-
Segmentar Rede para Impedir Clonagem de MAC Address
Pessoal.
Já lí em alguns tópicos sobre isso mas não pude comentar pois estavam fechados.
A questão é a seguinte: Usando Hotpot, se o cliente clonar mac e ip ele pode navegar. Mas pelo que lí por aqui, criando subredes com máscara 255.255.255.252 faria o cliente não enxergar outros ips. O cliente só enxergaria o gateway.
Peço que os especialistas em TPC/IP expliquem como colocar a rede em /30 criando as subredes e impedindo que um invasor clone o mac e ip. Me parece que existe uma opção no próprio hotspot que dificulta. Não falo da Adress per mac.
Vamos nos unir para criar uma solução para o hotspot. Peço que não disvirtuem o tópico falando que PPPOE é melhor etc.. A idéia é melhorar a segurança no Hotspot.
Aos que irão no MUM peço que cobrem algo novo como um protocolo ou plugin que dificulte a invasão de clonadores.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Enoque blz.. minha autenticação e toda feita por servidor radius aqui eu amarro meus clientes pelo mac do radio e o ip do cliente bem se vc coloca seus radio em modo CLIENTE vai ser repassado para mk no hotspot o mac do radio e o ip do cliente..ou seja msm c seu cliente clone o mac da maquina ele nunca vai saber qual e mac do radio wlan ele n vai estar autorizado a navegar dessa forma nunca tive problemas com espertinhos.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Só que existem programas que exibem os ips e macs da rede com enorme facilidade. O problema não é o invasor descobrir na casa do cliente seu ip e mac mas ele der um scan na rede e pegar. Uma boa seria um servidor Rádius gerenciando todos os acessos. Se um segundo mac igual entra o servidor detecta e verificamos no cliente..
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Citação:
Postado originalmente por
nonoque
Pessoal.
A questão é a seguinte: Usando Hotpot se o cliente clonar mac e ip ele pode navegar. Mas criando subredes com máscara 255.255.255.252 faria o cliente não enxergar outros ips. O cliente só enxergaria o gateway.
Peço que os especialistas em TPC/IP expliquem como colocar tudo /30 criando as subredes e impedindo que um invasor clone o mac e ip. Me parece que existe uma opção no próprio hotspot que dificulta. Não falo da Adress per mac.
.
Se clonar IP e MAC, conseguira navegar sim... mas so se o Hotspot estiver mal configurado.
um hotspot que aceita somente 1 conexao por user e que tenha um tempo de idle e keeplive relativamente baixo... nao tem como navegar simplesmente clonando IP e MAC.
Para conseguir navegar clonando.. alem do IP e MAC, o clonador devera ter o user/senha...
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Você quer dizer que os valores padrão do hotspot não são seguros? Pode postar para gente os valores que você utiliza?
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
concordo com o amigo acima..o hotspot com servidor radius sao varios fatores para autorizar uma navegação
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Boa esse tópico. Já fiz parte de uma equipe técnica de um provedor, e tinha um sujeito que adorava clona mac de user. Sempre tive esse interrogação na cabeça de como barrar esses "espertinhos". Há bastantes dias atrás, não me lembro quem, um cara estava desenvolvendo um scrip pra barras os clonadores, pedi mais informações pra esse tal user, mas até ontem ele nãome respondeu.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
exatamente.
Citação:
Postado originalmente por
nonoque
Você quer dizer que os valores padrão do hotspot não são seguros? Pode postar para gente os valores que você utiliza?
aqui eu configuro o "Address Per MAC" com o valor "1" - somente é possivel 1 conexao por usuario, dessa forma, se haver clonagem, somente um ira navegar.
Autenticação via HTTPS (SSL) - criptografia no login, para dificultar conseguir a senha via rede.
configuro cada cliente em uma rede /30 - para dificultar um cliente enchergar o outro.
Prendo o IPxMAC o USERxSenha - O Cliente somente conseguira se autenticar se possuir o conjunto (USER x SENHA x IP x MAC)
Dividi a rede em 4 locais, cada usuario é cadastrado na interface daquele local - A autenticação do cliente somente é aceita em determinada região.
na rede, os equipamentos quando switch tem que ter Vlan, e quando radio (AP) tem que ter marcado o "Enable Client Isolation" - Com isso, dificultamos mais ainda 1 cliente enchergar o outro e/ou rodar um sniffer.
Configuro tbm criptografia WPA2 para autenticação no AP e senha de acesso ao setup em todos os radios, ate os dos clientes clientes... Senhas essas conhecidas somente por min. - Dessa forma, somente usuarios permitidos conectam na rede Wireless.
AP Cliente em modo Cliente ISP - com isso isolamos a rede do cliente da rede do provedor.
Com tudo isso, para um clonador conseguir ter acesso a internet, ele devera:
- conseguir IPxMAC da WAN do AP do cliente
- conseguir UserXsenha desse mesmo cliente.
- e de alguma forma ele tera que descobrir a senha de autenticação na rede (a senha WPA2, conhecida somente por min).
- e se conectar na regiao permitida ao cliente.
e mesmo que ele consiga tudo isso, o clonador somente ira conseguir navegar enquanto o cliente nao estiver online.
quando 1 entrar, o outro ira ter problemas no acesso.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Citação:
Postado originalmente por
mascaraapj
Se clonar IP e MAC, conseguira navegar sim... mas so se o Hotspot estiver mal configurado.
um hotspot que aceita somente 1 conexao por user e que tenha um tempo de idle e keeplive relativamente baixo... nao tem como navegar simplesmente clonando IP e MAC.
Para conseguir navegar clonando.. alem do IP e MAC, o clonador devera ter o user/senha...
Imagine a seguinte situaçao :
Se o seu cliente que usa login e senha abre uma sessao no seu hotspot , apos ser aberto essa sessao, automaticamente o mk cria um cookie para esse usuario , dai entao os "muleke" usam aquele programinha que scaneia redes e pegam mac x ip de quem esta ativo e clona , esse muleke nao vai prescisar autenticar por que o mikrotik entende que ja existe uma sessao iniciada praquele mac x ip , o que acontece entao !?? navegaçao liberada..
Realmente é muito complicado , mesmo setando um mac por host nao adiantaria , ele fazz uma conexao paralela com a do usuario verdadeiro. As vezes Imperceptível .
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Citação:
Postado originalmente por
mascaraapj
exatamente.
aqui eu configuro o "Address Per MAC" com o valor "1" - somente é possivel 1 conexao por usuario, dessa forma, se haver clonagem, somente um ira navegar.
Autenticação via HTTPS (SSL) - criptografia no login, para dificultar conseguir a senha via rede.
configuro cada cliente em uma rede /30 - para dificultar um cliente enchergar o outro.
Prendo o IPxMAC o USERxSenha - O Cliente somente conseguira se autenticar se possuir o conjunto (USER x SENHA x IP x MAC)
Dividi a rede em 4 locais, cada usuario é cadastrado na interface daquele local - A autenticação do cliente somente é aceita em determinada região.
na rede, os equipamentos quando switch tem que ter Vlan, e quando radio (AP) tem que ter marcado o "Enable Client Isolation" - Com isso, dificultamos mais ainda 1 cliente enchergar o outro e/ou rodar um sniffer.
Configuro tbm criptografia WPA2 para autenticação no AP e senha de acesso ao setup em todos os radios, ate os dos clientes clientes... Senhas essas conhecidas somente por min. - Dessa forma, somente usuarios permitidos conectam na rede Wireless.
AP Cliente em modo Cliente ISP - com isso isolamos a rede do cliente da rede do provedor.
Com tudo isso, para um clonador conseguir ter acesso a internet, ele devera:
- conseguir IPxMAC da WAN do AP do cliente
- conseguir UserXsenha desse mesmo cliente.
- e de alguma forma ele tera que descobrir a senha de autenticação na rede (a senha WPA2, conhecida somente por min).
- e se conectar na regiao permitida ao cliente.
e mesmo que ele consiga tudo isso, o clonador somente ira conseguir navegar enquanto o cliente nao estiver online.
quando 1 entrar, o outro ira ter problemas no acesso.
Amigo, poderia postar suas configurações aí pra gente?? Pelo que ví em sua resposta vc segmentou a rede justamente conforme o proposto.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Citação:
Postado originalmente por
Tremedeira
Imagine a seguinte situaçao :
Se o seu cliente que usa login e senha abre uma sessao no seu hotspot , apos ser aberto essa sessao, automaticamente o mk cria um cookie para esse usuario , dai entao os "muleke" usam aquele programinha que scaneia redes e pegam mac x ip de quem esta ativo e clona , esse muleke nao vai prescisar autenticar por que o mikrotik entende que ja existe uma sessao iniciada praquele mac x ip , o que acontece entao !?? navegaçao liberada..
Realmente é muito complicado , mesmo setando um mac por host nao adiantaria , ele fazz uma conexao paralela com a do usuario verdadeiro. As vezes Imperceptível .
Amigo,
Primeiro - não é devido ao cookie que o tal clonador tera acesso somente por ter clonado IPxMAC.
O cookie é criado e fica armazenado no navegador de quem autenticou...
o "clonador" so tera acesso imediato na rede se seção do cliente nao foi finalizada.
Faça um teste, configure a duração do cookie para 12 hrs... configure o Idle e keeplive para em torno de 1 ou 2 min.
Faca a autenticação e desligue o pc, espere 5 min (assim, nesse tempo o Hotspot ira finalizar a seção do cliente), apos esse tempo voltei a ligar o pc... contudo, ao inves de abrir o mesmo navegador, abra outro navegador, veras que sera pedido usuario e senha normalmente (pois a seção ja foi finalizada)...
depois va e abra o mesmo navegador na qual vc fez a autenticacao anterior, veras que sera autenticado automaticamente. (isso acontece pq o Cookie incial/valido foi criado e salvo naquele navegador e tem a validade de 12 hrs).
Segundo - Configurando o "Address Per MAC" com o valor "1" - somente é possivel 1 conexao por usuario, dessa forma, se haver clonagem, somente um ira navegar.
Agora imaginemos o seguinte: foi configurado no Hotspot um idle e keeplive auto... o cliente efetuou a autenticacao e logo em seguida desligou o pc, mas nao finalizou a seção...
logo, se alguem clonar o IPxMAC desse cliente... consiguira navegar normalmente sem que seja necessario colocar o USERxSENHA (pois a seção ja estava aberta).
Solucao: configurar um idle e keeplive baixo (no maximo 5min), dessa forma se o cliente sair o clonador precisar clonar o IPxMAC logo em seguida.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Citação:
Postado originalmente por
Tremedeira
Imagine a seguinte situaçao :
dai entao os "muleke" usam aquele programinha que scaneia redes e pegam mac x ip de quem esta ativo e clona ,
Ai vc me diz... do mesmo jeito que o "muleke" usou aquele programinha que scaneia a rede e pega o mac x ip.. ele pode ter usado aquele outra programinha que é possivel pegar o usuario x senha... ai ele usa as duas informaçoes e autentica na rede.
Solucao: Configure o Hotspot para fazer a autenticacao via HTTPS (SSL), ai dificulta que a senha seja pega pela rede.
Otimo, conseguimos dificultar que o "muleke" descubra o usuario e senha pela rede, mas e o IP x MAC?
Um jeito de dificultar é colocando cada cliente em uma rede /30, e usar switchs e radio com vlan.... assim dificultamos que um usuario enchergue o outro.
Legal, agora o "muleke" nao vai mais conseguir pegar o ip x mac x user x senha pela rede, mas nada impede que o "muleke" pegue essa informacao com o seu vizinho e conecte na rede.
Um jeito de dificultar isso é colocando senha para acesso ao setup do radio e criptografia para se conectar na rede... dessa forma, mesmo que o "muleke" tenha todas as informacoes, o mesmo nao consiguira se conectar na rede pois nao sabe a senha de autenticacao no AP.
Agora vamos supor que o cliente va viajar e empresta seu equipamento para um "amigo"do outro lado da cidade.
Justamente naquela torre onde ja esta no limite.
Solucao: Configurar para que aquele cliente somente seja aceito em uma regiao.
Em resumo, para uma maior segurança é necessario usar varios meios de segurança.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
E se entrasse na rede e colocasse o IP do gateway e fizesse um servidor apache com a cara da tela de login do hotspot, fizesse uma regra de firewall para que toda a requisicao que chegasse fosse redirecionada para essa tela clonada e cada vez que você coloca o usuario e senha os mesmos sao salvos em um arquivo de texto?
Ainda acho que a solução de hotspot é fraca no quesito segurança.
Saudações a todos,
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Citação:
Postado originalmente por
GrayFox
E se entrasse na rede e colocasse o IP do gateway e fizesse um servidor apache com a cara da tela de login do hotspot, fizesse uma regra de firewall para que toda a requisicao que chegasse fosse redirecionada para essa tela clonada e cada vez que você coloca o usuario e senha os mesmos sao salvos em um arquivo de texto?
Ainda acho que a solução de hotspot é fraca no quesito segurança.
Saudações a todos,
Solucao ja postada tbm... Switch e Radio com vlan...
Alem de que, como que o camarada iria conseguir entrar na rede se ele nao possui a senha de acesso?
pelo menos aqui eu uso WPA2, para o "muleke" conseguir quebrar, ele tem que ser fera mesmo.
Na realidade, qualquer solucao "unica" é fraca... o ppoe por si tbm é snifavel, tbm possui brechas de segurança.
o jeito para tentar ter uma maior segurança é complicar mesmo.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
A unica maneira que vejo o hotspot funcionando bem seria fazendo uma rede com wpa2.
Se a rede for aberta é praticamente impossivel ele funcionar direito.
Imagina entao se alem de fazer o apache e redirecionamento no firewall, colocar tambem um AP no mesmo SSID? O que estiver com o sinal melhor vai entregar o sinal. Mais problemas...
Acredito que não é ideal ficar discutindo dessa forma a tecnologia.
Mas para mim, o PPPoE é a melhor solução.
Como disse, opiniao pessoal: 802.11 com WPA2, + PPPoE com MPPE.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Citação:
Postado originalmente por
GrayFox
A unica maneira que vejo o hotspot funcionando bem seria fazendo uma rede com wpa2.
Se a rede for aberta é praticamente impossivel ele funcionar direito.
Imagina entao se alem de fazer o apache e redirecionamento no firewall, colocar tambem um AP no mesmo SSID? O que estiver com o sinal melhor vai entregar o sinal. Mais problemas...
Acredito que não é ideal ficar discutindo dessa forma a tecnologia.
Mas para mim, o PPPoE é a melhor solução.
Como disse, opiniao pessoal: 802.11 com WPA2, + PPPoE com MPPE.
exatamente, se a rede for aberta é impossivel QUALQUER meio de autenticação funcionar direito.
colocar o mesmo ssid e entregar o sinal.? vc quer dizer entregar a senha?
nunca ouvi falar nessa possibilidade, alguem mais experiente poderia me dizer se é possivel?
ate onde eu saiba, isso nao é possivel.
a unica forma de se conseguir a senha wpa2 seria por brute force e pelo que sei, é computadodorizadamente inviavel. para se ter uma ideia, demoraria 1 milhao de anos para testar a possibilidade de uma senha com 8 carcteres.
a questao realmente nao é discutir qual a melhor tecnologia, mas sim, como deixar determinada tecnologia mais segura... alias, em nenhum momemento estive discutindo qual a melhor... estive apenas expondo como deixar o hotspot mais seguro, na qual, nada mais é que a reuniao de diversas tecnologias.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
A discussão tá ótima. Mas me digam senhores, wpa não dá uma perda de desempenho? Pois com um certo número de clientes isso pode ser comprometedor.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Citação:
Postado originalmente por
nonoque
A discussão tá ótima. Mas me digam senhores, wpa não dá uma perda de desempenho? Pois com um certo número de clientes isso pode ser comprometedor.
Nao sei qto a vc, mas eu aqui prefiro fazer pequenas celulas exatamente para nao sobrecarregar a torre.
logo, ficaria no maximo 25-30 clientes por Radio... podendo colocar algo em torno de 125-150 clientes por torre, um numero relativamente bom para pequenas celulas.
alem de que, com o uso do wap2 temos mais segurança na rede.
do que adianta colocar 1 zilhao de usuarios na rede e nao ter segurança?
prefiro colocar um nivel que os equipamentos suporte, mas com seguranca.
Em todo caso, segue alguns topicos aqui no under mesmo:
https://under-linux.org/f105/compara...x-wpa2-125085/
Quanto tempo leva para quebrar uma chave WPA ou WPA2? - Blogs - Under-Linux.org
Campanha: Vamos Parar de Usar WEP em Wireless - Blogs - Under-Linux.org
Va de WPA2, mas lembre-se:
NUNCA USE PLACA PCI NO SEU CLIENTE... senao, nao vai adiantar nada, pois o cliente podera ver a senha e repassar ela para o vizinho, par ao tal "muleke".
outra coisa, qdo for instalar o Radio no cliente, coloque senha para acesso ao setup, para evitar que o cliente fique "fuçando" no radio.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Citação:
Postado originalmente por
mascaraapj
Nao sei qto a vc, mas eu aqui prefiro fazer pequenas celulas exatamente para nao sobrecarregar a torre.
logo, ficaria no maximo 25-30 clientes por Radio... podendo colocar algo em torno de 125-150 clientes por torre, um numero relativamente bom para pequenas celulas.
alem de que, com o uso do wap2 temos mais segurança na rede.
do que adianta colocar 1 zilhao de usuarios na rede e nao ter segurança?
prefiro colocar um nivel que os equipamentos suporte, mas com seguranca.
Em todo caso, segue alguns topicos aqui no under mesmo:
https://under-linux.org/f105/compara...x-wpa2-125085/
Quanto tempo leva para quebrar uma chave WPA ou WPA2? - Blogs - Under-Linux.org
Campanha: Vamos Parar de Usar WEP em Wireless - Blogs - Under-Linux.org
Va de WPA2, mas lembre-se:
NUNCA USE PLACA PCI NO SEU CLIENTE... senao, nao vai adiantar nada, pois o cliente podera ver a senha e repassar ela para o vizinho, par ao tal "muleke".
outra coisa, qdo for instalar o Radio no cliente, coloque senha para acesso ao setup, para evitar que o cliente fique "fuçando" no radio.
Muito interessante. Vou estudar os artigos.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Quando digo entregar o sinal é: Se existir 2 SSIDs no ar, o sinal que você encontra mais forte para você é onde você acaba conectando. Então, se um provedor coloca um AP sem criptografia e um entendido querer avacalhar com a rede é completamente viável. Como disse, se existir um AP sem criptografia, tu podes fazer um AP tambem com o mesmo SSID e mesmo canal. Automaticamente alguns clientes iriam se conectar na sua ERB. Com isso, dá pra fazer o que eu já tinha dito, fazer um apache, firewall, etc.
Para quebrar o o WPA e WPA2 o bruteforce nao funciona. Somente ataques com dicionário. Voce consegue quebrar os WEPs com bruteforce.
Logicamente se você tem uma senha WPA2 com mais caracteres demoraria muito mais tempo para ser quebrado. O ideal seria colocar uma senha mesclando numero, maiuscula e minuscula. Se colocar somente numeros fica mais rapido para ser quebrado tambem.
A única forma que eu colocaria hotspot para funcionar seria colocar ele dentro de uma rede com criptografia WPA2. Somente desta forma.
O que eu gosto do PPPoE é que mesmo com rede aberta vc consegue ter uma rede mais segura do que com hotspot. Se colocar PPPoE +MPPE+CHAP todo o tráfego é criptografado, até o handshake de usuario e senha.
A única desvantagem que vejo do PPP em relacao ao hotspot é que para o PPP funcionar direito, a sua rede precisa estar com a relação sinal/ruido bonitinho, sem perda de pacotes, coisa que com hotspot se você estiver com o sinal -80 ele vai funcionar. Não estou defendendo o PPP de uma maneira jesuíta, só que tive experiências com essas tecnologias e para provedores de Internet acredito que o PPP te deixa menos refém da possibilidade de aparecer alguém querendo avacalhar com a rede.
Saudações a todos,
Citação:
Postado originalmente por
mascaraapj
exatamente, se a rede for aberta é impossivel QUALQUER meio de autenticação funcionar direito.
colocar o mesmo ssid e entregar o sinal.? vc quer dizer entregar a senha?
nunca ouvi falar nessa possibilidade, alguem mais experiente poderia me dizer se é possivel?
ate onde eu saiba, isso nao é possivel.
a unica forma de se conseguir a senha wpa2 seria por brute force e pelo que sei, é computadodorizadamente inviavel. para se ter uma ideia, demoraria 1 milhao de anos para testar a possibilidade de uma senha com 8 carcteres.
a questao realmente nao é discutir qual a melhor tecnologia, mas sim, como deixar determinada tecnologia mais segura... alias, em nenhum momemento estive discutindo qual a melhor... estive apenas expondo como deixar o hotspot mais seguro, na qual, nada mais é que a reuniao de diversas tecnologias.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Pois é amigo Gray fox , essa tecnica é parecida com a tecnica "middle of the men" homem do meio , nunca testei mas parece que realmente funciona , seria onde o invasor levantaria um "fake AP" com o mesmo SSID e BSSID , tambem com o mesmo hotspot , dai entao esse fake AP faria a captura de informaçoes do cliente e pelo que pude entender ele consegue falsificar certificados SSL facilmente.
Vamos ver se alguem posta alguma soluçao pra esse tipo de caso .
Abrços .
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Interessante essa técnica, nunca ouví falar dela.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Citação:
Postado originalmente por
GrayFox
Quando digo entregar o sinal é: Se existir 2 SSIDs no ar, o sinal que você encontra mais forte para você é onde você acaba conectando. Então, se um provedor coloca um AP sem criptografia e um entendido querer avacalhar com a rede é completamente viável. Como disse, se existir um AP sem criptografia, tu podes fazer um AP tambem com o mesmo SSID e mesmo canal. Automaticamente alguns clientes iriam se conectar na sua ERB. Com isso, dá pra fazer o que eu já tinha dito, fazer um apache, firewall, etc.
Se a rede nao tiver criptografia da para fazer tranquilamente
Agora eu entendi o que vc quis dizer...
Mas, se tiver criptografia, nao da de fazer isso.
Citação:
Postado originalmente por
GrayFox
A única forma que eu colocaria hotspot para funcionar seria colocar ele dentro de uma rede com criptografia WPA2. Somente desta forma.
Mesmo dentro de uma rede com WPA2, se vc nao colocar outros meios de segurança, continuara tendo problemas.
Caso1:
Imaginemos que tenhamos 2 clientes, A e B.
Imaginemos que ja esteja configurado o WPA no AP Cliente
Imaginemos que nao configuramos o Hotspot para aceitar somente 1 conexao pro user.
Imaginemos que bloqueamos o cliente A
Simplesmente o Cliente A podera usar a Senha do Cliente B (seu amigo, vizinho) e continuar tendo acesso a Internet.
Caso2:
Imaginemos que tenhamos 2 clientes, A e B.
Imaginemos que ja esteja configurado o WPA no AP Cliente
Imaginemos que o Hotspot esteja configurado para aceitar somente 1 conexao por user... porem, nao configuramos senha no AP.
Imaginemos que bloqueamos o cliente A
Simplesmente o Cliente A pega o MAC do Cliente B... clona o MAC no AP dele e assim podera usar a Senha do Cliente B
Citação:
Postado originalmente por
GrayFox
O que eu gosto do PPPoE é que mesmo com rede aberta vc consegue ter uma rede mais segura do que com hotspot.
realmente, um pouco mais segura... mas ainda com brechas de segurança.
sabemos que ate PPOE pode ser snifado.
Citação:
Postado originalmente por
GrayFox
A única desvantagem que vejo do PPP em relacao ao hotspot é que para o PPP funcionar direito, a sua rede precisa estar com a relação sinal/ruido bonitinho, sem perda de pacotes, coisa que com hotspot se você estiver com o sinal -80 ele vai funcionar.
Nao vejo isso como desvantagem, vejo isso como garantia de qualidade.
sinal bom, nao importa a autenticacao/rede
Citação:
Postado originalmente por
GrayFox
Não estou defendendo o PPP de uma maneira jesuíta, só que tive experiências com essas tecnologias e para provedores de Internet acredito que o PPP te deixa menos refém da possibilidade de aparecer alguém querendo avacalhar com a rede.
Saudações a todos,
Como eu disse, ate o PPOE tem seus problemas.
Uma coisa que acho bom no Hotspot é a questao de propaganda, redirecionamento quando autenticado.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Citação:
Postado originalmente por
nonoque
Interessante essa técnica, nunca ouví falar dela.
Veja aqui.
Men In The Middle
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Vou olhar sim.
Como o amigo acima, uma das coisas que acho fantásticas no hotspot é o fato de avisar clientes, bloquear com mensagem etc.. Isso é ótimo. É por isso que ainda tenho esperanças.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Amigo, todo o tráfego é capturável, só que quando vc utiliza o servidor PPP com CHAP e MPPE, quando vc captura os pacotes eles vao estar totalmente embaralhados.
O CHAP faz com que o handshake de user/password seja com criptografia e o MPPE criptografa o tráfego gerado após o handshake. Então, quando se captura os pacotes, mesmo sabendo o IP e o mac, o cabeçalho dos pacotes PPP possuem uma diferenciacao que mesmo se vc clonar o mac e colocar o IP dele o trafego nao passa. Os pacotes IP estão dentro de datagramas ethernet, por isso PPPoE (ppp dentro de datagramas ethernet).
Então, se sabe de alguma falha da autenticação PPP por favor avise-nos.
Nos seus 2 casos, uma maneira de consertar seria trancar o login e tambem fazer uma regra dentro do AP cliente para que nao tenha trafego fora das redes 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16.
Resolveria o problema de vizinho emprestando senha.
Realmente a idéia que se tem é a do man in the middle.
Saudações,
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
realmente, todo trafego por ser capturado... ate do PPPOE (puro)
o jeito, como ja disse anteriormente... para que nao haja clone ou user/senha emprestado... o jeito é complicar.
No caso do Hotspot:
criptografia wp2, dificultando o acesso de pessoas nao autorizadas na rede
senha no AP, evitando que o usuario acesse o AP e bisbilhote ele, troque mac, etc.
"1 conexao por user" e user/senha preso ao ip x mac, evitando que o usuario/senha seja usado por outra pessoa.
AP cliente em modo ISP e recebendo IP /30, AP torre com a opcao isolocao ativada (se possivel, usar um switch com vlan para interligar os AP torre), com isso dificultamos que seja realizado um scann na rede ou que haja compartilhamento.
No caso do PPOE, vc ja disse pelo menos umas 3 alternativas
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Rapaz, esse tópico está ficando cada vez mais rico e produtivo. Parabéns a todos!!
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Uma duvida, se você colocar uma senha no WP2, outra senha no AP do cliente , ocultar os clientes um do outro e determinar que esse AP apenas aceite a conexão de 1 MAC, não resolveria?
- Eles não conseguiriam vasculhar a rede ja que as mesma estariam ocultas
- Sem a senha do WP2 eles sequer conseguiriam acessar a rede, assim não poderiam fazer o passo acima
- Sem a senha do AP eles não teriam acesso a configuração do AP, e não poderia descobrir o MAC/IP do mesmo.
Enfim para alguem conseguir acessar, precisaria acessar o AP ( burlando a senha), copiar o MAC/IP, e ainda sim precisaria descobrir a senha WP2.
Não sei se tive algum erro no raciocínio, me corrijam se estiver errado.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Citação:
Postado originalmente por
Stronks
Uma duvida, se você colocar uma senha no WP2, outra senha no AP do cliente , ocultar os clientes um do outro e determinar que esse AP apenas aceite a conexão de 1 MAC, não resolveria?
- Eles não conseguiriam vasculhar a rede ja que as mesma estariam ocultas
- Sem a senha do WP2 eles sequer conseguiriam acessar a rede, assim não poderiam fazer o passo acima
- Sem a senha do AP eles não teriam acesso a configuração do AP, e não poderia descobrir o MAC/IP do mesmo.
Enfim para alguem conseguir acessar, precisaria acessar o AP ( burlando a senha), copiar o MAC/IP, e ainda sim precisaria descobrir a senha WP2.
Não sei se tive algum erro no raciocínio, me corrijam se estiver errado.
Só que se algum cliente sniffar vai ver pois teoricamente estão na mesma rede.
Eu pensei em uma coisa.
Ao invés de clientes terem o ip
192.168.1.1 - 192.168.1.2 - 192.168.1.3
Se colocássemos
192.168.1.1 - 192.168.2.1 - 192.168.3.1 - 192.168.4.1
Como seria?
Por estarem em faixas diferentes não se enxergariam. Será que daria certo assim?
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Com faixa de rede diferente, um cliente nao enxergaria o outro pelos metodos simples, como mapeando a rede.
porem, ainda assim, com um sniffer ele pegaria tudo que trafegar ali na rede.... nao importa a faixa.
Para quem usa Hotspot, uma das solucoes é usar SSL no login... assim mesmo que alguem pegue esse trafego, dificilmente ira conseguir saber o login, pois estara encriptado.
em todo caso, o unico jeito de nao pegar trafego algum... é usar radio com a opcao "isolacao de cliente" ativado e switch com vlan para interligar os radios (ou em qualquer lugar que seja preciso um switch).
um jeito de evitar que pessoas nao autorizadas acessem a rede é:
usar criptografia, de preferencia WPA2 e usar senha para acesso ao setup do radio cliente.
assim evitamos que cliente tenha conhecimento e altere o IPxMAC, como tbm evitamos dele saber qual a chave de rede (WPA2).
Citação:
Postado originalmente por
nonoque
Só que se algum cliente sniffar vai ver pois teoricamente estão na mesma rede.
Eu pensei em uma coisa.
Ao invés de clientes terem o ip
192.168.1.1 - 192.168.1.2 - 192.168.1.3
Se colocássemos
192.168.1.1 - 192.168.2.1 - 192.168.3.1 - 192.168.4.1
Como seria?
Por estarem em faixas diferentes não se enxergariam. Será que daria certo assim?
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Citação:
Postado originalmente por
nonoque
Só que se algum cliente sniffar vai ver pois teoricamente estão na mesma rede.
Eu pensei em uma coisa.
Ao invés de clientes terem o ip
192.168.1.1 - 192.168.1.2 - 192.168.1.3
Se colocássemos
192.168.1.1 - 192.168.2.1 - 192.168.3.1 - 192.168.4.1
Como seria?
Por estarem em faixas diferentes não se enxergariam. Será que daria certo assim?
Essa tecnica de sniffar consegue interpretar a criptografia WP2?
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Aqui fiz algumas regras para evitar que clientes se enxerguem bloqueando as portas 135, 139 e 445 mas não é eficiente. Não acho eficiente o block relay dos rádios também.
E o lance do SSL o problema é ter que configurar no cliente. O bom é ter uma rede onde o cliente formata seu computador e não precisa te chamar pra configurar e em qualquer alteração o computador do cliente está preparado para trabalhar.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Quem falou que precisa configurar o cliente?
aqui uso certificado e nao precisei configurara nada.
é claro que uso certificado valido, paguei R$ 60,00 valido por 1 ano... da algo como R$ 5,00 por mês
compensa viu.
Citação:
Postado originalmente por
nonoque
Aqui fiz algumas regras para evitar que clientes se enxerguem bloqueando as portas 135, 139 e 445 mas não é eficiente. Não acho eficiente o block relay dos rádios também.
E o lance do SSL o problema é ter que configurar no cliente. O bom é ter uma rede onde o cliente formata seu computador e não precisa te chamar pra configurar e em qualquer alteração o computador do cliente está preparado para trabalhar.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Caracas Andrio. Como tú fez isso? Me explica que eu quero também!!!
O lance do certificado, ajuda somente evitar que a senha seja capturada quando o cliente loga no hotspot? Só mesmo isso?
Abraço
Citação:
Postado originalmente por
mascaraapj
Quem falou que precisa configurar o cliente?
aqui uso certificado e nao precisei configurara nada.
é claro que uso certificado valido, paguei R$ 60,00 valido por 1 ano... da algo como R$ 5,00 por mês
compensa viu.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Nos links a seguir dao uma ideia de como configurar o hotspot para usar SSL.
a unica coisa de diferente que vc tera que fazer é comprar um certificado valido.
o meu certificado eu comprei com o Itamar.
https://under-linux.org/f210/seguran...do-ssl-122980/
https://under-linux.org/f210/certifi...otspot-123193/
sobre o block relay (Isolacao de clientes disponivel nos radios), eu tbm nao confio muito nele
por isso uso outras tecnicas junto, como: ip/30 para cada cliente, switch com vlan para interligar os radios.
assim, mesmo que consigam passar por cima do block relay... so irao conseguir fazer um sniffer naquele radio, os demais nao ira pegar nada.
Contudo, acho dificil conseguir fazer um sniffer, ate pq todos os AP cliente sao configurados como ISP Cliente (o sniffer so ira pegar o trafego da Rede interna do cliente).
Para conseguirem realizar um sniffer em algum radio, o camarada teria que conectar-se diretamente no radio (AP).. e para isso teria que ter conhecimento da chave WPA2 (aqui é diferente para cada radio)... e se de alguma forma descobrir essa chave, ai cairia nas outras tecnicas, que dificultaria conseguir qualquer informacao e/ou navegar na net.
Citação:
Postado originalmente por
nonoque
Caracas Andrio. Como tú fez isso? Me explica que eu quero também!!!
O lance do certificado, ajuda somente evitar que a senha seja capturada quando o cliente loga no hotspot? Só mesmo isso?
Abraço
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Resumindo, WP2 e uma boa senha no ap cliente resolveria uma boa parte, tendo outras medidas pra dar cobertura...
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
O ruim da criptografia é que não vai mais existir a possibilidade de um usuário encontrar a rede e se cadastrar. É como uma isca pra clientes isso.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
isca para clientes ou isca para intrusos...?
Citação:
Postado originalmente por
nonoque
O ruim da criptografia é que não vai mais existir a possibilidade de um usuário encontrar a rede e se cadastrar. É como uma isca pra clientes isso.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
O ideal mesmo seria utilizar 802.1x e entregando uma senha diferente para cada AP.
O SSL para autenticação do hotspot é uma boa. Aí, o handshake é criptografado. A parte de autenticação praticamente se resolveria. O negócio seria fechar o acesso a rede com WPA2 ou 802.1x.
Sem essas situações, dificilmente teriamos uma rede fechada, já que como comentamos, poderiamos colocar o IP dos gateways e fazer um fuzuê na rede.
Saudações,
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Será que realmente a criptografia não vai demandar processamento demais não?
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Logicamente se perde com o processamento. Só que prefiro ter menos clientes por célula e ter controle deles do que colocar 10x clientes mais por célula e ser um deus nos acuda.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
É.. ainda tenho alguma resistência quanto a criptografia nos rádios.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Bom,o que vejo falarem é somente com relação a redes wireless,no meu caso tenho rede cabeada, tralho com hotspot com radius, e cada cliente tem sua subrede, no hotspot está configurado 1 address per mac,.
O problema é o seguinte,
Se algum funcion´rio mau intencionado colocar um cliente na rede, com mesmo ip , clona o mac e passa user e senha para um segundo cliente,
CLIENTE A - PAGA
CLIENTE B - CLONADOR
o cliente A nao está em casa , e o cliente B conecta,enquanto isso o cliente A chega e tenta conectar , e com certeza va i dar problema na autenticaçao,.
Teria que teroutra forma de identificar o pc - vejo algo do tipo de certificado.
Tem alguma solução?
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Citação:
Postado originalmente por
asafec
Bom,o que vejo falarem é somente com relação a redes wireless,no meu caso tenho rede cabeada, tralho com hotspot com radius, e cada cliente tem sua subrede, no hotspot está configurado 1 address per mac,.
O problema é o seguinte,
Se algum funcion´rio mau intencionado colocar um cliente na rede, com mesmo ip , clona o mac e passa user e senha para um segundo cliente,
CLIENTE A - PAGA
CLIENTE B - CLONADOR
o cliente A nao está em casa , e o cliente B conecta,enquanto isso o cliente A chega e tenta conectar , e com certeza va i dar problema na autenticaçao,.
Teria que teroutra forma de identificar o pc - vejo algo do tipo de certificado.
Tem alguma solução?
Mas na sua rede há como saber a senha dos usuários?
Uma boa conduta de um bom administrador é criptografar todo registro de senha de modo que nem ele mesmo consiga descobrir a mesma, tendo como unica forma, a troca de senha...
E outra coisa, se um funcionário mal intencionado chegar a conseguir fazer isso, seria facilmente detectado quando ocorresse esse problema do cliente, e obvio que uma das soluções seria colocar o bendito no olho da rua.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Citação:
Postado originalmente por
asafec
Bom,o que vejo falarem é somente com relação a redes wireless,no meu caso tenho rede cabeada, tralho com hotspot com radius, e cada cliente tem sua subrede, no hotspot está configurado 1 address per mac,.
O problema é o seguinte,
Se algum funcion´rio mau intencionado colocar um cliente na rede, com mesmo ip , clona o mac e passa user e senha para um segundo cliente,
CLIENTE A - PAGA
CLIENTE B - CLONADOR
o cliente A nao está em casa , e o cliente B conecta,enquanto isso o cliente A chega e tenta conectar , e com certeza va i dar problema na autenticaçao,.
Teria que teroutra forma de identificar o pc - vejo algo do tipo de certificado.
Tem alguma solução?
Para Indentificar o Computador Do Cliente é só vc ir em:
IP>>DHCP SERVER
Na Aba Leases, Lá vai ter IP, MAC e O Host Name do Cliente...
o Host Name é o Nome do Computador na "REDE"...
aqui eu modifiquei e ai deu pra indentificar qual pc era do cliente!
no win 7 automaticamente já Fica com nome cadastrado...ex "Joaozinho-PC"
abraços
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Talves isso possa ajudar para o não funcionamento dos programas que exibem ips e macs.
O que teu Faco aqui geralmente é o seguinte:
RB 450G ou 493 em Baixo gerenciando:
Ether1 -> uplink
ether2,ether3,ether4,ether5 em Bridge
;;; Bloqueio de Entre as Bridges
chain=forward out-bridge=br0 action=drop in-bridge=br
;;; Nao Aceita Entrada de DHCP
chain=input action=drop in-bridge=br0 mac-protocol=ip src-port=67
ip-protocol=udp
------------------
Nos Aps que geralmente uso UBNT, seleciono a opcao Enabled cliente isolacao, e nos mikrotik desabilito o Default forward.
------------------
pode ir em ip neighbours veja que não aparece o radio que esta ao lado. ou
UBNT, tool -> discover. que não aprece o radio ao lado.
eu acredito que isso mata praticamente todos os programas de discovery que procuram ips e macs conectados. eu não tenho esses programas para fazer o teste, mas tenho aqui 1500 clientes, todas as redes abertas, hotspot configurado o basico via setup e nunca apareceu problema de clonagem.
WPA e WPA2 pra min só tente a atrapalhar o desempenho da rede, aonde eu tinha, acabei tirando pois o acesso fica mais lentão
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Citação:
Postado originalmente por
gzanatta00
Talves isso possa ajudar para o não funcionamento dos programas que exibem ips e macs.
O que teu Faco aqui geralmente é o seguinte:
RB 450G ou 493 em Baixo gerenciando:
Ether1 -> uplink
ether2,ether3,ether4,ether5 em Bridge
;;; Bloqueio de Entre as Bridges
chain=forward out-bridge=br0 action=drop in-bridge=br
;;; Nao Aceita Entrada de DHCP
chain=input action=drop in-bridge=br0 mac-protocol=ip src-port=67
ip-protocol=udp
------------------
Nos Aps que geralmente uso UBNT, seleciono a opcao Enabled cliente isolacao, e nos mikrotik desabilito o Default forward.
------------------
pode ir em ip neighbours veja que não aparece o radio que esta ao lado. ou
UBNT, tool -> discover. que não aprece o radio ao lado.
eu acredito que isso mata praticamente todos os programas de discovery que procuram ips e macs conectados. eu não tenho esses programas para fazer o teste, mas tenho aqui 1500 clientes, todas as redes abertas, hotspot configurado o basico via setup e nunca apareceu problema de clonagem.
WPA e WPA2 pra min só tente a atrapalhar o desempenho da rede, aonde eu tinha, acabei tirando pois o acesso fica mais lentão
Com hotspot basico
Sem criptografia wireless
Sem roteamento, VLAN
Pode ter certeza que se tiver alguma clonagem, VOCE NUNCA VAI SABER.
o clone é global, funciona como se fosse o original, nao tem como detectar.
e detalhe, funciona ambos ao mesmo tempo!!!
___________
WPA e WPA2 nao atrapalha a rede, nao a deixa lenta.
se assim ficou quando o ativou, é sinal de rede ou roteador wireless com problema.
a criptografia wireless apenas usa um pouco do processamento dos AP.
Uso a anos WPA AES e nunca tive problemas.
-
re: Segmentar Rede para Impedir Clonagem de MAC Address
Citação:
Postado originalmente por
mascaraapj
WPA e WPA2 nao atrapalha a rede, nao a deixa lenta.
se assim ficou quando o ativou, é sinal de rede ou roteador wireless com problema.
a criptografia wireless apenas usa um pouco do processamento dos AP.
Uso a anos WPA AES e nunca tive problemas.
só se é problema da criptografia, pois sem tudo é uma maravilha.
me sistema é todo roteado, ips validos nos clientes, não tem nat.
e tem como ver se tem gente clonando. pois eu comprei ums 10 SXT a um tempo atras e fiz um script para configura-lo somente colando no new terminal. e deixei um descuido de alterar o mac para porta wlan1 para sempre a mesma, e sempre só funcionava somente 1 radio. tava quase mandando trocar todos esses radio quando descobri essa façanha minha.