Página 2 de 3 PrimeiroPrimeiro 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #21

    Padrão

    Citação Postado originalmente por fernandolv Ver Post
    no meu caso aqui se o cliente descobir o mac do radio que tem 2 mac 1 da lan e outro da wan .. eu uso firmware da aprouter e o ip do cliente eu coloco no radio dele tipo 10.10.10.3 .. e na propria firmware eu faco nat pra placa de rede dele rede 192.160.0.X dai nao tem como o cliente pode brincar com que programa ele quiser na rede .. ele nao vai saber qual o ip dele real e nem o mac /. e todos os radios muda a porta do webadmin e coloco senha complexa .. com certeza nao da pra burlar isso .. e a mesma coisa de um servidor linux instalado no radio no cliente .. na verdade a firmware e linux.. sando que da rede que o cliente fica e sempre 192.168.0.X .. dai se o cliente achar que esse e o ip dele ai que ele se engana .. e com certeza eles devem ficar loucos e comfusos imagina um cliente liga pro outro ou vai na casa do amigo e ve o mesmo ip que ele usa na placa de rede .. aeuhuh sempre 192.168.0.2 gat 192.168.0.1 mascara 255.255.255.0 eaeuhaeuh ja me falarao isso ja .
    Aqui não podemos fz o mesmo, para reduzir o preço da adesão estamos utilizando equipamentos USB e PCI. O Programa de Configuração do USB (ja tentamos desabilitar mas o equipamento naum funciona bem sem ele), mostra todas as redes proximas ao cliente, ja houve casos aki de clientes navegando na rede do concorrente, rsrsrs.

  2. #22

    Padrão

    Citação Postado originalmente por gustkiller Ver Post
    utilizo o mikrotik com hotspot a mais de um ano praticament 2 e nao tive problemas ate hj, vc casa o mac com login e senha do usuario e so permite um logar, o que vai acontecer mesmo se clonar o mac se um dos 2 amigos como é o caso estiver logado o outro nao navega. isso é configuravel no profile do servidor hotspot default e no profile dos usuarios que vc limita o numero de shared users ou seja usuarios que pode logar mais de uma vez, é so botar em 1 que so entra 1 e nao tem jeito( isto utilizando apenas o mikrotik como controlador do hotspot) mas como no meu caso utilizo radius, um user descobriu uma falha que o radius deixa aberto é que o mesmo user "joao" pode logar de varias formas ao mesmo tempo mudando apenas a caixa das letras por exemplo "joao" ta logado, e seu vizinho digita "Joao" o vizinho consegue, mas isso foi facil resolver colocando um script em javascript na pagina de autenticacao do hotspot que muda qualquer entrada do usuario pra lowercase . com isso este unico problema que tive acabou.
    E uma dica pra quem quem quer um bloquei rapido de acesso a rede local entre clientes, é so configurar um dhcpserver ligado com opcao para dar mascara 32, com isso o cliente vai pegar ip com mascara 255.255.255.255 e pra fazer qualquer coisa ele tem que passar pelo gateway é é so bloquear o forward entre a rede do cliente .

    qualquer coisa sobre hotspot é so perguntar, o que estiver ao meu alcance eu respondo. de prefererncia no forum pera todo mundo poder ver e aprender tambem
    Fiz isto na configuração do Hotspot, habilitei la shared users somente 1 user. Eu mesmo fiz o teste aqui clonando o meu mac com um mac de cliente que utiliza usuario e senha para se conectar, e oq aconteceu foi o seguinte, peguei o mesmo ip que o kra que foi clonado, nos hosts la no hotspot nao me apresentou nada de diferente, a unica coisa que pediu foi o user e senha para login, dai pedi para o cliente clonado conectar com usuario e senha automaticamente liberou a conexão pra mim tambem. A centralização com Radius resolve este problema? O Radius Manager



  3. #23

    Padrão

    Citação Postado originalmente por fernandolv Ver Post
    no meu caso aqui se o cliente descobir o mac do radio que tem 2 mac 1 da lan e outro da wan .. eu uso firmware da aprouter e o ip do cliente eu coloco no radio dele tipo 10.10.10.3 .. e na propria firmware eu faco nat pra placa de rede dele rede 192.160.0.X dai nao tem como o cliente pode brincar com que programa ele quiser na rede .. ele nao vai saber qual o ip dele real e nem o mac /. e todos os radios muda a porta do webadmin e coloco senha complexa .. com certeza nao da pra burlar isso .. e a mesma coisa de um servidor linux instalado no radio no cliente .. na verdade a firmware e linux.. sando que da rede que o cliente fica e sempre 192.168.0.X .. dai se o cliente achar que esse e o ip dele ai que ele se engana .. e com certeza eles devem ficar loucos e comfusos imagina um cliente liga pro outro ou vai na casa do amigo e ve o mesmo ip que ele usa na placa de rede .. aeuhuh sempre 192.168.0.2 gat 192.168.0.1 mascara 255.255.255.0 eaeuhaeuh ja me falarao isso ja .
    Isso seria so pra tecnico meia boca.
    pq se eu fazer um rastreamento direto na tua torre ou seja direto no acces point ai eu pego o ip real. Acho q da pra fazer isso.

  4. #24

    Padrão

    Citação Postado originalmente por gustkiller Ver Post
    utilizo o mikrotik com hotspot a mais de um ano praticament 2 e nao tive problemas ate hj, vc casa o mac com login e senha do usuario e so permite um logar, o que vai acontecer mesmo se clonar o mac se um dos 2 amigos como é o caso estiver logado o outro nao navega. isso é configuravel no profile do servidor hotspot default e no profile dos usuarios que vc limita o numero de shared users ou seja usuarios que pode logar mais de uma vez, é so botar em 1 que so entra 1 e nao tem jeito( isto utilizando apenas o mikrotik como controlador do hotspot) mas como no meu caso utilizo radius, um user descobriu uma falha que o radius deixa aberto é que o mesmo user "joao" pode logar de varias formas ao mesmo tempo mudando apenas a caixa das letras por exemplo "joao" ta logado, e seu vizinho digita "Joao" o vizinho consegue, mas isso foi facil resolver colocando um script em javascript na pagina de autenticacao do hotspot que muda qualquer entrada do usuario pra lowercase . com isso este unico problema que tive acabou.

    E uma dica pra quem quem quer um bloquei rapido de acesso a rede local entre clientes, é so configurar um dhcpserver ligado com opcao para dar mascara 32, com isso o cliente vai pegar ip com mascara 255.255.255.255 e pra fazer qualquer coisa ele tem que passar pelo gateway é é so bloquear o forward entre a rede do cliente .

    qualquer coisa sobre hotspot é so perguntar, o que estiver ao meu alcance eu respondo. de prefererncia no forum pera todo mundo poder ver e aprender tambem
    Amigo, essa questão de login com usuário maiúsculo ou não, tem como barrar sim, dentro do raddb.ini, não lembro onde mas tem como colocar para ele aceitar somente minúsculo.
    Abraços

    Citação Postado originalmente por cabeer Ver Post
    Isso seria so pra tecnico meia boca.
    pq se eu fazer um rastreamento direto na tua torre ou seja direto no acces point ai eu pego o ip real. Acho q da pra fazer isso.
    Tem como achar sim o IP, dá trabalho demaaaais, mas tem como, e não é para qualquer um.

    A solução para este tipo de coisa, para quem não tem como usar somente rádios caros, é simples, colocar no contrato:

    "O uso indevido do sistema, fornecimento de senha informações que capacitem outro usuário á acessar a internet através da estrutura da XXXX, não é permitido, sendo o acesso único e indivudual. A multa para tal procedimento é de dez vezes o valor da mensalidade e suspensão imediata da conta de acesso. Mantenha seus dados em lugar seguro. Nossa rede é monitorada 24 horas e fim de detectar fraudes e manter a qualidade de nossos serviços."

    Pronto. Deixa o mané dar a senha dele pra outro, é bom que eu compro um monte de cabo e conector com a multa que vou enfiar no rabo dele. hehehe

    Desculpem, mas com gente safada só assim mesmo.

    Abraços,

    Alam Dias



  5. #25
    Avatar de marcelomg
    Ingresso
    Jan 2006
    Localização
    São Lourenço do Sul, Brazil
    Posts
    1.476

    Padrão

    Citação Postado originalmente por alamdias Ver Post
    Amigo, essa questão de login com usuário maiúsculo ou não, tem como barrar sim, dentro do raddb.ini, não lembro onde mas tem como colocar para ele aceitar somente minúsculo.
    Abraços



    Tem como achar sim o IP, dá trabalho demaaaais, mas tem como, e não é para qualquer um.

    A solução para este tipo de coisa, para quem não tem como usar somente rádios caros, é simples, colocar no contrato:

    "O uso indevido do sistema, fornecimento de senha informações que capacitem outro usuário á acessar a internet através da estrutura da XXXX, não é permitido, sendo o acesso único e indivudual. A multa para tal procedimento é de dez vezes o valor da mensalidade e suspensão imediata da conta de acesso. Mantenha seus dados em lugar seguro. Nossa rede é monitorada 24 horas e fim de detectar fraudes e manter a qualidade de nossos serviços."

    Pronto. Deixa o mané dar a senha dele pra outro, é bom que eu compro um monte de cabo e conector com a multa que vou enfiar no rabo dele. hehehe

    Desculpem, mas com gente safada só assim mesmo.

    Abraços,

    Alam Dias
    HAHAHAHA, muito bom, as vezes tem que agir desta forma, o problema é vc entrar com ação contra o cliente, nesta justiça burra, fica difícil provar que o cliente fez isso.

  6. #26

    Padrão

    Justica BUrra ??? Print Screen Ajuda !



  7. #27
    Avatar de marcelomg
    Ingresso
    Jan 2006
    Localização
    São Lourenço do Sul, Brazil
    Posts
    1.476

    Padrão

    Citação Postado originalmente por admskill Ver Post
    Justica BUrra ??? Print Screen Ajuda !
    Sim mas como vc irá provar que não é o seu cliente que estava acessando? se ele usar o mesmo mac e ip do cliente ?

  8. #28

    Padrão

    Citação Postado originalmente por marcelomg Ver Post
    Sim mas como vc irá provar que não é o seu cliente que estava acessando? se ele usar o mesmo mac e ip do cliente ?
    Na verdade, é mais para assustar e ter pano pra manga caso aconteça.. melhor prevenir.

    Mas se tiver que ir pro pau mesmo, dá pra ir levar provas.. as que tiver.. e ver o que dar.

    Abraços



  9. #29

    Padrão Paginas Para Acesso

    Oque vcs podem fazer é colocar um numero de paginas que mk vai permitir abrir por cliente....
    assim entao se colaocar 10 paginas por cliente se ele clonar mac vai ficar bem ruim a conecção deles....
    não resolve o problema mas quem emprestar o mac vai ficar com a net bem ruim.

  10. #30

    Padrão mesmo ip

    estava vendo umas msg neste topico onde fala que tem cliente usando o mesmo ip e mac, agora a duvida como usar o mesmo ip?? nao teria que dar conflito..??



  11. #31

    Padrão

    Aqui tentamos de tudo. O esquema de colocar Rádinho(AP) roteando para o cliente por DHCP é uma faca de 2 gumes.
    Se os caras ligarem um HUB na ponta, e puxar cabo para os vizinhos você não vai ficar sabendo, a não ser que toda semana entre pela WEB no Radio e veja quantos Clients ativos aparecem lá.

    Esse é um problema que estamos iniando a enfrentar. Ainda não ativamos HOTspot, mas já estudamos ele, e estamos unindo ao Radius (do servidor discado e ADSL).

    Vai ser possível acompanhar e tentar identificar, mas coibir e bloquear 100% todos os casos será impossível, mesmo com MAC + IP.

    Não sei ainda como iremos atuar, mas será praticamente impossivel manter tudo controlado.

  12. #32

    Padrão

    pelo que andei vendo a solução é hotspot junto com radius, faz pra autenticar 1 por vez, prende o IP ao MAC Usuario e senha. bota pra ser tudo em minusculo, tbem, não ativa Broadcast SSSID, já melhora algo, usar senhas complexas para acesso do SO, e se perceber que tem alguem clonando, pega e muda a senha do cara ele vai te ligar e vc diz o por que.

    to montando aqui isso, vou ver se dá certo...

    mas uma coisa que nao gostei do hotspot foi que o webproxy nao funciona. vou ter que instalar mais um server.. buaaaa....



  13. #33

    Padrão

    Com pppoe o cliente tem, além do ip+mac, usuário e senha.. Se liberado apenas uma conexão por senha, e o cliente não conseguir logar, concerteza ele vai ligar e isso significa que alguém tá usando o user dele... Ai muda a senha..

    Algo que eu axo uma solução contra alguém snifar sua rede é simples pra quem usa mikrotikap. É só controlar mac no ap do mk.. Pra passar snifer vc precisa conectar na rede.. Se o cara não tem o mac cadastrado pra acessar a rede, ele não snifa..

    Agora temos que deixar o cliente amedrontado em questão de dar senha para outros.. Pois ele só tem a perder com isso.. Também se der e não descobrirmos, tomara que seu cliente tenha controle de banda, pois se vc libera a banda no seu provedor o cara vai comer banda de todo mundo.. Já se o cliente tiver controle, o engraçadinho vai usar a banda que vc vende ao seu cliente..

    Axo que mais segurança que isso num existe..

    Casar MAC+IP, pppoe ou hotspot, e controle de mac na placa ap..

    Abraços..

  14. #34

    Padrão

    Então, pessoal, segundo as propostas apresentadas, de casar MAC x IP x Usuário x Senha, a brecha possível só pode ficar por conta daquele cliente FDP que dá o MAC, o IP o User e senha pro amigo, vizinho, parente...Ou seja, falta uma última solução para que o cliente não tenha essas informações...ou todas, ou alguma, pelo menos.

    Soluções possíveis são:

    1) Não dizer a senha de autenticação do cliente (pode até funcionar com pppoe, vpn, wpa ou wep, mas não com hotspot): Não gosto muito dessa, pois o cliente pode ainda, se tiver um conhecimento razoável, achar a senha (seja do pppoe, da vpn, wep ou wpa, etc...) no registro do windows. E também se o danado fizer alguma cagada, como apagar a conexão, ou desconfigurar alguma coisa, vc sempre vai ter que ir, ou mandar um técnico ir lá no cliente.

    2) Usar aps/clients como Ovislink, Zinwell, Kodama, etc (configurados em NAT): Essa parece, na minha opinião, ser a melhor opção, pois sem acesso à página de administração do rádio, o cliente não tem como saber o MAC address da interface WLAN do mesmo (ai, tem que arrancar a etiqueta que vem nele né :P )...Ainda, com todos os firmwares disponíveis, mesmo os originais, é possível fazer vpn pptp (ai usa com mppe pra dificultar o sniffing) ...ai você controla autenticação por MAC na repetidora, usuário x senha x IP na vpn.

    Sei que essa segundo opção não é a mais barata, e tbm está fora do padrão da maioria dos provedores, que é usar placas nos clientes, mas na minha opinião, é a que mais "dificulta" o uso indevido da rede.
    Última edição por roneyeduardo; 09-01-2007 às 20:44.



  15. #35

    Smile

    Citação Postado originalmente por roneyeduardo Ver Post
    Então, pessoal, segundo as propostas apresentadas, de casar MAC x IP x Usuário x Senha, a brecha possível só pode ficar por conta daquele cliente FDP que dá o MAC, o IP o User e senha pro amigo, vizinho, parente...Ou seja, falta uma última solução para que o cliente não tenha essas informações...ou todas, ou alguma, pelo menos.

    Soluções possíveis são:

    1) Não dizer a senha de autenticação do cliente (pode até funcionar com pppoe, vpn, wpa ou wep, mas não com hotspot): Não gosto muito dessa, pois o cliente pode ainda, se tiver um conhecimento razoável, achar a senha (seja do pppoe, da vpn, wep ou wpa, etc...) no registro do windows. E também se o danado fizer alguma cagada, como apagar a conexão, ou desconfigurar alguma coisa, vc sempre vai ter que ir, ou mandar um técnico ir lá no cliente.

    2) Usar aps/clients como Ovislink, Zinwell, Kodama, etc (configurados em NAT): Essa parece, na minha opinião, ser a melhor opção, pois sem acesso à página de administração do rádio, o cliente não tem como saber o MAC address da interface WLAN do mesmo (ai, tem que arrancar a etiqueta que vem nele né :P )...Ainda, com todos os firmwares disponíveis, mesmo os originais, é possível fazer vpn pptp (ai usa com mppe pra dificultar o sniffing) ...ai você controla autenticação por MAC na repetidora, usuário x senha x IP na vpn.

    Sei que essa segundo opção não é a mais barata, e tbm está fora do padrão da maioria dos provedores, que é usar placas nos clientes, mas na minha opinião, é a que mais "dificulta" o uso indevido da rede.
    Essa é uma solucao...
    E qnto a usar radios nos clientes...nao é tao fora do padrao nao...
    hj um Kit com Ovislink + Zirok (fechada wll45) + Pigtail + caixa hermetica
    sabendo negociar MUITO BEM e comprar EM QUANTIDADES (100 pra cima)....e a antena direto da Zirok...vc consegue um Kit desse por 215,00 NO MAXIMO...
    mas vai do tamanho de cada provedor dai..hehe....

    mas acho que é o que soluciona com melhor qualidade o problema de clonagens...

    abraços...t+

  16. #36

    Padrão

    Citação Postado originalmente por liandrocarniel Ver Post
    Aqui tentamos de tudo. O esquema de colocar Rádinho(AP) roteando para o cliente por DHCP é uma faca de 2 gumes.
    Se os caras ligarem um HUB na ponta, e puxar cabo para os vizinhos você não vai ficar sabendo, a não ser que toda semana entre pela WEB no Radio e veja quantos Clients ativos aparecem lá.

    Esse é um problema que estamos iniando a enfrentar. Ainda não ativamos HOTspot, mas já estudamos ele, e estamos unindo ao Radius (do servidor discado e ADSL).

    Vai ser possível acompanhar e tentar identificar, mas coibir e bloquear 100% todos os casos será impossível, mesmo com MAC + IP.

    Não sei ainda como iremos atuar, mas será praticamente impossivel manter tudo controlado.
    Bem, quanto ao cliente compartilhar a net com o vizinho, ai ja torna-se um problema mais dele, imagina voce como cliente e tem uma conexao de 128kbps, vai querer dividir com mais 2 ou 3 vizinhos? Dúvido. E se quiser, problema dele... vai ter somente 128Kbps.



  17. #37

    Padrão

    Outro porem. Dependendo do geito que vc amarra sua rede (mac, ip, senha....), o pessoal só vai ter acesso quando a máquina do fulano estiver logada. Estou testando umas soluções aqui; Tenho uma regra aqui que ainda não tá funfando e a mesma é atribuída pelo TTL do cliente. Basicamente a estrutura da regra será para fazer "morrer" todos os pacotes requisitados depois da máquina do cliente.... ainda está em desenvolvimento... Esta sim será uma mão na roda pra este básico problema.

  18. #38

    Padrão

    Citação Postado originalmente por catvbrasil Ver Post
    Outro porem. Dependendo do geito que vc amarra sua rede (mac, ip, senha....), o pessoal só vai ter acesso quando a máquina do fulano estiver logada. Estou testando umas soluções aqui; Tenho uma regra aqui que ainda não tá funfando e a mesma é atribuída pelo TTL do cliente. Basicamente a estrutura da regra será para fazer "morrer" todos os pacotes requisitados depois da máquina do cliente.... ainda está em desenvolvimento... Esta sim será uma mão na roda pra este básico problema.
    Não me pergunte como... Nunca mais testei.. Eu resolvi bloquear porções de portas no meu server pra aliviar um pouco o link..
    Fiz isso de madrugada.. No outro dia começou as ligações.. Até então achava ser problema no cliente.. Mas era apenas em clientes com redes internas..
    Tipo lan house, posto de saúde, prefeitura.. Só funcionava net no servidor.. Nos computadores internos não navegava de maneira alguma...

    No desespero eu fui lá e apaguei as portas que eu havia bloqueado na madrugada...
    Perguntei pra um amigo que trampa com server e ele me disse que existe sim uma porta responsável por atribuir net na rede interna do nat..

    Será que é isso mesmo??

    Que é uma porta que fez isso é, não me pergunte qual, mas se descobrirmos dá pra aliviar muita net por ai de pessoal que compartilha e não sabemos..

    Mas como nosso amigo disse acima, o cara vai compartilhar seus 128k, ruim pra ele, pior pra gente.. Uma que você tá perdendo clientes, pois se os vizinhos assinassem era mais lucro.. Outra que provavelmente você vai ter neguinho pendurado na net o dia todo comendo o link.. E todos sabemos que o que salva a net é o cliente não ficar nela... Ou alguém aqui tem link real pra todos os clientes?? 100 clientes de 64k que seria um link de 6,4 Megas.. Alguém faz isso??



  19. #39

    Padrão

    Citação Postado originalmente por klemensonleal Ver Post
    Bem, quanto ao cliente compartilhar a net com o vizinho, ai ja torna-se um problema mais dele, imagina voce como cliente e tem uma conexao de 128kbps, vai querer dividir com mais 2 ou 3 vizinhos? Dúvido. E se quiser, problema dele... vai ter somente 128Kbps.
    Tive esse problema com clientes "espertinhos" dividindo conexão com visinhos, e rachando a mensalidade. Mas eu uso aqui o Myauth, que tem a opção de bloqueiar esse compartilhamento, muito fácil é só cadastrar os ip's q serão bloqueiados e o cara não conecta nem a pau. Não entendo muito disso, sou leigo no linux mas parece q é uma regra do linux q roda atras do myauth. O arquivo q faz isso chama noshare.sh

    Estou querendo montar meu mikrotik e tava em dúvida sobre a opção de bloqueiar o compartilhamento, mas pelo jeito vi q o MK ainda não faz isso ou tô errado?

  20. #40

    Padrão

    o broqueio é atraves das ttl , nao vi essa opção no mikrotik
    as ttl do compartilhamento sao "126 127 62 63 253 254"