Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Juntando forças para descoberta inedita contra navegação a base de clonagem de IP

    ALGUEM TIVER IDEIA DO COMO FAZER O QUE VOU DIZER AQUI DIGA E VAMOS VER NO QUE DA.
    A PERGUNTA PARA OS INTERESSADOS NO ASSUNTO É A SEGUINTE:
    juntando informações adquiridas aqui no forum em livros e experiência, sabemos que o MAC e DHCP são fatores impressindivel para a navegação tanto em rede cabeada como em rede wireless e qualquer outra que use a infraestrutura. entao quem ja usa hotspot sabe que para estabilizar uma conexao antes do login o cliente primeiro recebe um ip gerado pelo SERVIDOR DHCP certo?IP>DHCP, e apos logar o cliente recebe outro ip do hotspot gerado pelo pool em IP>POOL>USED ADDRESS onde e armazenado ip's como no lease do servidor dhcp certo?
    Quando o malandro clona um mac o ip vem de brinde certo?
    E quem da este ip de brinde é o servidor dhcp sendo o ip ele consegue enxergar na hora da clonagem certo?
    E é este o ip que da caminho para internet e nao o ip do pool correto?
    Pois eu fiz os testes e a clonagem e navegação e baseada no ip do servidor dhcp gerado pelo pool apos o cliente logar.
    A PERGUNTA QUE NAO QUER CALAR E A SEGUINTE:
    como e que ele nao consegue ver o ip do pool?
    como podemos fazer com que ele veja o ip do pool e não o do servidor dhcp?

    pois se conseguissemos enviar o ip do pool ele nao conseguiria navegar pois o cliente estaria ativo em outro ip.
    ou como poderiamos criar um seguimento tipo 192.168.1.1 para o pool e 192.168.2.1 para depois fazermos o redirecionamento para o seguimento do ip do servidor dhcp fazendo ele se confundir e nao consegui navegar pois ele estaria tentando o seguimento 192.168.1.1 que vai para o hotspot depois de logar e nao veria o ip do dhcp, se alguem nao entendeu me diga que reformulo a ideia.
    obrigado
    VAMOS JUNTAR FORÇAS PARA ESTE RESULTADO

  2. #2
    MODERADOR-CHEFE Avatar de osmano807
    Ingresso
    Aug 2008
    Localização
    Araguari - Minas Gerais
    Posts
    1.980
    Posts de Blog
    5

    Padrão

    Bom, pode ser feito um servidor dhcp de "mentira", que mandasse um ip qualquer, mas os usuários teriam ip fixo já colocado na interface. Bom, resolveria o problema de uns espertinhos que não conseguem descobrir os ips reais na rede.
    Utilizar dhcp ipv6 poderia também, pois o ip é gerado a partir do MAC do cliente, e assim acho que não irá dar certo 2 ipv6 iguais.

  3. #3

    Padrão FIZ ALGUMAS GAMBIARRA NO MK E VEJAM NO QUE DEU! FAÇAM SEUS TESTES E POSTEM AQUI

    Boa noite!
    É o seguinte.

    Eu sempre digo que a informática é uma lógica perfeita, é como o corpo humano.
    Estava aqui pensando e veio umas idéias doidas na cabeça e veja no que deu.

    Isto aqui é baseado em Mikrotik com hotspot e pode fazer as alterações com a rede oficial de seus clientes pois só assim obtive o resultado esperado e não atrapalhou em nada na navegação deles.

    Da forma que esta configurado suas maquinas em router ou em bridge com certeza o mk direciona 2 ip's para que o cliente navegue, 1 quando liga a máquina e o outro quando loga no mk correto?
    -Certo, então vai em IP>DHCP>Networks e coloque a mascara (Netmask) em 30 e de ok.
    -Vá na aba Leases e delete todas leases criada pra vc ver depois o que vai acontecer, mas não pare aqui continue até o final.
    -Vá em IP>POOL>Pools clique 2x na linha que contém um símbolo amarelo em formato de cruz, e na caixa que aparecer altere "Next Pool" para (Pool dhcp) ou seja o mesmo nome que foi dado ao pool do dhcp que gera ip para o cliente no hotspot após ter logado e é esse que temos que fazer o cliente usar pois o do servidor dhcp é que é usado pelos clonadores. veja a idéia no inicio deste tópico.

    Agora como eu fiz, faça você também, baixe o a-mac e o Colasoft MAC scanner pois usei os dois para ver se ia dar muita diferença entre outros tipos de scanner's, agora faça ele scanear a rede que foi reconfigurada agora pouco, AQUI O RESULTADO FOI O SEGUINTE: só pescou o IP e MAC do servidor e do próprio pc que estava varrendo a rede, se foi isso que aconteceu ai também isso é ponto pra lógica na informática pois como o /30 não deixa o cliente enxergar o outro na rede ele barra os scanner's também certo? e setando o pool pra ele proprio evita que o cliente fique recebendo ip do servidor dhcp, não to dizendo que o servidor dhcp não vai mais trabalhar estou dizendo que o ip liberado para conectar teria que ser o mesmo para logar no hotspot assim evitando a garupa do malandro no segundo ip que teria que vir somente do servidor dhcp e que é o que os scanner consegue enxergar, se estiver errado me corrijam, então até aqui matamos dois coelhos com uma paulada só, inibimos os ip's de clientes para os scanner's na rede e forçamos a inibição de compartilhamento involuntário de pastas e arquivos na rede.

    Agora vem o melhor, vai lá como vc sabe fazer e clone qualquer cliente da sua rede e tente navegar................e ai..................nada?..................tente esperar mais um pouco.................e agora................. Se esse foi o resultado ai, aqui também, então, BINGOO! acho que estamos no caminho certo acho que pode precisar de uma regra pro firewall se tiver alguem que manja de inventar regra ai já sabe né?por enquanto nenhuma adaptação extra a rede, é só lógica. Depois dessa acho que ainda dá pra implementar um SSL que um amigo nosso postou aqui no under e evitará que o malandro bata um sniff na sua rede pra roubar senha no hotspot mas se ele não conseguir navegar por clonagem o que que ele vai fazer com senha roubada né?

    GENTE DESCULPE A IMPOLGAÇÃO AI MAIS SE ME PESQUISAREM AQUI NO FORUM NÃO TENHO MUITOS POST'S MAIS JÁ CORRI ATRÁS DE MUITAS SOLUÇÕES COMO ESTA, JÁ TENTEI AJUDAR MUITOS PORAQUI E ESPERO QUE ESTÁS IDÉIAS SIRVA PRA TODOS QUE ESTÃO NESTA LUTA AQUI NO FORUM, QUEM ENCONTRAR O PRIMEIRO BUG AI NA CONFIGURAÇÃO POSTA AI PRA PODERMOS MELHORA-LA.
    OBRIGADO E BOA MADRUGADA! RSRSRS
    Última edição por underwanderson; 01-04-2009 às 02:38.

  4. #4

    Padrão

    Citação Postado originalmente por underwanderson Ver Post
    ALGUEM TIVER IDEIA DO COMO FAZER O QUE VOU DIZER AQUI DIGA E VAMOS VER NO QUE DA.
    A PERGUNTA PARA OS INTERESSADOS NO ASSUNTO É A SEGUINTE:
    juntando informações adquiridas aqui no forum em livros e experiência, sabemos que o MAC e DHCP são fatores impressindivel para a navegação tanto em rede cabeada como em rede wireless e qualquer outra que use a infraestrutura. entao quem ja usa hotspot sabe que para estabilizar uma conexao antes do login o cliente primeiro recebe um ip gerado pelo SERVIDOR DHCP certo?IP>DHCP, e apos logar o cliente recebe outro ip do hotspot gerado pelo pool em IP>POOL>USED ADDRESS onde e armazenado ip's como no lease do servidor dhcp certo?
    Quando o malandro clona um mac o ip vem de brinde certo?
    E quem da este ip de brinde é o servidor dhcp sendo o ip ele consegue enxergar na hora da clonagem certo?
    E é este o ip que da caminho para internet e nao o ip do pool correto?
    Pois eu fiz os testes e a clonagem e navegação e baseada no ip do servidor dhcp gerado pelo pool apos o cliente logar.
    A PERGUNTA QUE NAO QUER CALAR E A SEGUINTE:
    como e que ele nao consegue ver o ip do pool?
    como podemos fazer com que ele veja o ip do pool e não o do servidor dhcp?

    pois se conseguissemos enviar o ip do pool ele nao conseguiria navegar pois o cliente estaria ativo em outro ip.
    ou como poderiamos criar um seguimento tipo 192.168.1.1 para o pool e 192.168.2.1 para depois fazermos o redirecionamento para o seguimento do ip do servidor dhcp fazendo ele se confundir e nao consegui navegar pois ele estaria tentando o seguimento 192.168.1.1 que vai para o hotspot depois de logar e nao veria o ip do dhcp, se alguem nao entendeu me diga que reformulo a ideia.
    obrigado
    VAMOS JUNTAR FORÇAS PARA ESTE RESULTADO
    ,Certificado SSL, leia em hotspot, tem muito material sobre o assunto.

  5. #5

    Padrão

    Citação Postado originalmente por underwanderson Ver Post
    Boa noite!
    É o seguinte.

    Eu sempre digo que a informática é uma lógica perfeita, é como o corpo humano.
    Estava aqui pensando e veio umas idéias doidas na cabeça e veja no que deu.

    Isto aqui é baseado em Mikrotik com hotspot e pode fazer as alterações com a rede oficial de seus clientes pois só assim obtive o resultado esperado e não atrapalhou em nada na navegação deles.

    Da forma que esta configurado suas maquinas em router ou em bridge com certeza o mk direciona 2 ip's para que o cliente navegue, 1 quando liga a máquina e o outro quando loga no mk correto?
    -Certo, então vai em IP>DHCP>Networks e coloque a mascara (Netmask) em 30 e de ok.
    -Vá na aba Leases e delete todas leases criada pra vc ver depois o que vai acontecer, mas não pare aqui continue até o final.
    -Vá em IP>POOL>Pools clique 2x na linha que contém um símbolo amarelo em formato de cruz, e na caixa que aparecer altere "Next Pool" para (Pool dhcp) ou seja o mesmo nome que foi dado ao pool do dhcp que gera ip para o cliente no hotspot após ter logado e é esse que temos que fazer o cliente usar pois o do servidor dhcp é que é usado pelos clonadores. veja a idéia no inicio deste tópico.

    Agora como eu fiz, faça você também, baixe o a-mac e o Colasoft MAC scanner pois usei os dois para ver se ia dar muita diferença entre outros tipos de scanner's, agora faça ele scanear a rede que foi reconfigurada agora pouco, AQUI O RESULTADO FOI O SEGUINTE: só pescou o IP e MAC do servidor e do próprio pc que estava varrendo a rede, se foi isso que aconteceu ai também isso é ponto pra lógica na informática pois como o /30 não deixa o cliente enxergar o outro na rede ele barra os scanner's também certo? e setando o pool pra ele proprio evita que o cliente fique recebendo ip do servidor dhcp, não to dizendo que o servidor dhcp não vai mais trabalhar estou dizendo que o ip liberado para conectar teria que ser o mesmo para logar no hotspot assim evitando a garupa do malandro no segundo ip que teria que vir somente do servidor dhcp e que é o que os scanner consegue enxergar, se estiver errado me corrijam, então até aqui matamos dois coelhos com uma paulada só, inibimos os ip's de clientes para os scanner's na rede e forçamos a inibição de compartilhamento involuntário de pastas e arquivos na rede.

    Agora vem o melhor, vai lá como vc sabe fazer e clone qualquer cliente da sua rede e tente navegar................e ai..................nada?..................tente outro mac.................e agora.................não tem jeito né? desiste e vai trabalhar, arrumar mais clientes rsrsrs.
    Se esse foi o resultado ai, aqui também, então, BINGOO! acho que é isso, não precisou de regra no firewall e por enquanto nenhuma adaptação extra a rede, é só lógica. Depois dessa acho que ainda dá pra implementar um SSL que um amigo nosso postou aqui no under e evitará que o malandro bata um sniff na sua rede pra roubar senha no hotspot mas se ele não conseguir navegar por clonagem o que que ele vai fazer com senha roubada né?

    GENTE DESCULPE A IMPOLGAÇÃO AI MAIS SE ME PESQUISAREM AQUI NO FORUM NÃO TENHO MUITOS POST'S MAIS JÁ CORRI ATRÁS DE MUITAS SOLUÇÕES COMO ESTA, JÁ TENTEI AJUDAR MUITOS PORAQUI E ESPERO QUE ESTÁS IDÉIAS SIRVA PRA TODOS QUE ESTÃO NESTA LUTA AQUI NO FORUM, QUEM ENCONTRAR O PRIMEIRO BUG AI NA CONFIGURAÇÃO POSTA AI PRA PODERMOS MELHORA-LA.
    OBRIGADO E BOA MADRUGADA! RSRSRS
    Não sei o que pode ser mas mesmo com muita dificuldade consegui abrir a pagina do google aqui, e notei também quando o malandro clonar o mac o clonado vai ficar caindo o mk não vai deixar os dois ativos, se alguém tiver alguma idéia ai nos ajude, uma regra no firewall que avalize essa configuração não sei se consigo mais idéias, vejam ai e postem aqui.
    obrigado
    e boa madrugada

  6. #6

    Padrão

    Citação Postado originalmente por underwanderson Ver Post
    Não sei o que pode ser mas mesmo com muita dificuldade consegui abrir a pagina do google aqui, e notei também quando o malandro clonar o mac o clonado vai ficar caindo o mk não vai deixar os dois ativos, se alguém tiver alguma idéia ai nos ajude, uma regra no firewall que avalize essa configuração não sei se consigo mais idéias, vejam ai e postem aqui.
    obrigado
    e boa madrugada
    coloquei o certificado ssl e desmarquei somente a função HTTP CHAP e mantive MAC e Cookie e é claro HTTPS marcados e vamos ver o que da, com a colocação so certificado SSL as vezes em vez e com muita demora em vez de cair na navegação cai na tela de login do hotspot devido a solicitação de aceitação do certificado.
    até mais, olha a hora!

  7. #7

    Padrão

    Certificado SSL não constrage em nada clonagem;

    algumas medidas para constrager, veja o tópico:PPPoe / Hotspot - Página 4
    Última edição por JHONNE; 01-04-2009 às 07:15.

  8. #8

    Padrão

    Ola amigo estou tocerdo que essa ideia sua der certo pois aqui e meu grande problema meu link e pequeno e infelismente aqui tem uns malas, esto aguardando e torcendo que der certo. Boa sorte

  9. #9

    Padrão hehe

    Citação Postado originalmente por wnascimento Ver Post
    ,Certificado SSL, leia em hotspot, tem muito material sobre o assunto.
    Nascimento, Certificado SSL dificulta um pouco os clones e os snifers, ele inibe a chance que eles tiam de pegar usuário x senha, então hotspot ainda continua sendo uma ganbi. hehehe com segurança mínima, mas ainda podem clonar e navegar.

    Grato anderson pela Idéia proposta, estou colocando em testes aqui no laboratório, mas a idéia é interessante.

    abraços
    Última edição por caicarabruno; 01-04-2009 às 09:43. Razão: arrumando

  10. #10

    Padrão Largue o modelo Hotspot

    USE PPPOE que isso acaba!

  11. #11

    Padrão

    Citação Postado originalmente por Marzio Ver Post
    USE PPPOE que isso acaba!
    desculpe amigo, mas não é essa a idéia aqui, a idéia aqui é arrumar uma solução para manter o hotspot, uma regra de firewall ou um conjunto de configuração que ajuste o mk a inibir a clonagem ou dificultar.
    obrigado

  12. #12

    Padrão Entendi o propósito!

    Só que rede grande não combina com Hotspot é isso que estou dizendo, a solução é autenticar mesmo com tunel e bem feito diga-se de passagem. Hotspot é somente para hóteis, aeroportos, etc.

    Um abraço,

    Marzio.

  13. #13

    Padrão

    Citação Postado originalmente por Marzio Ver Post
    Só que rede grande não combina com Hotspot é isso que estou dizendo, a solução é autenticar mesmo com tunel e bem feito diga-se de passagem. Hotspot é somente para hóteis, aeroportos, etc.

    Um abraço,

    Marzio.
    Concordo 100% use PPPoE é o mais correto e o mais seguro, hotspot não é sistema para seu provedor depender, claro a segurança deve começar na ap, controlar o MAC, ter WPA, etc ..

  14. #14

    Padrão PPoE

    Realmente ppoe é uma tecnologia melhor que o hotspot, mas hotspot para mim e para muitos é uma questão comercial, quem aqui nunca ganhou um cliente pq o sinal do concorrente CAIU ??????!!!!

    Mas voltando a questão original! Tenho um provedor para os nossos padrões ele é médio porte cerca de 270 clientes e almentando só que vem a questão "segurança", como fazer para não snifarem, como fazer para não clonarem, como fazer para não pegarem dados, até o ppoe é snifavel, então vem a questão primordial.

    "Como esconder os macs/ips dos clientes, de forma a não feixar o hotspot ??"

    Uma solução plausivel, Hostcert do nosso amigo Lauro, não querendo desmerer o trabalho do nosso amigo, é uma solução paga!

    Nosso amigo Wanderson colocou uma idéia interessante em pauta.

    Mas o nosso amigo Lauro teve uma idéia genial diga-se de passagem, porém tem de ter um servidor só para isto e instalar na máquina dos clientes, ai que ta o filão.

    "Como fazer uma solução, mesmo q tenha de ter uma servidor dedicado,para tunelar o hotspot sem ter de instalar nada no cliente??????"

    Esta é a idéia proposta! sei que muitos vão discordar do hotspot, muitos vão concordar. MAs imaginem

    POR Favor, Deixem DE FORA O PPPOE AQUI NESTE Tópico, pois estamos em busca de uam solução para o hotspot, torna-lo mais seguro sem fecha-lo

    Abraços
    Última edição por caicarabruno; 01-04-2009 às 11:50.

  15. #15

    Padrão

    Citação Postado originalmente por Marzio Ver Post
    Só que rede grande não combina com Hotspot é isso que estou dizendo, a solução é autenticar mesmo com tunel e bem feito diga-se de passagem. Hotspot é somente para hóteis, aeroportos, etc.

    Um abraço,

    Marzio.
    Tenho uma rede considerável cerca de 600 usuários com o hotspot e não uso ppoe por uma teoria simples: o protocolo de camada2 (ppoe) é mais sensível a qualidade da conexão (wireless perde muito) e não tem um controle de erro e reenvio de pacotes tão eficiente quanto o tcp/ip, como o hospot trabalha direito com o tcp/ip (e não com ele tunelado) a qualidade da conexão com o hotspot é melhor (ja testei várias vezes)

  16. #16

    Padrão

    Na verdade existem dois problemas a ser resolvido quando a clonagem no hotspot

    1 - Clone navega depois do usuário autenticado, sem a necessidade de inserir senha, no entanto a conexão do usuário real e também a do clonado fica muito ruim;

    2 - Uso não autorizado atráves da clonagem de mac e ip de um usuário que não está navegando no momento (clonadores preferem empresas que fecham à noite até porque geralmente têm maior largura de banda);


    Para 1º problema só vejo como solução o uso da criptografia wap2;

    para 2º acredito que o ideal seria:

    criar algo que registrasse o computador (como os bancos) um software que interagisse com o nosso sistema.

    Imagino assim

    cria se um aplicativo que comunique com um servidor linux central esse servidor verificaria de tempos em tempo a autenticidade do computador que está logado, caso a identificação nao corresponda ele emitiria um comando ssh ao mk desconectando o usuário

    Agora como desenvolver isso?

  17. #17

    Padrão

    Citação Postado originalmente por Marzio Ver Post
    Só que rede grande não combina com Hotspot é isso que estou dizendo, a solução é autenticar mesmo com tunel e bem feito diga-se de passagem. Hotspot é somente para hóteis, aeroportos, etc.

    Um abraço,

    Marzio.
    pois é, mas isso agora já virou um dever tentar barrar isso com uma solução proprietaria do proprio mk, e mantendo o hotspot pois ja imaginou quantos hoteis, cafe's, restaurante e aeroportos para ganharmos din-din implementando soluções de segurança na rede deles? não podemos pensar somente no hoje, e no momentos que estamos passando, concorda comigo?
    obrigado.

  18. #18

    Padrão

    Na verdade existem dois problemas a ser resolvido quando a clonagem no hotspot

    1 - Clone navega depois do usuário autenticado, sem a necessidade de inserir senha, no entanto a conexão do usuário real e também a do clonado fica muito ruim;

    2 - Uso não autorizado atráves da clonagem de mac e ip de um usuário que não está navegando no momento (clonadores preferem empresas que fecham à noite até porque geralmente têm maior largura de banda);


    Para 1º problema só vejo como solução o uso da criptografia wap2;

    para 2º acredito que o ideal seria:

    criar algo que registrasse o computador (como os bancos) um software que interagisse com o nosso sistema.

    Imagino assim

    cria se um aplicativo que comunique com um servidor linux central esse servidor verificaria de tempos em tempo a autenticidade do computador que está logado, caso a identificação nao corresponda ele emitiria um comando ssh ao mk desconectando o usuário

    Agora como desenvolver isso?
    BOm, eu não tenho provedor, mas trabalho com soluções, uso a lógica pra isso. Analisem o que vou dizer.

    Pela rede, só temos 2 métodos para identificar a conexao, que é o MAC e o IP. Os dois podem ser clonados facilmente, correto?

    A idéia é usar hotspot, para o cara não ter q instalar porra nenhuma no micro dele pra acessar a rede (pppoe)., correto?

    Quando uma pessoa conectar a rede, e quando for abrir qualquer página, ele for redirecionado a uma pagina do provedor, que precisa que ele faça login para poder acessar a internet.

    A ideia do JHONNE seria fazer um plugin para o browse, onde a maquina seja identificada, para q o cara possa usar a rede, correto?

  19. #19

    Padrão

    Citação Postado originalmente por caicarabruno Ver Post
    Realmente ppoe é uma tecnologia melhor que o hotspot, mas hotspot para mim e para muitos é uma questão comercial, quem aqui nunca ganhou um cliente pq o sinal do concorrente CAIU ??????!!!!

    Mas voltando a questão original! Tenho um provedor para os nossos padrões ele é médio porte cerca de 270 clientes e almentando só que vem a questão "segurança", como fazer para não snifarem, como fazer para não clonarem, como fazer para não pegarem dados, até o ppoe é snifavel, então vem a questão primordial.

    "Como esconder os macs/ips dos clientes, de forma a não feixar o hotspot ??"

    Uma solução plausivel, Hostcert do nosso amigo Lauro, não querendo desmerer o trabalho do nosso amigo, é uma solução paga!

    Nosso amigo Wanderson colocou uma idéia interessante em pauta.

    Mas o nosso amigo Lauro teve uma idéia genial diga-se de passagem, porém tem de ter um servidor só para isto e instalar na máquina dos clientes, ai que ta o filão.

    "Como fazer uma solução, mesmo q tenha de ter uma servidor dedicado,para tunelar o hotspot sem ter de instalar nada no cliente??????"

    Esta é a idéia proposta! sei que muitos vão discordar do hotspot, muitos vão concordar. MAs imaginem

    POR Favor, Deixem DE FORA O PPPOE AQUI NESTE Tópico, pois estamos em busca de uam solução para o hotspot, torna-lo mais seguro sem fecha-lo

    Abraços
    isso mesmo vamos juntar as massas cefalicas e mesmo os que ja usa o ppp0e pode ajudar, pois como ja disse em uma replica ao nosso amigo Mazio, até eles mesmo que usam ppp0e vai ganhar com isso com uma solução que ajudou a todos.
    ajudem e não se arrependeram, escutem o que o nosso amigo caicarabruno vos fala, eu ja tenho o hostcert e estou em faze de teste ja faz quase um mes tai o amigo lauro que esta a disposição para ajudar no que for preciso pra leventar o servidor, eu sei que temos que fazer investimentos neste tipo de negocio e nao ficar so no 486zinho e radinho como ja vi alguns topicos aqui fazendo chacota da cara dos que estao começando, mas podemos mais, muito mais isso eu tenho certeza se houver ajuda sem esperar retorno aqui no forum e sim nos seus negocios wireless.
    obrigados
    AJUDEMOS

  20. #20

    Smile

    Citação Postado originalmente por Marzio Ver Post
    Só que rede grande não combina com Hotspot é isso que estou dizendo, a solução é autenticar mesmo com tunel e bem feito diga-se de passagem. Hotspot é somente para hóteis, aeroportos, etc.

    Um abraço,

    Marzio.

    Isso ai Hotspot ou pppoe para provedor grande não rola