Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Segmentar Rede para Impedir Clonagem de MAC Address

    Pessoal.

    Já lí em alguns tópicos sobre isso mas não pude comentar pois estavam fechados.
    A questão é a seguinte: Usando Hotpot, se o cliente clonar mac e ip ele pode navegar. Mas pelo que lí por aqui, criando subredes com máscara 255.255.255.252 faria o cliente não enxergar outros ips. O cliente só enxergaria o gateway.
    Peço que os especialistas em TPC/IP expliquem como colocar a rede em /30 criando as subredes e impedindo que um invasor clone o mac e ip. Me parece que existe uma opção no próprio hotspot que dificulta. Não falo da Adress per mac.
    Vamos nos unir para criar uma solução para o hotspot. Peço que não disvirtuem o tópico falando que PPPOE é melhor etc.. A idéia é melhorar a segurança no Hotspot.
    Aos que irão no MUM peço que cobrem algo novo como um protocolo ou plugin que dificulte a invasão de clonadores.
    Última edição por nonoque; 01-11-2010 às 01:10.

  2. #2

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Enoque blz.. minha autenticação e toda feita por servidor radius aqui eu amarro meus clientes pelo mac do radio e o ip do cliente bem se vc coloca seus radio em modo CLIENTE vai ser repassado para mk no hotspot o mac do radio e o ip do cliente..ou seja msm c seu cliente clone o mac da maquina ele nunca vai saber qual e mac do radio wlan ele n vai estar autorizado a navegar dessa forma nunca tive problemas com espertinhos.

  3. #3

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Só que existem programas que exibem os ips e macs da rede com enorme facilidade. O problema não é o invasor descobrir na casa do cliente seu ip e mac mas ele der um scan na rede e pegar. Uma boa seria um servidor Rádius gerenciando todos os acessos. Se um segundo mac igual entra o servidor detecta e verificamos no cliente..

  4. #4

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Citação Postado originalmente por nonoque Ver Post
    Pessoal.

    A questão é a seguinte: Usando Hotpot se o cliente clonar mac e ip ele pode navegar. Mas criando subredes com máscara 255.255.255.252 faria o cliente não enxergar outros ips. O cliente só enxergaria o gateway.
    Peço que os especialistas em TPC/IP expliquem como colocar tudo /30 criando as subredes e impedindo que um invasor clone o mac e ip. Me parece que existe uma opção no próprio hotspot que dificulta. Não falo da Adress per mac.
    .
    Se clonar IP e MAC, conseguira navegar sim... mas so se o Hotspot estiver mal configurado.
    um hotspot que aceita somente 1 conexao por user e que tenha um tempo de idle e keeplive relativamente baixo... nao tem como navegar simplesmente clonando IP e MAC.
    Para conseguir navegar clonando.. alem do IP e MAC, o clonador devera ter o user/senha...

  5. #5

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Você quer dizer que os valores padrão do hotspot não são seguros? Pode postar para gente os valores que você utiliza?

  6. #6
    Não Registrado(s)
    Visitante

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    concordo com o amigo acima..o hotspot com servidor radius sao varios fatores para autorizar uma navegação

  7. #7

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Boa esse tópico. Já fiz parte de uma equipe técnica de um provedor, e tinha um sujeito que adorava clona mac de user. Sempre tive esse interrogação na cabeça de como barrar esses "espertinhos". Há bastantes dias atrás, não me lembro quem, um cara estava desenvolvendo um scrip pra barras os clonadores, pedi mais informações pra esse tal user, mas até ontem ele nãome respondeu.

  8. #8

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    exatamente.
    Citação Postado originalmente por nonoque Ver Post
    Você quer dizer que os valores padrão do hotspot não são seguros? Pode postar para gente os valores que você utiliza?
    aqui eu configuro o "Address Per MAC" com o valor "1" - somente é possivel 1 conexao por usuario, dessa forma, se haver clonagem, somente um ira navegar.

    Autenticação via HTTPS (SSL) - criptografia no login, para dificultar conseguir a senha via rede.

    configuro cada cliente em uma rede /30 - para dificultar um cliente enchergar o outro.

    Prendo o IPxMAC o USERxSenha - O Cliente somente conseguira se autenticar se possuir o conjunto (USER x SENHA x IP x MAC)

    Dividi a rede em 4 locais, cada usuario é cadastrado na interface daquele local - A autenticação do cliente somente é aceita em determinada região.

    na rede, os equipamentos quando switch tem que ter Vlan, e quando radio (AP) tem que ter marcado o "Enable Client Isolation" - Com isso, dificultamos mais ainda 1 cliente enchergar o outro e/ou rodar um sniffer.

    Configuro tbm criptografia WPA2 para autenticação no AP e senha de acesso ao setup em todos os radios, ate os dos clientes clientes... Senhas essas conhecidas somente por min. - Dessa forma, somente usuarios permitidos conectam na rede Wireless.

    AP Cliente em modo Cliente ISP - com isso isolamos a rede do cliente da rede do provedor.



    Com tudo isso, para um clonador conseguir ter acesso a internet, ele devera:
    - conseguir IPxMAC da WAN do AP do cliente
    - conseguir UserXsenha desse mesmo cliente.
    - e de alguma forma ele tera que descobrir a senha de autenticação na rede (a senha WPA2, conhecida somente por min).
    - e se conectar na regiao permitida ao cliente.

    e mesmo que ele consiga tudo isso, o clonador somente ira conseguir navegar enquanto o cliente nao estiver online.
    quando 1 entrar, o outro ira ter problemas no acesso.
    Última edição por AndrioPJ; 01-11-2010 às 19:08.

  9. #9

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Citação Postado originalmente por mascaraapj Ver Post
    Se clonar IP e MAC, conseguira navegar sim... mas so se o Hotspot estiver mal configurado.
    um hotspot que aceita somente 1 conexao por user e que tenha um tempo de idle e keeplive relativamente baixo... nao tem como navegar simplesmente clonando IP e MAC.
    Para conseguir navegar clonando.. alem do IP e MAC, o clonador devera ter o user/senha...
    Imagine a seguinte situaçao :
    Se o seu cliente que usa login e senha abre uma sessao no seu hotspot , apos ser aberto essa sessao, automaticamente o mk cria um cookie para esse usuario , dai entao os "muleke" usam aquele programinha que scaneia redes e pegam mac x ip de quem esta ativo e clona , esse muleke nao vai prescisar autenticar por que o mikrotik entende que ja existe uma sessao iniciada praquele mac x ip , o que acontece entao !?? navegaçao liberada..
    Realmente é muito complicado , mesmo setando um mac por host nao adiantaria , ele fazz uma conexao paralela com a do usuario verdadeiro. As vezes Imperceptível .

  10. #10

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Citação Postado originalmente por mascaraapj Ver Post
    exatamente.


    aqui eu configuro o "Address Per MAC" com o valor "1" - somente é possivel 1 conexao por usuario, dessa forma, se haver clonagem, somente um ira navegar.

    Autenticação via HTTPS (SSL) - criptografia no login, para dificultar conseguir a senha via rede.

    configuro cada cliente em uma rede /30 - para dificultar um cliente enchergar o outro.

    Prendo o IPxMAC o USERxSenha - O Cliente somente conseguira se autenticar se possuir o conjunto (USER x SENHA x IP x MAC)

    Dividi a rede em 4 locais, cada usuario é cadastrado na interface daquele local - A autenticação do cliente somente é aceita em determinada região.

    na rede, os equipamentos quando switch tem que ter Vlan, e quando radio (AP) tem que ter marcado o "Enable Client Isolation" - Com isso, dificultamos mais ainda 1 cliente enchergar o outro e/ou rodar um sniffer.

    Configuro tbm criptografia WPA2 para autenticação no AP e senha de acesso ao setup em todos os radios, ate os dos clientes clientes... Senhas essas conhecidas somente por min. - Dessa forma, somente usuarios permitidos conectam na rede Wireless.

    AP Cliente em modo Cliente ISP - com isso isolamos a rede do cliente da rede do provedor.



    Com tudo isso, para um clonador conseguir ter acesso a internet, ele devera:
    - conseguir IPxMAC da WAN do AP do cliente
    - conseguir UserXsenha desse mesmo cliente.
    - e de alguma forma ele tera que descobrir a senha de autenticação na rede (a senha WPA2, conhecida somente por min).
    - e se conectar na regiao permitida ao cliente.

    e mesmo que ele consiga tudo isso, o clonador somente ira conseguir navegar enquanto o cliente nao estiver online.
    quando 1 entrar, o outro ira ter problemas no acesso.
    Amigo, poderia postar suas configurações aí pra gente?? Pelo que ví em sua resposta vc segmentou a rede justamente conforme o proposto.

  11. #11

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Citação Postado originalmente por Tremedeira Ver Post
    Imagine a seguinte situaçao :
    Se o seu cliente que usa login e senha abre uma sessao no seu hotspot , apos ser aberto essa sessao, automaticamente o mk cria um cookie para esse usuario , dai entao os "muleke" usam aquele programinha que scaneia redes e pegam mac x ip de quem esta ativo e clona , esse muleke nao vai prescisar autenticar por que o mikrotik entende que ja existe uma sessao iniciada praquele mac x ip , o que acontece entao !?? navegaçao liberada..
    Realmente é muito complicado , mesmo setando um mac por host nao adiantaria , ele fazz uma conexao paralela com a do usuario verdadeiro. As vezes Imperceptível .
    Amigo,

    Primeiro - não é devido ao cookie que o tal clonador tera acesso somente por ter clonado IPxMAC.
    O cookie é criado e fica armazenado no navegador de quem autenticou...

    o "clonador" so tera acesso imediato na rede se seção do cliente nao foi finalizada.

    Faça um teste, configure a duração do cookie para 12 hrs... configure o Idle e keeplive para em torno de 1 ou 2 min.
    Faca a autenticação e desligue o pc, espere 5 min (assim, nesse tempo o Hotspot ira finalizar a seção do cliente), apos esse tempo voltei a ligar o pc... contudo, ao inves de abrir o mesmo navegador, abra outro navegador, veras que sera pedido usuario e senha normalmente (pois a seção ja foi finalizada)...
    depois va e abra o mesmo navegador na qual vc fez a autenticacao anterior, veras que sera autenticado automaticamente. (isso acontece pq o Cookie incial/valido foi criado e salvo naquele navegador e tem a validade de 12 hrs).

    Segundo - Configurando o "Address Per MAC" com o valor "1" - somente é possivel 1 conexao por usuario, dessa forma, se haver clonagem, somente um ira navegar.
    Agora imaginemos o seguinte: foi configurado no Hotspot um idle e keeplive auto... o cliente efetuou a autenticacao e logo em seguida desligou o pc, mas nao finalizou a seção...
    logo, se alguem clonar o IPxMAC desse cliente... consiguira navegar normalmente sem que seja necessario colocar o USERxSENHA (pois a seção ja estava aberta).
    Solucao: configurar um idle e keeplive baixo (no maximo 5min), dessa forma se o cliente sair o clonador precisar clonar o IPxMAC logo em seguida.

  12. #12

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Citação Postado originalmente por Tremedeira Ver Post
    Imagine a seguinte situaçao :
    dai entao os "muleke" usam aquele programinha que scaneia redes e pegam mac x ip de quem esta ativo e clona ,
    Ai vc me diz... do mesmo jeito que o "muleke" usou aquele programinha que scaneia a rede e pega o mac x ip.. ele pode ter usado aquele outra programinha que é possivel pegar o usuario x senha... ai ele usa as duas informaçoes e autentica na rede.
    Solucao: Configure o Hotspot para fazer a autenticacao via HTTPS (SSL), ai dificulta que a senha seja pega pela rede.

    Otimo, conseguimos dificultar que o "muleke" descubra o usuario e senha pela rede, mas e o IP x MAC?
    Um jeito de dificultar é colocando cada cliente em uma rede /30, e usar switchs e radio com vlan.... assim dificultamos que um usuario enchergue o outro.

    Legal, agora o "muleke" nao vai mais conseguir pegar o ip x mac x user x senha pela rede, mas nada impede que o "muleke" pegue essa informacao com o seu vizinho e conecte na rede.
    Um jeito de dificultar isso é colocando senha para acesso ao setup do radio e criptografia para se conectar na rede... dessa forma, mesmo que o "muleke" tenha todas as informacoes, o mesmo nao consiguira se conectar na rede pois nao sabe a senha de autenticacao no AP.

    Agora vamos supor que o cliente va viajar e empresta seu equipamento para um "amigo"do outro lado da cidade.
    Justamente naquela torre onde ja esta no limite.
    Solucao: Configurar para que aquele cliente somente seja aceito em uma regiao.

    Em resumo, para uma maior segurança é necessario usar varios meios de segurança.

  13. #13

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    E se entrasse na rede e colocasse o IP do gateway e fizesse um servidor apache com a cara da tela de login do hotspot, fizesse uma regra de firewall para que toda a requisicao que chegasse fosse redirecionada para essa tela clonada e cada vez que você coloca o usuario e senha os mesmos sao salvos em um arquivo de texto?

    Ainda acho que a solução de hotspot é fraca no quesito segurança.

    Saudações a todos,

  14. #14

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Citação Postado originalmente por GrayFox Ver Post
    E se entrasse na rede e colocasse o IP do gateway e fizesse um servidor apache com a cara da tela de login do hotspot, fizesse uma regra de firewall para que toda a requisicao que chegasse fosse redirecionada para essa tela clonada e cada vez que você coloca o usuario e senha os mesmos sao salvos em um arquivo de texto?

    Ainda acho que a solução de hotspot é fraca no quesito segurança.

    Saudações a todos,
    Solucao ja postada tbm... Switch e Radio com vlan...
    Alem de que, como que o camarada iria conseguir entrar na rede se ele nao possui a senha de acesso?
    pelo menos aqui eu uso WPA2, para o "muleke" conseguir quebrar, ele tem que ser fera mesmo.

    Na realidade, qualquer solucao "unica" é fraca... o ppoe por si tbm é snifavel, tbm possui brechas de segurança.
    o jeito para tentar ter uma maior segurança é complicar mesmo.
    Última edição por AndrioPJ; 01-11-2010 às 23:58.

  15. #15

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    A unica maneira que vejo o hotspot funcionando bem seria fazendo uma rede com wpa2.
    Se a rede for aberta é praticamente impossivel ele funcionar direito.

    Imagina entao se alem de fazer o apache e redirecionamento no firewall, colocar tambem um AP no mesmo SSID? O que estiver com o sinal melhor vai entregar o sinal. Mais problemas...
    Acredito que não é ideal ficar discutindo dessa forma a tecnologia.
    Mas para mim, o PPPoE é a melhor solução.
    Como disse, opiniao pessoal: 802.11 com WPA2, + PPPoE com MPPE.

  16. #16

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Citação Postado originalmente por GrayFox Ver Post
    A unica maneira que vejo o hotspot funcionando bem seria fazendo uma rede com wpa2.
    Se a rede for aberta é praticamente impossivel ele funcionar direito.

    Imagina entao se alem de fazer o apache e redirecionamento no firewall, colocar tambem um AP no mesmo SSID? O que estiver com o sinal melhor vai entregar o sinal. Mais problemas...
    Acredito que não é ideal ficar discutindo dessa forma a tecnologia.
    Mas para mim, o PPPoE é a melhor solução.
    Como disse, opiniao pessoal: 802.11 com WPA2, + PPPoE com MPPE.
    exatamente, se a rede for aberta é impossivel QUALQUER meio de autenticação funcionar direito.

    colocar o mesmo ssid e entregar o sinal.? vc quer dizer entregar a senha?
    nunca ouvi falar nessa possibilidade, alguem mais experiente poderia me dizer se é possivel?
    ate onde eu saiba, isso nao é possivel.
    a unica forma de se conseguir a senha wpa2 seria por brute force e pelo que sei, é computadodorizadamente inviavel. para se ter uma ideia, demoraria 1 milhao de anos para testar a possibilidade de uma senha com 8 carcteres.

    a questao realmente nao é discutir qual a melhor tecnologia, mas sim, como deixar determinada tecnologia mais segura... alias, em nenhum momemento estive discutindo qual a melhor... estive apenas expondo como deixar o hotspot mais seguro, na qual, nada mais é que a reuniao de diversas tecnologias.

  17. #17

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    A discussão tá ótima. Mas me digam senhores, wpa não dá uma perda de desempenho? Pois com um certo número de clientes isso pode ser comprometedor.

  18. #18

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Citação Postado originalmente por nonoque Ver Post
    A discussão tá ótima. Mas me digam senhores, wpa não dá uma perda de desempenho? Pois com um certo número de clientes isso pode ser comprometedor.
    Nao sei qto a vc, mas eu aqui prefiro fazer pequenas celulas exatamente para nao sobrecarregar a torre.
    logo, ficaria no maximo 25-30 clientes por Radio... podendo colocar algo em torno de 125-150 clientes por torre, um numero relativamente bom para pequenas celulas.

    alem de que, com o uso do wap2 temos mais segurança na rede.
    do que adianta colocar 1 zilhao de usuarios na rede e nao ter segurança?
    prefiro colocar um nivel que os equipamentos suporte, mas com seguranca.

    Em todo caso, segue alguns topicos aqui no under mesmo:
    https://under-linux.org/f105/compara...x-wpa2-125085/
    Quanto tempo leva para quebrar uma chave WPA ou WPA2? - Blogs - Under-Linux.org
    Campanha: Vamos Parar de Usar WEP em Wireless - Blogs - Under-Linux.org

    Va de WPA2, mas lembre-se:
    NUNCA USE PLACA PCI NO SEU CLIENTE... senao, nao vai adiantar nada, pois o cliente podera ver a senha e repassar ela para o vizinho, par ao tal "muleke".
    outra coisa, qdo for instalar o Radio no cliente, coloque senha para acesso ao setup, para evitar que o cliente fique "fuçando" no radio.
    Última edição por AndrioPJ; 02-11-2010 às 11:38.

  19. #19

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Citação Postado originalmente por mascaraapj Ver Post
    Nao sei qto a vc, mas eu aqui prefiro fazer pequenas celulas exatamente para nao sobrecarregar a torre.
    logo, ficaria no maximo 25-30 clientes por Radio... podendo colocar algo em torno de 125-150 clientes por torre, um numero relativamente bom para pequenas celulas.

    alem de que, com o uso do wap2 temos mais segurança na rede.
    do que adianta colocar 1 zilhao de usuarios na rede e nao ter segurança?
    prefiro colocar um nivel que os equipamentos suporte, mas com seguranca.

    Em todo caso, segue alguns topicos aqui no under mesmo:
    https://under-linux.org/f105/compara...x-wpa2-125085/
    Quanto tempo leva para quebrar uma chave WPA ou WPA2? - Blogs - Under-Linux.org
    Campanha: Vamos Parar de Usar WEP em Wireless - Blogs - Under-Linux.org

    Va de WPA2, mas lembre-se:
    NUNCA USE PLACA PCI NO SEU CLIENTE... senao, nao vai adiantar nada, pois o cliente podera ver a senha e repassar ela para o vizinho, par ao tal "muleke".
    outra coisa, qdo for instalar o Radio no cliente, coloque senha para acesso ao setup, para evitar que o cliente fique "fuçando" no radio.
    Muito interessante. Vou estudar os artigos.

  20. #20

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Quando digo entregar o sinal é: Se existir 2 SSIDs no ar, o sinal que você encontra mais forte para você é onde você acaba conectando. Então, se um provedor coloca um AP sem criptografia e um entendido querer avacalhar com a rede é completamente viável. Como disse, se existir um AP sem criptografia, tu podes fazer um AP tambem com o mesmo SSID e mesmo canal. Automaticamente alguns clientes iriam se conectar na sua ERB. Com isso, dá pra fazer o que eu já tinha dito, fazer um apache, firewall, etc.
    Para quebrar o o WPA e WPA2 o bruteforce nao funciona. Somente ataques com dicionário. Voce consegue quebrar os WEPs com bruteforce.
    Logicamente se você tem uma senha WPA2 com mais caracteres demoraria muito mais tempo para ser quebrado. O ideal seria colocar uma senha mesclando numero, maiuscula e minuscula. Se colocar somente numeros fica mais rapido para ser quebrado tambem.
    A única forma que eu colocaria hotspot para funcionar seria colocar ele dentro de uma rede com criptografia WPA2. Somente desta forma.
    O que eu gosto do PPPoE é que mesmo com rede aberta vc consegue ter uma rede mais segura do que com hotspot. Se colocar PPPoE +MPPE+CHAP todo o tráfego é criptografado, até o handshake de usuario e senha.
    A única desvantagem que vejo do PPP em relacao ao hotspot é que para o PPP funcionar direito, a sua rede precisa estar com a relação sinal/ruido bonitinho, sem perda de pacotes, coisa que com hotspot se você estiver com o sinal -80 ele vai funcionar. Não estou defendendo o PPP de uma maneira jesuíta, só que tive experiências com essas tecnologias e para provedores de Internet acredito que o PPP te deixa menos refém da possibilidade de aparecer alguém querendo avacalhar com a rede.
    Saudações a todos,

    Citação Postado originalmente por mascaraapj Ver Post
    exatamente, se a rede for aberta é impossivel QUALQUER meio de autenticação funcionar direito.

    colocar o mesmo ssid e entregar o sinal.? vc quer dizer entregar a senha?
    nunca ouvi falar nessa possibilidade, alguem mais experiente poderia me dizer se é possivel?
    ate onde eu saiba, isso nao é possivel.
    a unica forma de se conseguir a senha wpa2 seria por brute force e pelo que sei, é computadodorizadamente inviavel. para se ter uma ideia, demoraria 1 milhao de anos para testar a possibilidade de uma senha com 8 carcteres.

    a questao realmente nao é discutir qual a melhor tecnologia, mas sim, como deixar determinada tecnologia mais segura... alias, em nenhum momemento estive discutindo qual a melhor... estive apenas expondo como deixar o hotspot mais seguro, na qual, nada mais é que a reuniao de diversas tecnologias.