PPPoE - Falha de segurança com IP Manual
Senhores , Boa tarde
Bom indo direto ao ponto , no meu provedor possuo a seguinte estrutura
MODEMS
|
|
V
RB1100AHx2 -
|
|
V
outra RB1100AHx2 - Sendo usado para centralizar os APS e outros serviços
|
|
V
4X RB800 + XR2 + Antenas setoriais 90º Hyperlink - sendo usado como PPPoE e cada 1 atendendo um range diferente de Ip's
Os clientes se conectam na rede , depois de se autenticar no Server PPPoE que esta na RB800
Porém se o usuario , manualmente colocar IP/mask/Gateway no mesmo range ou até o mesmo ip que havia sido determinado para aquele usuario , o mesmo consegue acessar a internet , sem precisar se autenticar
como posso resolver este tipo de problema ??
Obrigado Pessoal
Re: PPPoE - Falha de segurança com IP Manual
na interface wireless que vc atende os clientes, vc nao precisa ter ip configurado, pois vc tera um servidor pppoe ouvindo nesta interface.
se vc tiver um ip nessa interface, e o cliente configurar manualmente, realmente ele tera acesso, mas como nao eh necessario ter ip nessa interface, basta nao ter e esta resolvido.
Re: PPPoE - Falha de segurança com IP Manual
Isso que o colega mencionou é valido, mas também é só desativar nat na saída se os ips entregues aos clientes forem falsos ou fazendo o mais correto que é bloquear todo trafego ip nos concentradores pppoe, só deixar passar pppoe discovery e session e se administrar os rádios remotamente, deixar a faixa de administração liberada também, para acesso ip é arp broadcast.
Anderson
Re: PPPoE - Falha de segurança com IP Manual
Citação:
Postado originalmente por
didism2
Senhores , Boa tarde
Bom indo direto ao ponto , no meu provedor possuo a seguinte estrutura
MODEMS
|
|
V
RB1100AHx2 -
|
|
V
outra RB1100AHx2 - Sendo usado para centralizar os APS e outros serviços
|
|
V
4X RB800 + XR2 + Antenas setoriais 90º Hyperlink - sendo usado como PPPoE e cada 1 atendendo um range diferente de Ip's
Os clientes se conectam na rede , depois de se autenticar no Server PPPoE que esta na RB800
Porém se o usuario , manualmente colocar IP/mask/Gateway no mesmo range ou até o mesmo ip que havia sido determinado para aquele usuario , o mesmo consegue acessar a internet , sem precisar se autenticar
como posso resolver este tipo de problema ??
Obrigado Pessoal
Simples ativa o hotspot. Ele vai bloquear quem nao está logado pelo pppoe.
Re: PPPoE - Falha de segurança com IP Manual
Citação:
Postado originalmente por
snkbrz
Isso que o colega mencionou é valido, mas também é só desativar nat na saída se os ips entregues aos clientes forem falsos ou fazendo o mais correto que é bloquear todo trafego ip nos concentradores pppoe, só deixar passar pppoe discovery e session e se administrar os rádios remotamente, deixar a faixa de administração liberada também, para acesso ip é arp broadcast.
Anderson
Muito bom. Tenho uma dica que pode ser que resolva o seu problema. Apenas adicione uma regra no firewall do seu mikrotik.
IP / FIREWALL na tabela filter adicione:
chain= forward
src-address= 192.168.0.0/24 ( esta é a faixa de ip dos clientes, altere para sua rede)
in-interface= lan ( interface de saída dos clientes)
aba action= drop
depois de adicionar esta regra coloque ela acima de todas as outras se tiver, faça o teste e verá que só consegue navegar se estiver autenticado. Outra coisa, é importante que no seu concentrador pppoe não tenha nenhum serviço de dhcp configurado e que tenha o pool de ip setado no profile do servidor pppoe.
Espero que tenha ajuda.