Espertinhos no Hotspot Ajuda!

[Clik]

Ola tenho uma RB433 com cartão Ubiquiti rodando um Hotspot
Minha configuração esta assim:
Cliente se conecta na rede aberta, cliente recebe IP do DHCP Hotspot, se o cliente validar Login e Senha recebe um segundo IP masquered com conexão a internet, Caso ele não valide Login e Senha não consegue navegar e nem recebe esse segundo IP com acesso a internet, Beleza até ai tudo bem
Porém tem uns espertinhos que estão conseguindo passar pelo hotspot, pegar a segunda range de IP com acesso a Internet,e navegar tranquilamente sem ser visto no Hotspot, como se fosse um Bypassed

Alguem me ajuda por favor

Abraço

Pablo

[edmilson2709]

Fale mais sobre suas configurações ... não podemos lhe ajudar só com estas informações ...

[Clik]

Certo

Tenho uma RB433 + 3 cartoes Ubiquiti
Todos dentro de uma Bridge
Servidor DHCP Ativo para Bridge Range de IP 200.168.1.1/16 "IPs Hotspot"
Servidor Hotspot Ativo para Bridge!
Range de IP 201.168.10.1/24 "IPs Válidos" para Bridge "Sem DHCP" Apenas no Pool e No Adrees, essa range esta Masquerade com acesso a internet.
No servidor Hotspot está para ir a Pool de IPs válidos!
Intao quando o usuario se conecta na minha rede sem fio Aberta, ele recebe um endereço de "IP Hotspot" 200.168.xxx.xxx, Logo após se ele logar no sistema de login do hotspot ele recebe o endereço de "IPs Válidos" 201.168.10.xxx que está Masquered no Firewall e o cliente consegue navegar na internet.

Porem estou notando no hotspot, em "Host" tem alguns usuário que não estão logados no hotspot, porém possuem o endereço de "IP Válido" 201.168.10.xxx e estao navegando sem aparecer como usuario ativo.

[DouglasSpinola]

Filho, um conselho Hotspot não tem segurança nenhuma se alguém sabe a subsequência de IP válido ele vão colocar IP fixo e navegar normalmente, te recomendado usar um firewall ( exemplo "Pfsense") é mega podereso, este lance de hotspot é internet acima de 100 megas que mesmo sendo burlada vai suportar tanto usuários...

[TsouzaR]

Certo

Tenho uma RB433 + 3 cartoes Ubiquiti
Todos dentro de uma Bridge
Servidor DHCP Ativo para Bridge Range de IP 200.168.1.1/16 "IPs Hotspot"
Servidor Hotspot Ativo para Bridge!
Range de IP 201.168.10.1/24 "IPs Válidos" para Bridge "Sem DHCP" Apenas no Pool e No Adrees, essa range esta Masquerade com acesso a internet.
No servidor Hotspot está para ir a Pool de IPs válidos!
Intao quando o usuario se conecta na minha rede sem fio Aberta, ele recebe um endereço de "IP Hotspot" 200.168.xxx.xxx, Logo após se ele logar no sistema de login do hotspot ele recebe o endereço de "IPs Válidos" 201.168.10.xxx que está Masquered no Firewall e o cliente consegue navegar na internet.

Porem estou notando no hotspot, em "Host" tem alguns usuário que não estão logados no hotspot, porém possuem o endereço de "IP Válido" 201.168.10.xxx e estao navegando sem aparecer como usuario ativo.

Agora fiquei confuso e curioso. Não sabia que era possível mudar o IP de alguém assim, instantaneamente ao fazer o login. Nem mudando no Lease do DHCP Server (apagando e criando outro para o mesmo MAC) a alteração é imediata...

De fato, o que entendi lendo na Wiki da MikroTik sobre o Address Pool do User Profile do Hotspot é que é feita uma tradução dos endereços. Acho que no fim o resultado é o mesmo de que se tivesse realmente mudado o IP no cliente.

Você configurou esse Pool de IPs públicos no User Profile dos clientes, certo?

Se for isso mesmo, eu imaginei a seguinte solução para seu problema:

Há no User Profile um local para definir a Address List onde o IP do cliente autenticado será adicionado ao fazer login. Configure esse campo, coloque nele o nome de uma Address List. Vou usar o nome "autenticado" para exemplificar aqui.

Dessa forma, quem configurar o IP público para roubar Internet não vai ter o IP adicionado nessa Address List, apenas quem realmente fizer o login.

Agora ficou fácil: crie uma regra no Firewall/Filter bloqueando (drop ou reject) o encaminhamento (chain forward) de tráfego para quem tem IP público mas não está na Address List, ex.:

Código :

/ip firewall filter add chain=forward src-address=201.168.10.0/24 src-address-list=!autenticado action=reject reject-with=icmp-net-prohibited

Teste aí e diga se funcionou.

[int21]

Vai no ip bindings e coloca la 2 regras. Uma vc coloca pra regular os ips validos e em seguida uma 0.0.0.0 bloqueando tudo.

[Clik]

TsouzaR

Obrigado pela ajuda amigo, Fiz como você falou e esta funcionando redondinho!
A regrinha adiciona os usuários logados em Address List, Muito boom
Agora vou esperar os espertinhos se conectarem para ver oque acontece, depois posto aqui os resultados.

Outra pergunta:
Não teria como fazer isso pelo ARP? Acho que seria mais seguro, colocaria tudo em reply-only,assim os IPs do DHCP adicionaria automaticamente no ARP, Porem teria que criar uma regra para adicionar os IPs válidos dos usuarios logados ao ARP, é possivel?

int21
Fiz isso que você falou mas ao adicionar 0.0.0.0/0 ao ipbinding ninguen consegue navegar


Obrigado a todos pela paciência

[emilidani]

Primeira vez que me deparo com essa situação. Utilizo Hotspot desde o inicio, 2006 e nunca aconteceu isso na minha rede (sera que nao vi?) Não sabia que poderia ser fixado um IP e navegar como se fosse bypass!!!

[int21]

você não entendeu, eu disse duas regras, uma o seu pool atual em regular, a de baixo block, com isso seu pessoal autenticado nevega se tiver esse ip, caso contrario bloqueia, qualquer duvida me chame no skype que te esplico melhor. Isso é simples de resolver.

[demolaymsilva]

Penso que O controle deve ser feito No equipamento. Quando ele registrar.
Criar uma Acess List para complementar a segurança.


PS: HotSpot da problema de mais amigo.

Ja tentou trabalhar com PPPoE?
Voce utiliza algum server de autenticação ( MK-AUTH)?

[demolaymsilva]

Se a range está criada, basta o espertinho setar um ip pertencente a range que está criada...
Boom! Esta navegando...

[TsouzaR]

Outra pergunta:
Não teria como fazer isso pelo ARP? Acho que seria mais seguro, colocaria tudo em reply-only,assim os IPs do DHCP adicionaria automaticamente no ARP, Porem teria que criar uma regra para adicionar os IPs válidos dos usuarios logados ao ARP, é possivel

Atualização: acho que o método que descrevi abaixo não vai funcionar. Se não me engano o valor da variável $address vai ser o IP recebido pelo DHCP, não o IP novo proveniente do Pool. Se quiser teste aí, mas acho que a única forma funcional vai ser a que descrevi no meu post anterior.

Sim, é possível fazer dessa forma também, mas a eficiência será a mesma.
No meu ver, ambos métodos funcionam perfeitamente.

- No User Profile, na aba Scripts, adicione os seguintes códigos:

On Login:

Código :

/ip arp add address=$address mac-address=$mac-address interface=INTERFACE_CLIENTES comment="$user autenticado";

Onde está INTERFACE_CLIENTES, substitua pelo nome da interface (que você disse ser uma bridge da qual fazem parte as wlans dos cartões) dos clientes.

On Logout:

Código :

/ip arp remove [find address=$address];

- Ative o Add ARP for Leases no DHCP Server dos clientes.
- Configure a interface dos clientes como modo ARP reply-only.

Primeira vez que me deparo com essa situação. Utilizo Hotspot desde o inicio, 2006 e nunca aconteceu isso na minha rede (sera que nao vi?) Não sabia que poderia ser fixado um IP e navegar como se fosse bypass!!!

Isso é porque o Clik está trabalhando de uma forma um pouco diferente do normal, "atribuindo" um IP válido para cada cliente APÓS fazer o login pelo Address Pool no User Profile.

Se você não faz assim, não há esse risco de alguém configurar IP manualmente e navegar, a não ser que seu IP Binding esteja indevidamente configurado.

você não entendeu, eu disse duas regras, uma o seu pool atual em regular, a de baixo block, com isso seu pessoal autenticado nevega se tiver esse ip, caso contrario bloqueia, qualquer duvida me chame no skype que te esplico melhor. Isso é simples de resolver.

Ele possui duas faixas de endereços IP, uma privada para usuários que ainda não fizeram login, para apenas acessarem a página do Hotspot, e outra faixa de IPs públicos, da qual os clientes recebem um endereço IP após fazerem login.

Inclusive, @Clik, não entendo porque você está trabalhando dessa forma, já que o resultado final será o mesmo que atribuir o IP público diretamente aos clientes por DHCP e configurar o Hotspot nele. Se tiver alguma razão especial para isso, fiquei curioso em saber e agradeço-lhe se puder compartilhar.

A configuração no IP Binding nesse caso deve ser a seguinte:

- faixa de IP privada: regular
- faixa de IP público: bypassed
- 0.0.0.0/0: blocked

E para evitar que alguém configure manualmente um IP público bypassed e navegue sem controle, que é o problema que está ocorrendo, basta fazer conforme instrui no meu post anterior ou no começo desse atual.

Se a range está criada, basta o espertinho setar um ip pertencente a range que está criada...
Boom! Esta navegando...

Se utilizar alguma das duas técnicas que ensinei, isso não ocorrerá.

[Clik]

TsouzaR
O primeiro Script Não esta adicionando os IPs
Coloquei ele na New Terminal para testar e da erro:

[admin@CLIK] > /ip arp add address=$address mac-address=$mac-address interface=bridge1 comment="$user autenticado";";
expected end of command (line 1 column 46)

O outro Modo que você ensinou esta funcionando certinho

Mas seria interessante esse script, pois estando as interfaces em modo Reply-only evitaria os clientes setar um IP manual IP estático e aumentaria mais a segurança, uma ves que o Hotspot por si próprio não é muito seguro, e aqui na minha cidade tem muitos metidos a hacker que ficam fuçando na rede dos outros

Respondendo a sua pergunta:
Essa segunda range de IP Válidos seria justamente para dar mais segurança, uma vez que esta masquered tem acesso a internet e a primeira range não tem, mas pelo jeito num adiantou muito
Seria interessante se essa range de IP válido estivesse em outra Interface isolada da Bridge, ja tentei mas não consegui.

[TsouzaR]

TsouzaR
O primeiro Script Não esta adicionando os IPs
Coloquei ele na New Terminal para testar e da erro:

[admin@CLIK] > /ip arp add address=$address mac-address=$mac-address interface=bridge1 comment="$user autenticado";";
expected end of command (line 1 column 46)

O outro Modo que você ensinou esta funcionando certinho

Mas seria interessante esse script, pois estando as interfaces em modo Reply-only evitaria os clientes setar um IP manual IP estático e aumentaria mais a segurança, uma ves que o Hotspot por si próprio não é muito seguro, e aqui na minha cidade tem muitos metidos a hacker que ficam fuçando na rede dos outros

Respondendo a sua pergunta:
Essa segunda range de IP Válidos seria justamente para dar mais segurança, uma vez que esta masquered tem acesso a internet e a primeira range não tem, mas pelo jeito num adiantou muito
Seria interessante se essa range de IP válido estivesse em outra Interface isolada da Bridge, ja tentei mas não consegui.

Não está adicionando qualquer IP? Nem o IP privado?
Você desconectou algum cliente e verificou se o IP é adicionado quando ele faz login?

Após configurar conforme instrui, desconectar algum cliente e ele reconectar, qual é a resultado do comando abaixo no terminal?

Código :

/ip arp print where !dynamic

Sobre o erro no terminal ao testar o comando: não tem como você testar esse comando no terminal, ele usa variáveis enviadas pelo Hotspot ($address, $mac-address e $user), por isso só funciona quando configurado no User Profile e executado no momento do login do cliente.

Para facilitar o debug, altere o comando do On Login para o seguinte:

Código :

:log warning "$user fez login. MAC: $mac-address - IP: $address";
/ip arp add address=$address mac-address=$mac-address interface=INTERFACE_CLIENTES comment="$user autenticado";

Desconecte algum(ns) cliente(s) e verifique o que aparece no Log da RB enquanto eles fazem login. Poste aqui. Pode mudar o MAC e IP por segurança, apenas informe se é o IP privado ou público que está aparecendo no Log, ou nenhum...

Sobre segurança: ambos métodos que instrui são semelhantes em eficiência. Em ambas formas, se alguém configurar um IP estático manualmente não irá conseguir navegar.

Mas veja que isso que você está fazendo, uma faixa de IP sem acesso à Internet e outra com, não torna as coisas mais seguras. O efeito é o mesmo de que se você estivesse usando apenas uma faixa e pedindo autenticação nela, e ainda com o risco de alguém configurar manualmente e roubar Internet (problema que é solucionado com o método que instrui).

[Clik]

No ARP aparece apenas o endereço de IP Hotspot que o DHCP adicionou 200.168.xxx.xxx mas o IP Válido 201.168.10.xxx não adiciona
O cliente consegue se conectar e logar no hotspot porem não consegue navegar na internet porque o Endereço de IP Válidos que o hotspot atribuiu para ele não esta na ARP

Comando no terminal:

[admin@CLIK] > /ip arp print where !dynamic
Flags: X - disabled, I - invalid, H - DHCP, D - dynamic, P - published
# ADDRESS MAC-ADDRESS INTERFACE
[admin@CLIK] >

No log aparece

18:54:09 dhcp,info Servidor_DHCP assigned 200.168.220.249 to 00:15:AF:2C:A4:6F
18:57:31 hotspot,info,debug clik (200.168.220.249): trying to log in by http-chap
18:57:31 hotspot,account,info,debug clik (201.168.10.254): logged in

[TsouzaR]

No ARP aparece apenas o endereço de IP Hotspot que o DHCP adicionou 200.168.xxx.xxx mas o IP Válido 201.168.10.xxx não adiciona
O cliente consegue se conectar e logar no hotspot porem não consegue navegar na internet porque o Endereço de IP Válidos que o hotspot atribuiu para ele não esta na ARP

Comando no terminal:

[admin@CLIK] > /ip arp print where !dynamic
Flags: X - disabled, I - invalid, H - DHCP, D - dynamic, P - published
# ADDRESS MAC-ADDRESS INTERFACE
[admin@CLIK] >

No log aparece

18:54:09 dhcp,info Servidor_DHCP assigned 200.168.220.249 to 00:15:AF:2C:A4:6F
18:57:31 hotspot,info,debug clik (200.168.220.249): trying to log in by http-chap
18:57:31 hotspot,account,info,debug clik (201.168.10.254): logged in

Exatamente, é esse o problema que descrevi.
O script no User Profile tenta adicionar uma entrada na tabela ARP para o IP recebido pelo DHCP (não tem como adicionar para o IP do Pool), mas essa entrada já existe e foi adicionada por ele mesmo com o Add ARP for Leases, por isso não há nenhum retorno no comando do qual você postou a saída.

Ou seja, não vai ter como fazer o que está querendo usando ARP reply-only. A única solução é a primeira que indiquei, usando Address List.

Ou isso, ou você tira isso de 2 faixas de IP e deixa apenas uma, do jeito que todo mundo faz. O resultado vai ser o mesmo e sem fazer nada, mesmo quem configurar IP estático manualmente será obrigado a fazer login.

[Clik]

Beleza vou retirar a range de IPs Válidos para ver como fica.

[TsouzaR]

Beleza vou retirar a range de IPs Válidos para ver como fica.

É melhor remover a faixa de IPs privados e deixar a pública sendo entregue por DHCP.

Não há problema algum em pedir autenticação Hotspot em IP público, só não pode/precisa fazer masquerade da faixa.

[Clik]

TsouzaR, esse cara é você kkk
Ta funcionando certinho agora com ARP + Address List + IP Binding
Os espertinhos não conseguem mais navegar!

Uma ultima pergunta:
O Proxy Transparent é melhor deixar Marcado ou desmarcado?

Obrigado pela ajuda de todos

[TsouzaR]

TsouzaR, esse cara é você kkk
Ta funcionando certinho agora com ARP + Address List + IP Binding
Os espertinhos não conseguem mais navegar!

Uma ultima pergunta:
O Proxy Transparent é melhor deixar Marcado ou desmarcado?

Obrigado pela ajuda de todos

Recomendo deixar marcado se usa IP público nos clientes. Se não usa, tanto faz.

Aqui já vi caso onde, mesmo entregando IP público e sem fazer NAT, em alguns sites apareciam o IP da RB, como se houvesse o mascaramento configurado. Não testei, mas teoricamente o Transparent Proxy ativo resolve isso.