+ Responder ao Tópico



  1. #1

    Padrão Falha grave mikrotik - 2 macs e 2 ips iguais trafegando na rede

    Olá Pessoal

    Preciso muito da ajuda de vocês...

    Uso o Mikrotik , a um certo tempo , implantei alguns esquemas de segurança que estava funcionando...

    resolvi então estudar apartir de maquinas virtuais e como segunda etapa antes de colocar em produção usar um 2 Rbs que possuo aqui..

    O que esta acontecendo é o seguinte..

    Estou usando :

    Ip x Mac x Hotspot

    Dhcp Leases com iP Estatico

    O que fiz:

    Criei um Servidor DHCP , mudei o Pool para estatido , fui em Leases e cadastrei um Ip JUnto com o Mac do cliente....
    Habilitei também o Use Src mac Adress em Leases

    Fui no hotspot e coloquei o numero 1 em Address Per Mac,

    Crei o usuario no Hotspot para colocando o usuario a senha , o ip e o mac que deve aceitar a conexão

    Fui em ARP e cadastrei também o Mac junto com o Ip do cliente

    A ARP de todas as interfaces da RouterBoard estão em modo Reply-Only...

    Agora vem o teste:

    fui na primeira maquina , e logo de primeira já pegou o ip normalmente , fui acessar a internet , cai na tela do hotspot..me loguei e funcionou normalmente

    na segunda maquina , liguei ela , e devido ao seu Mac Address ser diferente , ela não pegou nenhum IP...ou seja deu certo....

    O Segundo teste eu fiz o seguinte..

    Clonei o Mac da primeira maquina para a segunda....ambas estão na mesma porta...

    deu um ip renew...advinha o que aconteceu?

    Falha 1- ela pegou ip na hora em que mandei reparar..
    Falha 2 - quando cliquei no navegador para abrir , achando que ia aparecer a tela do hotspot...Advinha....nem precisou , como a primeira maquina ja estava logada no hotspot , a segunda maquina nem foi pra tela de usuario e senha...ja foi direto para a internet...idependente de usar hotspot com Cookie ou sem , deu no mesmo..

    Obs.:Ele Trafegou com o Mesmo IP que o Mac Original...

    Perguntas:

    1)Como faço para que a segunda maquina , depois de clonado o Mac da primeira , não pegue nenhum IP?
    2) O que é SRC Mac Adress em DHCP Leases e para que serve?
    3)Para que serve o Always BroadCastt dentro de Leases do DHCP?
    4)Como faço para usar Radius dentro do Mikrotik , sem usar um servidor Externo?
    5)o que fazer para solucionar esta falha no Mikrotik , sem usar um servidor Externo?(pois só uso RB)...


    Desculpem minha ignorancia...

    Mas achei que estava fazendo as coisas certas...

  2. #2

    Padrão Re: Falha grave mikrotik - 2 macs e 2 ips iguais trafegando na rede

    Citação Postado originalmente por didism2 Ver Post
    Perguntas:

    1)Como faço para que a segunda maquina , depois de clonado o Mac da primeira , não pegue nenhum IP?
    2) O que é SRC Mac Adress em DHCP Leases e para que serve?
    3)Para que serve o Always BroadCastt dentro de Leases do DHCP?
    4)Como faço para usar Radius dentro do Mikrotik , sem usar um servidor Externo?
    5)o que fazer para solucionar esta falha no Mikrotik , sem usar um servidor Externo?(pois só uso RB)...
    1) Nao tem como, o DHCP simplesmente vai atribuir IP para a maquina se essa possuir o MAC correto... o DHCP nao sabe diferenciar um MAC clonado de um verdadeiro.

    2) No site da Mikrotik fala que é o Endereço MAC de origem, mas nao sei para que serve ao certo. para min nunca fez diferenca

    3) Envia todas as Respostas como Broadcast (ou seja, toda a rede recebe a resposta para esse usuario)

    4) Radius serve para consultar o Banco de Dados em um outro servidor... se nao quer usar outro Servidor Externo, para que usar Radius?

    5) A que falha voce se refere?

  3. #3

    Padrão Re: Falha grave mikrotik - 2 macs e 2 ips iguais trafegando na rede

    4)Como faço para usar Radius dentro do Mikrotik , sem usar um servidor Externo?
    Voce tem que usar o pacote user-manager depois na config do hotspot setar o radius local

    veja no site da MK User Manager/Hotspot Example - MikroTik Wiki

  4. #4
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão Re: Falha grave mikrotik - 2 macs e 2 ips iguais trafegando na rede

    Não existe falha. A natureza do hotspot no Mikrotik ROS é essa. Leia o manual e se atente ao Universal Client que entenderá o que ocorreu.

    Manual:Hotspot Introduction - MikroTik Wiki

  5. #5

    Padrão Re: Falha grave mikrotik - 2 macs e 2 ips iguais trafegando na rede

    Olá Amigos....

    mascaraapj - Pretendo usar o Radius , para que o usuário faça uma autenticação , antes de pegar um ip ou antes de se conectar na rede wireless , como é possivel fazer em outros tipos de servidores e roteadores.....
    O Servidor externo, que mencionei , é referente a uso de somente Rb's , sem usar PC como Radius , pois ainda não possuo esta disponibilidade

    Mesmo assim , ainda ficou uma dúvida , ..

    Como posso impedir que alguém que clone o Mac de um usuario não acesse a rede?
    Qual a solução a ser tomada?
    Já se deparou com esta situação?

    Usando aircrack , e Backtrack no Linux , levei 40 segundos para invadir minha rede...

    Achei que as maquinas com o mesmo ip daria conflito na rede e isto não aconeteceu
    essa era a falha

    -----------------------------------------


    leoservice - usei o Usermanager para Radius - Hotspot , mas por que os usuarios que crio no User manager não aparece na lista de usuarios do hotspot sendo que com os usuarios do Usermanager é possivel se logar no hotspot?

    ---------------------------------

    sergio - Obrigado pelo link.....
    De primeira , não ficou tão facil a compreensão do manual , mas me aprofundarei a cada dia sobre a questão para entender...

  6. #6

    Padrão Re: Falha grave mikrotik - 2 macs e 2 ips iguais trafegando na rede

    Uma sugestao se ainda for possivel implantar em sua rede, utilize PPPoE vc nao vai ter essas dores de cabça,muito mais seguro.

  7. #7
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão Re: Falha grave mikrotik - 2 macs e 2 ips iguais trafegando na rede

    Em uma rede aberta não existe a possibilidade de evitar clone de MAC Address e, consequentemente, evitar o uso indevido. A forma de garantir a privacidade da rede é utilizar criptografia WPA2 AES, de preferência usando chaves individuais para cada estação.

  8. #8

    Padrão Re: Falha grave mikrotik - 2 macs e 2 ips iguais trafegando na rede

    Amigos ....

    Obrigado por me acompanhar neste caso..

    Estou pretendendo ,trabalhar com Hotspot ,trabalhando atrás do PPPoE....

    Onde quando o usuario se autenticar no WPA2 COM CERTICADO (WPA2- EAP), chegue no PPPoE coloque o usuario e senha e só navegue na internet , após se logar no hotspot.....

    De fato sei que o hotspot , não oferece praticamente nenhuma segurança.....é muito facil de burlar....pretendo posteriormente usar SSL no Hotspot para tentar entrar em uma zona de conforto....
    Pois não posso abrir mão do hotspot , devido ao merketing e comunicados que realizo junto á eles...

    Sobre o WPA , na verdade nem o WPA2 com aes é inquebravel , pois estudando em cima da criptografia , consegui quebrar minha criptografia.....demorou horas e não foi facil mas é possivel....

    Então afim de assegurar isto , estou pretendo usar:

    WPA2 EAP + PPPoE + Hotspot

    Usuario primeiramente terá que passar pelo WPA2 EAP (usando certificado) para se comunicar com a interface wireless do meu dispositivo , depois disso o mesmo precisara se conectar via PPPoE , e para entrar na NET o usuario terá que se logar no hotpot com o usuario e senha para navegar tranquiliamente....

    Para o usuario não ter que fazer um monte de volta para acessar a internet , buscarei ferramentas que auxiliam na conexão com meu provedor...softwares como o do Railink que auxilia na conexão e criptografia do WPA2 no cliente ....
    Buscarei ferramentas que cerregue o certificado do WPA2 e se logue automaticamente no PPPoE , desta forma o usuario ao ligar o computador , irá usar apenas o usuario e senha do hotspot para se logar acessar a internet....

    Ficando Muito mais pratico e seguro...

    A pergunta que não quer calar é:

    É possivel fazer isto?
    Alguém já fez algo parecido?

    Se alguém já fez isto ou algo parecido e puder nos ajudar , sei que estara ajudando muita gente...

    Se ninguém nunca fez isto , esta ai um novo desafio.....

    Vamos lutar nesta campanha de provedor sem invasores com bolso furado , rsrs
    Última edição por didism2; 16-11-2011 às 13:39.

  9. #9

    Padrão Re: Falha grave mikrotik - 2 macs e 2 ips iguais trafegando na rede

    Amigo, me deparei com o mesmo problema que o seu porém em um cenário REAL!
    Um cliente inadimplente meu, resolveu "pendurar" uma antena com placa pci no telhado e fazer algumas artimanhas para conseguir "filar" internet mesmo estando bloqueado...
    Ele não fez isso com o nosso equipamento em comodato porque o equipamento é travado com user e senha e o mesmo não se aprofundou muito pra quebrar nosso login dos radios (eu também deixo desativado o ssh nos equip. clientes).
    Pois bem, sem muito esforço, esse cliente clonou um MAC de um de nossos BULLETS da torre, e como o mesmo eu preciso deixar no IP BINDINGS pra poder acessá-lo, o dito-cujo conseguiu navegar, sem login no hotspot pois o mesmo esta no IP BINDINGS.
    A Unica maneira que resolvi foi colocar os rádios das torres (52 rádios) em uma outra classe IP, e bloquear o NAT dessa classe no meu BSD.
    Mas, tô de cabelo em pé também porque; mesmo sabendo da vunerabilidade do Hotspot, como um dos amigos acima citaram, eu também não queria abrir mão do Marketing do Hotspot.
    Mas estou começando a enchergar que não vale o risco! Estou prestes a trocar toda a minha rede por PPPoE!
    Certa vez quando eu ainda usava o bom e velho BFW, eu testei PPPoE nele e o mesmo tinha um mecanismo que "GERAVA" uma chave VPN (se não me engano, faz muito tempo) e essa mesma chave deveria ser inserida no COMPUTADOR do cliente que fosse discar...
    Lembrando que meu cenário na época era plaquinha nos clientes, logo entao o cliente discava a conexão por meio de um discador.
    Hoje meu cenário mudou, uso somente rádios nos clientes...E pretendo discar o PPPoE somente nos rádios!

  10. #10

    Padrão Re: Falha grave mikrotik - 2 macs e 2 ips iguais trafegando na rede

    Citação Postado originalmente por PauloMassa Ver Post
    Amigo, me deparei com o mesmo problema que o seu porém em um cenário REAL!
    Um cliente inadimplente meu, resolveu "pendurar" uma antena com placa pci no telhado e fazer algumas artimanhas para conseguir "filar" internet mesmo estando bloqueado...
    Ele não fez isso com o nosso equipamento em comodato porque o equipamento é travado com user e senha e o mesmo não se aprofundou muito pra quebrar nosso login dos radios (eu também deixo desativado o ssh nos equip. clientes).
    Pois bem, sem muito esforço, esse cliente clonou um MAC de um de nossos BULLETS da torre, e como o mesmo eu preciso deixar no IP BINDINGS pra poder acessá-lo, o dito-cujo conseguiu navegar, sem login no hotspot pois o mesmo esta no IP BINDINGS.
    A Unica maneira que resolvi foi colocar os rádios das torres (52 rádios) em uma outra classe IP, e bloquear o NAT dessa classe no meu BSD.
    Mas, tô de cabelo em pé também porque; mesmo sabendo da vunerabilidade do Hotspot, como um dos amigos acima citaram, eu também não queria abrir mão do Marketing do Hotspot.
    Mas estou começando a enchergar que não vale o risco! Estou prestes a trocar toda a minha rede por PPPoE!
    Certa vez quando eu ainda usava o bom e velho BFW, eu testei PPPoE nele e o mesmo tinha um mecanismo que "GERAVA" uma chave VPN (se não me engano, faz muito tempo) e essa mesma chave deveria ser inserida no COMPUTADOR do cliente que fosse discar...
    Lembrando que meu cenário na época era plaquinha nos clientes, logo entao o cliente discava a conexão por meio de um discador.
    Hoje meu cenário mudou, uso somente rádios nos clientes...E pretendo discar o PPPoE somente nos rádios!
    se quer manter o Hotspot
    - comece a usar alguma criptografia (WPA AES ou WPA2), que seja conhecida somente pela empresa.
    - ative a isolacao de clientes (ubnt) ou desmarque o default forward (mk)
    - use IP /30
    - Use Switch com VLAN para interligar os AP ou onde for necessario um Switch (ou seja, nao use Switch comum)

    pronto, dificilmente algum engraçadinho nao autorizado ira acessar sua rede.
    e mesmo que consiga acesso a sua rede, dificilmente ira conseguir rodar um scann/sniffer.

  11. #11

    Padrão Re: Falha grave mikrotik - 2 macs e 2 ips iguais trafegando na rede

    Amigo PauloMassa

    Sobre a possibilidade de usar PPPoE sem perder o HotSpot , nosso amigo mascarapj me nos deu uma sugestão em outro post, que achei interessante de implantar , usar dois servers (rb's que é o meu caso) paralelamente para realizar o PPPoE e o hotspot , um autentica o PPPoE e o outro autentica Hotspot...

    Vou testar para ver se vai funcionar...

    Minha intenção é que o usuario após se logar no PPPoE , precise se logar também no Hotspot para navegar......

    Hoje o cenario dos meus provedores é:

    1 RB450G (Gateway + PPPoE Client + DHCP Server + Hotspot , LB para 3 links)(pretendo trocar futuramente esta RB pela RB1000,1100 OU 1200)
    4 RB's800(Como ApBridge) conectado no RB450G

    Ou Vou colocar mais uma RB450G entre a RB450G existente e as RB's800 para fazer PPPoE , ou vou ativar o PPPoE em cada RB800 que possuo....

    Será que funciona?

    Alguém ai acha que teria algo errado em fazer isto?

    Obs.: não uso ServerPC , somente RB's...

  12. #12
    Moderador Avatar de minelli
    Ingresso
    Aug 2006
    Localização
    Pres. Venceslau - SP | Pres. Prudente - SP
    Posts
    1.412
    Posts de Blog
    10

    Padrão Re: Falha grave mikrotik - 2 macs e 2 ips iguais trafegando na rede

    Citação Postado originalmente por sergio Ver Post
    Não existe falha. A natureza do hotspot no Mikrotik ROS é essa. Leia o manual e se atente ao Universal Client que entenderá o que ocorreu.

    Manual:Hotspot Introduction - MikroTik Wiki
    Fala Ségio, rapaz ao eu ler a resposta não vi quem tinha escrito e já ia elogiar "Ahhhhh pelo menos alguem lê o manual..." ai vi que era você rsss.......
    Sendo assim nem vou comentar, rsss.....

  13. #13
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão Re: Falha grave mikrotik - 2 macs e 2 ips iguais trafegando na rede



    Blz Minelli? Só na vida boa em Prudente? Tem que sair do ar condicionado e ir para o sol.

    Então, no manual descreve exatamente o funcionamento do hotspot e, lendo, principalmente a menção que fiz, entenderá como configurá-lo e onde e quais situações aplicá-lo.


    Citação Postado originalmente por minelli Ver Post
    Fala Ségio, rapaz ao eu ler a resposta não vi quem tinha escrito e já ia elogiar "Ahhhhh pelo menos alguem lê o manual..." ai vi que era você rsss.......
    Sendo assim nem vou comentar, rsss.....

  14. #14
    Moderador Avatar de minelli
    Ingresso
    Aug 2006
    Localização
    Pres. Venceslau - SP | Pres. Prudente - SP
    Posts
    1.412
    Posts de Blog
    10

    Padrão Re: Falha grave mikrotik - 2 macs e 2 ips iguais trafegando na rede

    heheheh..., essa semana estou em P. Venceslau ai só ventilador mas tranqui-lo.
    Abraços...

  15. #15

    Padrão Re: Falha grave mikrotik - 2 macs e 2 ips iguais trafegando na rede

    A questão é que ele trocou a ''logo'' foto dele nos tópicos, ai eu também tive a mesma impressão de ser outra pessoa, como ví ''Sérgio Moderador'' ai caiu a ficha..rsss

    Abração a vocês dois.

  16. #16
    Moderador Avatar de minelli
    Ingresso
    Aug 2006
    Localização
    Pres. Venceslau - SP | Pres. Prudente - SP
    Posts
    1.412
    Posts de Blog
    10

    Padrão Re: Falha grave mikrotik - 2 macs e 2 ips iguais trafegando na rede

    Citação Postado originalmente por Roberto21 Ver Post
    A questão é que ele trocou a ''logo'' foto dele nos tópicos, ai eu também tive a mesma impressão de ser outra pessoa, como ví ''Sérgio Moderador'' ai caiu a ficha..rsss

    Abração a vocês dois.
    rsssss.......