fraca no quesito segurança.

    Saudações a todos,

  4. Citação Postado originalmente por GrayFox Ver Post
    E se entrasse na rede e colocasse o IP do gateway e fizesse um servidor apache com a cara da tela de login do hotspot, fizesse uma regra de firewall para que toda a requisicao que chegasse fosse redirecionada para essa tela clonada e cada vez que você coloca o usuario e senha os mesmos sao salvos em um arquivo de texto?

    Ainda acho que a solução de hotspot é fraca no quesito segurança.

    Saudações a todos,
    Solucao ja postada tbm... Switch e Radio com vlan...
    Alem de que, como que o camarada iria conseguir entrar na rede se ele nao possui a senha de acesso?
    pelo menos aqui eu uso WPA2, para o "muleke" conseguir quebrar, ele tem que ser fera mesmo.

    Na realidade, qualquer solucao "unica" é fraca... o ppoe por si tbm é snifavel, tbm possui brechas de segurança.
    o jeito para tentar ter uma maior segurança é complicar mesmo.
    Última edição por AndrioPJ; 01-11-2010 às 22:58.



  5. A unica maneira que vejo o hotspot funcionando bem seria fazendo uma rede com wpa2.
    Se a rede for aberta é praticamente impossivel ele funcionar direito.

    Imagina entao se alem de fazer o apache e redirecionamento no firewall, colocar tambem um AP no mesmo SSID? O que estiver com o sinal melhor vai entregar o sinal. Mais problemas...
    Acredito que não é ideal ficar discutindo dessa forma a tecnologia.
    Mas para mim, o PPPoE é a melhor solução.
    Como disse, opiniao pessoal: 802.11 com WPA2, + PPPoE com MPPE.






Tópicos Similares

  1. Dica de Aparelho para compra com Clonagem de MAC
    Por Welitonxd no fórum Servidores de Rede
    Respostas: 1
    Último Post: 13-03-2014, 17:38
  2. Respostas: 6
    Último Post: 22-01-2014, 12:11
  3. RB750 para Controle de MAC Address
    Por Lbberti no fórum Redes
    Respostas: 1
    Último Post: 09-01-2012, 19:31
  4. Programa para Clone de Mac-address
    Por Jonatanmcc no fórum Redes
    Respostas: 12
    Último Post: 07-04-2009, 20:15
  5. Solução para evitar clonagem de mac?
    Por infopoint no fórum Redes
    Respostas: 16
    Último Post: 20-05-2008, 03:20

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L