e-cut, quem sabe se defender?? ta virando moda a galera clonar mac agora

[AndrioPJ]

O objetivo do ARP Spoofing é assumir o papel do gateway.
O atacante envia pacotes de broadcast a toda a rede avisando que o novo endereço MAC do ip xxx.xxx.xxx.xx (o endereço da máquina do atacante). Assim o atacante captura informações de tudo que trafega na rede que está sendo utilizada.

em um switch com vlan... a vlan é configurador para ser tratado na porta
vamos dar por exemplo um switch com 8 portas, servidor conectado na porta 1
qualquer porta encherga somente a porta 1... nenhuma outra porta encherga a outra.
como entao vc faria um arp spoffing?
ja que tecnicamente, o unico host que receberia os pacotes de broadcast seu seria o servidor...

Pensa comigo, o ARP tem que passar. Então eu faço um spoof do gateway, e pimba, tudo da rede passa por mim.
Aí depende do sniffer se manda de volta para o servidor ou se manda pela rota default do seu pc.

(Ou eu posso ter sido enganado com a falsa promessa de vlan do switch do meu curso, humm)

[osmano807]

O objetivo do ARP Spoofing é assumir o papel do gateway.
O atacante envia pacotes de broadcast a toda a rede avisando que o novo endereço MAC do ip xxx.xxx.xxx.xx (o endereço da máquina do atacante). Assim o atacante captura informações de tudo que trafega na rede que está sendo utilizada.

em um switch com vlan... a vlan é configurador para ser tratado na porta
vamos dar por exemplo um switch com 8 portas, servidor conectado na porta 1
qualquer porta encherga somente a porta 1... nenhuma outra porta encherga a outra.
como entao vc faria um arp spoffing?
ja que tecnicamente, o unico host que receberia os pacotes de broadcast seu seria o servidor...

Faz sentido, era pseudo vlan o switch que eu tava brincando.
Bem, humm. De todo modo, ainda há um ponto crítico na rede, o servidor, se tudo vai passar por ele, deve ter como derrubar.
É isso, tem que pensar na rede inteira, internet grátis é a ponta do iceberg...

[nonoque]

Aproveitando, vou enviar aos amigos algumas regras importantes de bloqueio de vírus.

Agradeçam por favor, foi muito tempo de pesquisa para chegar a esse resultado.
É só clicar na estrelinha.
Segue aí o arquivo -> regras bloqueio virus.txt

[danilosceu]

Para bloquear o cain e abel vc pode criar a seguinte regra:

Código :

//ip firewall filter
add chain=virus protocol=tcp dst-port=666 action=drop disable=no comment="SCANNER - CAIN E ABEL"

na epoca isso ai nao ajudou em nada, o cain e abel tem varias formas de destruição, rsrs

[danilosceu]

Faz sentido, era pseudo vlan o switch que eu tava brincando.
Bem, humm. De todo modo, ainda há um ponto crítico na rede, o servidor, se tudo vai passar por ele, deve ter como derrubar.
É isso, tem que pensar na rede inteira, internet grátis é a ponta do iceberg...

exatamente

[AndrioPJ]

Por esse motivo falei que tem que usar varias ferramentas, uma so nao dara seguranca.

com o uso de switch e radios com vlan, basicamente elimina esse problema de compartilhamento e sniffer.
porem, um tecnico que faz a manutencao desse cliente pode conseguir o IPxMAC do cliente.
mas ainda precisara do LOGINxSENHA.
com o uso de SSL com o hotspot, dificulta o atacante de obter o login e senha atraves da rede.
mas nada impede que o cliente forneça a senha tbm.
Com a junção do LOGINxSENHA ao IPxMAC forçamos o uso daquele LOGINxSENHA somente com aquele IPxMAC.

ai entra o shared user 1, somente um usuario podera se conectar com aquele LOGINxSENHA... dessa forma, caso o cliente forneça todos os dados, somente 1 podera se conectar de cada vez.

e para fechar com chave de ouro, a senha de conexao (WPA) e a senha de acesso ao setup do radio cliente (essas senhas devem ser conhecidas somente pela empresa), pois ai dificultamos que alguma pessoa nao autorizada acesse a rede, mesmo que tenha os dados de LOGINxSENHA, IPxMAC.

Faz sentido, era pseudo vlan o switch que eu tava brincando.
Bem, humm. De todo modo, ainda há um ponto crítico na rede, o servidor, se tudo vai passar por ele, deve ter como derrubar.
É isso, tem que pensar na rede inteira, internet grátis é a ponta do iceberg...

[nonoque]

é.. o lance é dificultar o picareta

[amilton]

Acompanhando para tentar deixar mais segura minha rede.

[AndrioPJ]

é.. o lance é dificultar o picareta

exatamente.

e acho que eu vou complicar um pouco mais ainda.

por enquanto, faço nat, forneço ao cliente um ip privado e fixo.
contudo, em breve estarei enviando ip valido, como nao terei ip suficiente para atender a todo mundo com ip valido fixo, terei que forneçe-los dinamicamente.
nesse caso, (mesmo que o cliente nao esteja autenticado) deixamos uma brecha para um atacante, na qual ele simula varias requisoes de IP... e facilmente poderia esgotar meus ips validos.

o que pensei para resolver isso foi o seguinte.
no hotspot tem uma a funcao nat 1:1
sendo assim, eu irei prender o user ao mac...
quando o usuario conectar na rede, ele recebe um ip privado classe A.
quando o usuario fazer o login, o hotspot automaticamente fornece o ip valido (faz o nat 1:1)

em um breve teste que realizei aqui, deu tudo certo.
porem, realizei o teste somente com ip privado.
conectei na rede, recebi um ip privado classe A (invalido para navegacao)
quando efetuei o login, o hotspot fez um nat 1:1 (recebi um ip privado classe C, valido para navegacao)

daqui a 15 dias estarei com ips suficiente para atender toda a rede, ai irei efetuar os novos testes e ver se vai funcionar com ip privado e valido.

[rbginfo]

Por esse motivo falei que tem que usar varias ferramentas, uma so nao dara seguranca.

com o uso de switch e radios com vlan, basicamente elimina esse problema de compartilhamento e sniffer.
porem, um tecnico que faz a manutencao desse cliente pode conseguir o IPxMAC do cliente.
mas ainda precisara do LOGINxSENHA.
com o uso de SSL com o hotspot, dificulta o atacante de obter o login e senha atraves da rede.
mas nada impede que o cliente forneça a senha tbm.
Com a junção do LOGINxSENHA ao IPxMAC forçamos o uso daquele LOGINxSENHA somente com aquele IPxMAC.

ai entra o shared user 1, somente um usuario podera se conectar com aquele LOGINxSENHA... dessa forma, caso o cliente forneça todos os dados, somente 1 podera se conectar de cada vez.

e para fechar com chave de ouro, a senha de conexao (WPA) e a senha de acesso ao setup do radio cliente (essas senhas devem ser conhecidas somente pela empresa), pois ai dificultamos que alguma pessoa nao autorizada acesse a rede, mesmo que tenha os dados de LOGINxSENHA, IPxMAC.

a meu ver o PPPoE ja resolveria de uma vez todos esses problemas já que ele é criptografado e por usar mascara /32 já cria uma vlan amarrada por MACxIPxLOGINxSENHA.
e não existe broadcast no PPPoE

e aqui a senha de todos os radios só é conhecida pela empresa e o login e senha do PPPoE tambem.

[AndrioPJ]

so que sabemos que em wireless, para usar o ppoe... a rede tem que estar muito boa em relacao a latencia.
de qualquer forma, caso nao saiba, o ppoe tbm pode sofrer um sniffer... é mais dificil mas nao impossivel.

a meu ver o PPPoE ja resolveria de uma vez todos esses problemas já que ele é criptografado e por usar mascara /32 já cria uma vlan amarrada por MACxIPxLOGINxSENHA.
e não existe broadcast no PPPoE

e aqui a senha de todos os radios só é conhecida pela empresa e o login e senha do PPPoE tambem.

[rbginfo]

so que sabemos que em wireless, para usar o ppoe... a rede tem que estar muito boa em relacao a latencia.
de qualquer forma, caso nao saiba, o ppoe tbm pode sofrer um sniffer... é mais dificil mas nao impossivel.

bom concordo que de qualquer modo esta sugeita a isso, o nosso ramo sempre esta sugeito a isso e isso é uma das coisas que fazem esse ramo evoluir tão rapido e tornar as coisas obsoletas do dia para a noite.
e com relação ao pppoe precisar de um sinal bom para funcionar eu não vejo como problema e sim como um padrao de qualidade, eu exijo que o sinal dos meus clientes estejam 100% para utilizarem a rede, isso evita varios problemas alem do pppoe.

[AndrioPJ]

sobre padrao de qualidade, somos dois entao.
tanto é que nem uso 2.4, exatamente por que com essa tecnologia nao se tem qualidade.

bom concordo que de qualquer modo esta sugeita a isso, o nosso ramo sempre esta sugeito a isso e isso é uma das coisas que fazem esse ramo evoluir tão rapido e tornar as coisas obsoletas do dia para a noite.
e com relação ao pppoe precisar de um sinal bom para funcionar eu não vejo como problema e sim como um padrao de qualidade, eu exijo que o sinal dos meus clientes estejam 100% para utilizarem a rede, isso evita varios problemas alem do pppoe.

[rbginfo]

sobre padrao de qualidade, somos dois entao.
tanto é que nem uso 2.4, exatamente por que com essa tecnologia nao se tem qualidade.

bom como a minha cidade é pequena (apenas 40 mil habitantes em um espaço razoavel) eu posso me dar o luxo de poder usar 2.4 sem problemas, nunca tive problema algum pro conta de poluição RF, nem quando começei e usava antenas omni.
hoje uso todos os paineis com pol. horizontal e acredito que falta muito tempo para eu precisar me preocupar com interferencia.

[nonoque]

Um ataque interessante é por DDos. Se o link do atacante for maior que o seu é impossível se proteger.

[AndrioPJ]

Mas ai mudamos o assunto... começamos a falar sobre ataques, invasoes
e nao clone ou bloqueio de ferramenta para clone

99% de segurança é rodar uma vpn entre o cliente e o servidor. E mesmo assim existem ataques possiveis (Pode-se derrubar o AP lotando o canal).

Posso enumerar uma dezena de ataques impossiveis de deter.

[nonoque]

Concordo, disvirtuamos o assunto. Mas até o momento a melhor ideia que ví para isolar clientes numa rede foi segmentar em subredes e colocar os clientes em /30. Cada cliente teria um gateway. Mas não sei detalhadamente como fazer.

[naldo864]

pelo que eu estou vendo não tem jeito ta todo mundo enrolado não existe proteção 100% e ponto final.

[osmano807]

pelo que eu estou vendo não tem jeito ta todo mundo enrolado não existe proteção 100% e ponto final.

Por aí.
Tem que ver se segmentar a rede em vários /30 funciona. Talvez sim, não sei, tem que testar direito. (mudando máscara, etc)

[AndrioPJ]

Por aí.
Tem que ver se segmentar a rede em vários /30 funciona. Talvez sim, não sei, tem que testar direito. (mudando máscara, etc)

a questao é que muitos administradores configuram o idle e o keeplive com tempo alto... e o usuario ainda por cima dificilmente fecha a sesão...
assim, aquela sesão continua aberta, bastando o camarada clonar o ip x mac.

o jeito nao é somente segmentar a rede... mas um conjunto de aplicacao.

uma rede bem configurada é praticamente impossivel o camarada conseguir o mac...
e mesmo que consiga de alguma forma (como ter dado manutencao na maquina da vitima), mesmo assim ele ainda precisaria do usuario e senha.
Se configurar o idle e keeplive com tamanho baixo (por exemplo: 5 min), mesmo que o cliente esqueça de finalizar a sesao... o camarada tera que clonar o ip x mac logo em seguida... pois se o camarada clonar o ip x mac depois da sesão ter sido finalizada, sera solicitado o user x senha.