Página 3 de 3 PrimeiroPrimeiro 123
+ Responder ao Tópico



  1. #41

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    O ideal mesmo seria utilizar 802.1x e entregando uma senha diferente para cada AP.

    O SSL para autenticação do hotspot é uma boa. Aí, o handshake é criptografado. A parte de autenticação praticamente se resolveria. O negócio seria fechar o acesso a rede com WPA2 ou 802.1x.

    Sem essas situações, dificilmente teriamos uma rede fechada, já que como comentamos, poderiamos colocar o IP dos gateways e fazer um fuzuê na rede.

    Saudações,

  2. #42

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Será que realmente a criptografia não vai demandar processamento demais não?

  3. #43

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Logicamente se perde com o processamento. Só que prefiro ter menos clientes por célula e ter controle deles do que colocar 10x clientes mais por célula e ser um deus nos acuda.

  4. #44

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    É.. ainda tenho alguma resistência quanto a criptografia nos rádios.

  5. #45

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Bom,o que vejo falarem é somente com relação a redes wireless,no meu caso tenho rede cabeada, tralho com hotspot com radius, e cada cliente tem sua subrede, no hotspot está configurado 1 address per mac,.

    O problema é o seguinte,

    Se algum funcion´rio mau intencionado colocar um cliente na rede, com mesmo ip , clona o mac e passa user e senha para um segundo cliente,
    CLIENTE A - PAGA
    CLIENTE B - CLONADOR

    o cliente A nao está em casa , e o cliente B conecta,enquanto isso o cliente A chega e tenta conectar , e com certeza va i dar problema na autenticaçao,.

    Teria que teroutra forma de identificar o pc - vejo algo do tipo de certificado.

    Tem alguma solução?

  6. #46

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Citação Postado originalmente por asafec Ver Post
    Bom,o que vejo falarem é somente com relação a redes wireless,no meu caso tenho rede cabeada, tralho com hotspot com radius, e cada cliente tem sua subrede, no hotspot está configurado 1 address per mac,.

    O problema é o seguinte,

    Se algum funcion´rio mau intencionado colocar um cliente na rede, com mesmo ip , clona o mac e passa user e senha para um segundo cliente,
    CLIENTE A - PAGA
    CLIENTE B - CLONADOR

    o cliente A nao está em casa , e o cliente B conecta,enquanto isso o cliente A chega e tenta conectar , e com certeza va i dar problema na autenticaçao,.

    Teria que teroutra forma de identificar o pc - vejo algo do tipo de certificado.

    Tem alguma solução?
    Mas na sua rede há como saber a senha dos usuários?

    Uma boa conduta de um bom administrador é criptografar todo registro de senha de modo que nem ele mesmo consiga descobrir a mesma, tendo como unica forma, a troca de senha...

    E outra coisa, se um funcionário mal intencionado chegar a conseguir fazer isso, seria facilmente detectado quando ocorresse esse problema do cliente, e obvio que uma das soluções seria colocar o bendito no olho da rua.

  7. #47

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Citação Postado originalmente por asafec Ver Post
    Bom,o que vejo falarem é somente com relação a redes wireless,no meu caso tenho rede cabeada, tralho com hotspot com radius, e cada cliente tem sua subrede, no hotspot está configurado 1 address per mac,.

    O problema é o seguinte,

    Se algum funcion´rio mau intencionado colocar um cliente na rede, com mesmo ip , clona o mac e passa user e senha para um segundo cliente,
    CLIENTE A - PAGA
    CLIENTE B - CLONADOR

    o cliente A nao está em casa , e o cliente B conecta,enquanto isso o cliente A chega e tenta conectar , e com certeza va i dar problema na autenticaçao,.

    Teria que teroutra forma de identificar o pc - vejo algo do tipo de certificado.

    Tem alguma solução?
    Para Indentificar o Computador Do Cliente é só vc ir em:

    IP>>DHCP SERVER

    Na Aba Leases, Lá vai ter IP, MAC e O Host Name do Cliente...

    o Host Name é o Nome do Computador na "REDE"...

    aqui eu modifiquei e ai deu pra indentificar qual pc era do cliente!

    no win 7 automaticamente já Fica com nome cadastrado...ex "Joaozinho-PC"

    abraços

  8. #48

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Talves isso possa ajudar para o não funcionamento dos programas que exibem ips e macs.

    O que teu Faco aqui geralmente é o seguinte:
    RB 450G ou 493 em Baixo gerenciando:
    Ether1 -> uplink
    ether2,ether3,ether4,ether5 em Bridge

    ;;; Bloqueio de Entre as Bridges
    chain=forward out-bridge=br0 action=drop in-bridge=br
    ;;; Nao Aceita Entrada de DHCP
    chain=input action=drop in-bridge=br0 mac-protocol=ip src-port=67
    ip-protocol=udp


    ------------------
    Nos Aps que geralmente uso UBNT, seleciono a opcao Enabled cliente isolacao, e nos mikrotik desabilito o Default forward.

    ------------------
    pode ir em ip neighbours veja que não aparece o radio que esta ao lado. ou
    UBNT, tool -> discover. que não aprece o radio ao lado.

    eu acredito que isso mata praticamente todos os programas de discovery que procuram ips e macs conectados. eu não tenho esses programas para fazer o teste, mas tenho aqui 1500 clientes, todas as redes abertas, hotspot configurado o basico via setup e nunca apareceu problema de clonagem.

    WPA e WPA2 pra min só tente a atrapalhar o desempenho da rede, aonde eu tinha, acabei tirando pois o acesso fica mais lentão

  9. #49

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Citação Postado originalmente por gzanatta00 Ver Post
    Talves isso possa ajudar para o não funcionamento dos programas que exibem ips e macs.

    O que teu Faco aqui geralmente é o seguinte:
    RB 450G ou 493 em Baixo gerenciando:
    Ether1 -> uplink
    ether2,ether3,ether4,ether5 em Bridge

    ;;; Bloqueio de Entre as Bridges
    chain=forward out-bridge=br0 action=drop in-bridge=br
    ;;; Nao Aceita Entrada de DHCP
    chain=input action=drop in-bridge=br0 mac-protocol=ip src-port=67
    ip-protocol=udp


    ------------------
    Nos Aps que geralmente uso UBNT, seleciono a opcao Enabled cliente isolacao, e nos mikrotik desabilito o Default forward.

    ------------------
    pode ir em ip neighbours veja que não aparece o radio que esta ao lado. ou
    UBNT, tool -> discover. que não aprece o radio ao lado.

    eu acredito que isso mata praticamente todos os programas de discovery que procuram ips e macs conectados. eu não tenho esses programas para fazer o teste, mas tenho aqui 1500 clientes, todas as redes abertas, hotspot configurado o basico via setup e nunca apareceu problema de clonagem.

    WPA e WPA2 pra min só tente a atrapalhar o desempenho da rede, aonde eu tinha, acabei tirando pois o acesso fica mais lentão
    Com hotspot basico
    Sem criptografia wireless
    Sem roteamento, VLAN

    Pode ter certeza que se tiver alguma clonagem, VOCE NUNCA VAI SABER.
    o clone é global, funciona como se fosse o original, nao tem como detectar.
    e detalhe, funciona ambos ao mesmo tempo!!!

    ___________
    WPA e WPA2 nao atrapalha a rede, nao a deixa lenta.
    se assim ficou quando o ativou, é sinal de rede ou roteador wireless com problema.
    a criptografia wireless apenas usa um pouco do processamento dos AP.
    Uso a anos WPA AES e nunca tive problemas.

  10. #50

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Citação Postado originalmente por mascaraapj Ver Post
    WPA e WPA2 nao atrapalha a rede, nao a deixa lenta.
    se assim ficou quando o ativou, é sinal de rede ou roteador wireless com problema.
    a criptografia wireless apenas usa um pouco do processamento dos AP.
    Uso a anos WPA AES e nunca tive problemas.
    só se é problema da criptografia, pois sem tudo é uma maravilha.

    me sistema é todo roteado, ips validos nos clientes, não tem nat.

    e tem como ver se tem gente clonando. pois eu comprei ums 10 SXT a um tempo atras e fiz um script para configura-lo somente colando no new terminal. e deixei um descuido de alterar o mac para porta wlan1 para sempre a mesma, e sempre só funcionava somente 1 radio. tava quase mandando trocar todos esses radio quando descobri essa façanha minha.

  11. #51

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Citação Postado originalmente por gzanatta00 Ver Post
    só se é problema da criptografia, pois sem tudo é uma maravilha.

    me sistema é todo roteado, ips validos nos clientes, não tem nat.

    e tem como ver se tem gente clonando. pois eu comprei ums 10 SXT a um tempo atras e fiz um script para configura-lo somente colando no new terminal. e deixei um descuido de alterar o mac para porta wlan1 para sempre a mesma, e sempre só funcionava somente 1 radio. tava quase mandando trocar todos esses radio quando descobri essa façanha minha.
    como disse anteriormente.
    se com criptografia a "rede" ficou ruim... é sinal de que a rede ou o roteador tem algum problema.
    talvez processamento baixo?

    somente com hotspot, sem nenhum outro mecanismo de seguranca (principalmente sem criptografia wireless)
    independente de ter configurado o servidor com Hotspot+IP+MAC, permitindo uma conexao per host.
    se houve um clone, voce NUNCA sabera... pode apostar.

  12. #52
    Tecnico em telecom Avatar de Thiagotelecom
    Ingresso
    May 2011
    Localização
    São Felix do Xingu
    Posts
    225

    Padrão re: Segmentar Rede para Impedir Clonagem de MAC Address

    Olha tem muita gente que fala: ah usa pppoe que acaba com os problemas de clonagem.
    se nao estou enganado a melhor forma de se usar pppoe e desabilitando o protocolo IPv4
    ou fazendo o radinho de cliente pppoe.
    resumindo dificilmente vc conseguirá acabar com os clones de mac.
    a nao ser que use um programa especifico para bloqueio de clonagem de mac como o hostcert: HostCERT - A Solu
    esse sim evita.