Já percebi isso.....Postado originalmente por Anonymous
Já percebi isso.....Postado originalmente por Anonymous
Isso não funciona. A coisa mais fácil hj em dia é trocar o MAC da placa. Isso é configurável até em roteadores....
[size=18px]E se a situação for outra, por exemplo, um clonagem de mac?, este tipo de problema esta acontecendo com um amigo meu.[/size]Postado originalmente por markcom
Ele usa uma AP2000.
Grato,
isto tem uma solução muito mais engenhosa e bonita :-D
DHCP + DNS!
Cria um servidor de DNS e metes lá uns nomes e atribuis IP's.
Exemplo: pc1.meudomino.pt, pc2.meudominio.pt...
Depois configuras o teu DHCPD server...
host pc1
{
hardware ethernet 12:34:56:78:AB:CD;
fixed-address pc1.meudominio.pt;
}
host pc2
{
hardware ethernet 12:34:56:78:AB:CE;
fixed-address pc2.meudominio.pt;
}
etc...
Quanto ao MAC spoof, é mais complicado gerir isso, mas sempre podes tentar proteger-te de ARP poisoning contra esse tipo de ataques. Em termos de rede wireless, podes sempre tentar outros métodos, como autenticação numa DMZ e só depois abrir o acesso... ou coisas mais simples tipo pfauth (pf do openbsd)
Sei q este post é antigo mas alguem sabe como limpar a tabela arp de uma vez...??
Outra coisa depois que implantei este sistema minha tebela de arp ficou enorme qndo mando um arp -a.
Gostaria de saber se tem como ver apenas as maquinas ligadas mas nada.
Abraço
Postado originalmente por gatoseco
E SE O CARA ESCANEAR A REDE E PEGA UM IP E UM MAC VALIDO E COLOCA NO MICRO DELE, COMO POSSO BLOQUEAR?????? naum existe nenhum teste pra fazer pra ve se o mac address é realmente da placa que esta chegando o pedido?????????
se puder me ajudar
[email protected]
O mais simples a fazer e o seguinte dentro do arquivo de firewall vc tem apenas q definir a seguinte politica:
#Bloqueia acesso de todos nao cadastrados
iptables -P FORWARD DROP
Logo apos deve se criar /etc/ethers e dar permissao, dentro desse arquivo vc coloca as seguintes regras:
#liberando acesso para 10.0.1.2
iptables -t nat -A POSTROUTING -s 10.0.1.2 -j MASQUERADE
iptables -A FORWARD -s 10.0.1.2 -m mac --mac-source 00:E0:7D:E1:0C:4B -j ACCEPT
iptables -A FORWARD -d 10.0.1.2 -j ACCEPT
Todo mundo que tiver seu ipxmac relacionado nesse arquivo tem direito a utilizar a internet, porem que nao estiver cadastrado nao nevega,
A cada novo usuario que vc tiver na rede sera necessario ir ate esse arquivo e liberar o acesso pro novo usuario !!!
É como se cada novo usuario necessita-se dessa liberaçao para utilizar o sistema, no caso a navegaçao !!!
Valeu galera espero ter ajudado !!!!
O mais simples a fazer e o seguinte dentro do arquivo de firewall vc tem apenas q definir a seguinte politica:
#Bloqueia acesso de todos nao cadastrados
iptables -P FORWARD DROP
Logo apos deve se criar /etc/ethers e dar permissao, dentro desse arquivo vc coloca as seguintes regras:
#liberando acesso para 10.0.1.2
iptables -t nat -A POSTROUTING -s 10.0.1.2 -j MASQUERADE
iptables -A FORWARD -s 10.0.1.2 -m mac --mac-source 00:E0:7D:E1:0C:4B -j ACCEPT
iptables -A FORWARD -d 10.0.1.2 -j ACCEPT
Todo mundo que tiver seu ipxmac relacionado nesse arquivo tem direito a utilizar a internet, porem que nao estiver cadastrado nao nevega,
A cada novo usuario que vc tiver na rede sera necessario ir ate esse arquivo e liberar o acesso pro novo usuario !!!
É como se cada novo usuario necessita-se dessa liberaçao para utilizar o sistema, no caso a navegaçao !!!
Valeu galera espero ter ajudado !!!!
Nao resolve cara, pra isso ficaria mais simples usar a tabela arp!!!
O problema é se alguem sniffa a rede e pega ip e mac... neste caso, só pppoe mesmo...
No linux?
Jim tá certo, se sniffar e pegar o arp e o ip certos... bye-bye :P
Eu fiz assim e funcionou filé:
# Controle de acesso IP X MAC
iptables -t filter -A FORWARD -d 0/0 -s 192.168.1.12 -m mac --mac-source 00:129:08:25:24 -j ACCEPT
iptables -t filter -A FORWARD -d 192.168.1.12 -s 0/0 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.1.12 -d 0/0 -m mac --mac-source 00:129:08:25:24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.12 -o eth1 -j MASQUERADE
iptables -t filter -A FORWARD -d 0/0 -s 192.168.1.15 -m mac --mac-source 00:12:20:89:RA2 -j ACCEPT
iptables -t filter -A FORWARD -d 192.168.1.15 -s 0/0 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.1.15 -d 0/0 -m mac --mac-source 00:12:20:89:RA2 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.15 -o eth1 -j MASQUERADE
OBS: Fiz pela talela arp também funcionou legal mas eu uso as informações do arp para outras coisas por isso que prefiri o iptables.
Abraço em geral
acompanhei esse post é esta muito bom
parabens
Primo,
Le material controle IP MAC
vc sitou vendo de equipamentos Wireles, pode me passar teu MSN ??
[email protected]
Para ter maior segurança contra "invasores" o ideal é ter algum tipo de autenticação....tipo radius, squid e só assim permitir a navegação. E mesmo assim corre-se o risco de uso indevido da rede, pois sempre tem os loucos :@: que emprestam senha, ip e mac....
Para ter maior segurança contra "invasores" o ideal é ter algum tipo de autenticação....tipo radius, squid e só assim permitir a navegação. E mesmo assim corre-se o risco de uso indevido da rede, pois sempre tem os loucos :@: que emprestam senha, ip e mac....
Amigo ninguem aqui falou q isso é a sua segurança definitiva apenas estamos agregando mas um dificuldade aos curiosos de plantão.