+ Responder ao Tópico



  1. #1

    Padrão um mac tentando conectar por ppoe varias tentativas e continua o dia todo

    olá galera , boa noite alguém poderia me explicar uma solução viavel um mac tentando conectar por ppoe varias tentativas e continua o dia todo.


    Clique na imagem para uma versão maior

Nome:	         um mac tentando conectar por ppoe varias tentativas e continua o dia todo.jpg
Visualizações:	111
Tamanho: 	89,6 KB
ID:      	56243

  2. #2

    Padrão Re: um mac tentando conectar por ppoe varias tentativas e continua o dia todo

    Cara eu to montando uma solução PPPoE aqui no nosso ISP que além da autenticação convencional de usuário e senha, usa o MAC Address do usuário para permitir a conexão.

    Basta setar o parametro Calling-Station-ID (acredito que seja o mesmo para todos os NAS) para cada usuário com o MAC Address do dispositivo que o mesmo usa para efetuar a conexão e pronto. Qualquer tentativa, por mais que tenha o usuário e senha correta não será bem sucedida caso o MAC Address não seja o configurado.

    Usando UnLang no FreeRADIUS eu criei uma programação (pseudo-programação) que caso o parametro Calling-Station-ID não esteja informado no banco de dados para o usuário no momento da autenticação, o próprio FreeRADIUS se encarrega de gravá-lo. No nosso sistema de gerenciamento criei uma ação para limpar o endereço MAC caso o cliente troque o equipamento por exemplo.

    Importante lembrar que se esta opção não estiver presente nos parametros do usuário ele pode conectar normalmente usando qualquer dispositivo, desta forma a primeira conexão ocorre normalmente, mais uma vez setado o acesso é limitado somente ao dispositivo que tem o MAC Address gravado no banco.

    Agora tentativa de conexão é complicado, vc até pode barrar todo o tráfego com um firewall antes do seu NAS vindo deste MAC (layer 2 neste caso), mais se o atacante trocar o MAC do dispositivo usado para tentar efetuar a conexão sua regra de firewall fica obsoleta.

    Acho difícil uma regra que distingua tentativas de conexões bem ou mau intencionadas, uma vez que do ponto de vista do protocolo é uma tentativa válida, que pode ou não ser bem sucedida.

    O que pode ser feito ainda é tentar criar uma regra de firewall para limitar o número de requisições PPPoE por MAC por minuto, sei lá é uma maneira paliativa.