Estão navegando de graça no seu hotspot com clonagem de MC e IP

[alexandrecorrea]

gateway eh linux

[rogeriosims]

Amigos,

Creio que isso não seja um bicho de sete cabeças, alguem ai conhece de programação?

Penso no seguinte, um software que o cliente instalasse na maquina dele esse software iria coletar os dados da maquina e gerar um serial (baseado em hd, mb essas coisas). esse mesmo software conectaria em uma base de dados no servidor por ssh ou telnet que validaria ou não esse serial.

É preciso melhorar a ideia e consultar alquem que saiba programar pra ver a viabilidade do sistema.

Abraço

[jeanfrank]

eu ja vi esse video, o administrador da rede hackeada colocou autenticacao do hotspot apenas por MAC.

sendo assim nao precisa nem clonar o ip, basta apenas o mac.

para coibir isso basta permitir apenas 1 usuario por MAC e instalar certificado.

aqui ainda nao tive esses problemas e eu mesmo ja tentei adentrar na minha rede usando backtrack, clone de mac, clone de ip e outros, mas nao obtive sucesso.

O problema é que tem clientes que precisam rodar varias maquinas tenho aqui clientes com 6 micros outros com 4 e varios clientes residenciais com 2 micros em casa ai distribuir varios users pra eles e barra.

abraços

[rogeriosims]

O problema é que tem clientes que precisam rodar varias maquinas tenho aqui clientes com 6 micros outros com 4 e varios clientes residenciais com 2 micros em casa ai distribuir varios users pra eles e barra.

abraços

Mas ai você usa AP certo?

Creio que no caso de utilizar Ap não entraria o problema.
Pois o Ap você tem acesso direto e pode configurar a criptografia como quiser.

Talvez ate dé pra fazer alguma coisa no ap, mas ai já complica.

Vamos pensar mais um pouco e gerar ideias, depois procuramos saber da viabilidade. Quem sabe conseguimos algo bom.

[osmano807]

Mas ai você usa AP certo?

Creio que no caso de utilizar Ap não entraria o problema.
Pois o Ap você tem acesso direto e pode configurar a criptografia como quiser.

Talvez ate dé pra fazer alguma coisa no ap, mas ai já complica.

Vamos pensar mais um pouco e gerar ideias, depois procuramos saber da viabilidade. Quem sabe conseguimos algo bom.

Sobre a rede, o pc-servidor dela vai fazer nat, então não precisa de instalar o programa em todos os pc's.

Esse negócia de autenticação seria muito bom, tipo, se não for válida a chave, com iptables, bloquear o pc. Tem que ser solução baseada em C/C++ (nada de C#), pois ainda existem pessoas que não usam windows.

Vamos ver, precisaríamos de fazer conexão via ssh com o servidor, enviaria a chave do cliente via um comando (tipo validar_cliente ID-CLIENTE HARDWARE-ID), e depois se não batesse a informação, desconectasse o pc. Se tudo estiver certo, adicionasse uma regra no iptables para adicionar o pc a rede.

Acho que é fácil ...
SSH da linha de comando (putty)
http://e-articles.info/e/a/title/Cre...e-using-PuTTY/

Pegando o serial do HD (VC++)
http://www.codeguru.com/Cpp/W-P/syst...icle.php/c2815

Pegando todas as informações do PC (Processador, etc)
http://www.codeproject.com/KB/system...formation.aspx

(eu não tenho o VC++, por isso não testo, mas depois vou ver se baixo a versão express [eu uso cygwin + gcc])

[stevens144]

Creio que pppoe seja mais seguro, porque nele vc pode usar MSCHAPv2 (da microsoft, nao sei se possui para linux) com criptografia MPPE, criptografia MPPE de chave de 128 bits (alta segurança) e de chave de 40 bits (padrão). Mas se o computador do cliente nao for mto bom vai sentir uma certa lentidao e vai pesar no servidor tbm (pois como o alexandre me disse para os radios sao pacotes normais, quem tem mais trabalho é o servidor e o pc do cliente)... bom, pelo menos foi o que eu notei aki com testes no servidor FreeRADIUS. nao sei se vou implementar mas ta ai a dica.
Alias achei o HostCERT mto interessante, agora temos q ver o desempenho
abraços

[underwanderson]

Amigos,

Creio que isso não seja um bicho de sete cabeças, alguem ai conhece de programação?

Penso no seguinte, um software que o cliente instalasse na maquina dele esse software iria coletar os dados da maquina e gerar um serial (baseado em hd, mb essas coisas). esse mesmo software conectaria em uma base de dados no servidor por ssh ou telnet que validaria ou não esse serial.

É preciso melhorar a ideia e consultar alquem que saiba programar pra ver a viabilidade do sistema.

Abraço

amigo, isso o hostcert ja faz, mas tem essa de ter que instalar programa extra no cliente como nosso amigo alexandre disse "e se o cliente formata a maquina?" e se o cliente que usar um notebook alem do pc ja conectado? entao eu imagino que a solução pode ser feita diretamente em um conjunto de configurações no proprio mikrotik mas como? e quais combinações de configurações sem a nescessidade de uma instalação direta no cliente o que poderia ocasionar dor de cabeça para as redes, manutenção e até chateação do cliente ao ponto dele se dispersar para o concorrente por ter que ficar abrindo chamado, pois o cliente so quer ligar o pc e no maximo logar para navegar e mais nada se ele sentir que esta muito dificil ele desiste logo, isso é a realidade.
obrigado

[underwanderson]

este foi um topico em um outro post meu aqui leiam e tentem nos ajudar.
obrigado!
===================================================
Boa noite unders de plantao!
eh o seguinte, apesar das configurações colocadas atraves de ideia minha aqui em um post, ainda continuo usando e com certificado ssl implementado, e ao refazer os testes aqui notei que consegui abrir paginas mas com mac que por ventura eu ja tinha em maos e navegando com alguma dificuldade (eu nao queria se fosse um clonador de mac ficar quebrando cabeça em uma rede com dificuldade de navegação!), blz, entao fiz uma avaliação e vi que quem nao possui mão de mac's da minha rede e vai aventurar levantar um mac scan pela primeira vez nesta rede, como foi dito o safado so recebera o mac dele mesmo e o do gateway da rede (o que teriamos de camufla-lo ou ate mesmo esconde-lo quem souber posta ai seja regra firewall ou outro meio), entao, ai continuando minhas ideias malucas.
configurei um ap edimax em bridge com wap2 e chave extensa onde o ap so ficaria ali pra autenticar a passagem pra internet apos cliente logar no hotspot em vez de colocar a tal chave wap2 no ponto de acesso externo o que bloquearia o hotspot para o publico e nao seria o ideal aqui. este ap edimax implementei ele entre o modem que esta em bridge e o mk (quem disca ppp0e é o mk), entao a rede tava ficando assim:
o cliente ligaria o pc, antes de logar pediria confirmação do certificado ja instalado na maquina sim ou nao (quem fez o teste sabe do que estou falando) entao ele logaria no hotspot com seu user e senha (o intuito aqui e manter o hotspot hein!) e antes do mk liberar ele pra fora na internet ele passaria por dentro do ap edimax com wap2 que esta ali so pra barrar-lo com autenticação wap2, ele iria digitar a chave somente uma vez a nao se que venha formatar a maquina um dia ai teria que digitar tal chave novamente (ou nos iriamos digitar para que ele nao tentasse passar para alguem) apesar que se explicassemos que ele e quem correria riscos passando tal chave pra alguem ele ate nem o faria.
mas ai que vem o problema, vi que o ap em bridge a conexao passa direto pra internet e nem pede a tal chave o que poderia ter feito? sera que o ap tem que ser um gateway? e como fariamos para redirecionar no firewall do mk para a criptografia do ap? como ficaria a regra?
entao so precisamos juntar e ver como fica isso e ai o malandro so chegaria ate o hotspot pois na hora boa de navegar ele teria que passar uns bons dias da vida dele tentando quebrar a chave pra ver a telinha do google.
ajudemo-nos e verás o quanto somos fortes!
obrigado e boa madrugada!
==================================================
o link: JUNTANDO FORÇAS PARA DESCOBERTA INEDITA CONTRA NAVEGAÇÃO A BASE DE CLONAGEM DE IP - Página 7

[kfdigital]

cheguei a indentificar dois clonadores de mac na minha rede com hotspot, resolvi o problema ativando a chave wep 128bits do ap router, apesar de nao ser tao boa quanto a wpa2, mas por causa de umas placa pci nao ter o progama para a wpa2, e escondi a faixa de ip da rede, so sendo visivel para os clientes cadastrados no dhcp,ficou muito bom.

[underwanderson]

cheguei a indentificar dois clonadores de mac na minha rede com hotspot, resolvi o problema ativando a chave wep 128bits do ap router, apesar de nao ser tao boa quanto a wpa2, mas por causa de umas placa pci nao ter o progama para a wpa2, e escondi a faixa de ip da rede, so sendo visivel para os clientes cadastrados no dhcp,ficou muito bom.

como escondeu a faixa de ip da rede desativou o dhcp? se nao como foi que fez para esconder tal faixa para o publico sem eles deixar de acessar a tela do seu hotspot? ou vc nao usa hotspot?
obrigado

[stevens144]

O bom do pppoe que uso, é que na interface de rede do mk que sai para os clientes nem coloco ip.. pois pppoe trabalha na camada de enlace para se conectar!

intao alem do cara ter q quebrar a wep... ele tem q clonar o mac e o usuario e senha que trafega em MS-Chap v1 com MD5...

[fsoaress76]

Fiz um captive portal que checa no BD qual é o “login, senha, ip, mac” em seguida confere com o ip+mac do PC do clientes, se não conferir, o cliente não navega.

Tudo na porta 80 é redirecionado para uma pagina da empresa, so libera depois de coferido o ip e mac.
usando PHP e MYSQL

Também temos um sisteminha que (bloqueia, libera) clientes só com simples clicks.

Ótimo para o “atendente” liberar o cliente quando paga.

Usando PHP.

[mdcsp]

O mikrotik tem a opção de amarrar o ip+mac+nomedocomputador do cliente. Mesmo que o cara consiga clonar o ip e o mac, mesmo assim vai ficar sem navegação.

quero testar isso aí(se der certo ja mato 99% dos ladroes aqui)
Uso ip-fixo(na queue) + MAC(amarrado na arp) e tenho aps em todos os clientes!
Mesmo assim consigo usar o ip_mac_nomedomicro-do_cliente) ???
Como extamente(com detalhe spor favor..rs) ???

[pedrovigia]

Fiz um captive portal que checa no BD qual é o “login, senha, ip, mac” em seguida confere com o ip+mac do PC do clientes, se não conferir, o cliente não navega.

Tudo na porta 80 é redirecionado para uma pagina da empresa, so libera depois de coferido o ip e mac.
usando PHP e MYSQL

Também temos um sisteminha que (bloqueia, libera) clientes só com simples clicks.

Ótimo para o “atendente” liberar o cliente quando paga.

Usando PHP.

mais isso o próprio mikrotik faz tb e não adianta de nada ....

[fsoaress76]

mais isso o próprio mikrotik faz tb e não adianta de nada ....

aqui usamos o mikrotik so como bridge.

todos os controles é em linux.

[kfdigital]

como escondeu a faixa de ip da rede desativou o dhcp? se nao como foi que fez para esconder tal faixa para o publico sem eles deixar de acessar a tela do seu hotspot? ou vc nao usa hotspot?
obrigado

simples, antes tudo voce vai em ip dhcp serve na opcao lease em todos os clientes voce cadastra em make static fazendo com que so os clientes cadastrado receba ip, depois vai em dhcp na sua interface de saida que pretende esconder o ip e colocar na aba adrees pool, deixa em static-only, aparti dai so os clientes cadastrado vai receber a pagina de login, e os entrusos receberam conexao nula ou limitada, hehehe...boa sorte!

[agpnet]

nao precisa saber login e senha nao.. basta o seu cliente ter logado.. e a sessao estabelecida.. ai o atacante clona mac e ip.. e consegue navegar.. porque para o servidor (seja linux ou mikrotik ou qualquer outro sistema) vai estar chegando ip com mac iguais...

qualquer sistema que nao tenha um tunelamento tipo vpn, pppoe, pptp, eoip.. esta sujeito a isso..

se nao fosse este problema.. eu estaria com hotspot na rede aqui ateh hoje.. migrei tudo para pppoe.. nao arrependo... controle eh mais facil.. tudo centralizado.. configuracao eh bem minima.. no cliente basta estar conectado no wireless e mandar discar.. nao precisa colocar ip.. etc etc...

Alexandre, gostaria de aproveitar a sua excelente experiência com o PPPOE e gostaria de saber se você poderia me ajudar , estou com alguns problemas com pppoe, em que a conexão fica "congelada" (nem ping funciona), ai o cliente reconecta e volta a navegar, o sinal deles ficam na faixa de -59 a -66, o rádio não cai, apenas o pppoe que "trava". O pppoe "pesa" na conexão? , ou o gargalo esta no processamento? (o processamento da rb fica bem baixo), faço o controle na rb, mas estou pensando em colocar um pc com mk para "core router", ja tenho tudo, mas a minha dúvida é se ele pode deixar a rede lenta, pois mac x ip a rede fica bem rápida... porém insegura.
Os tamanhos do do MTU e MRU podem influenciar este possível congelamento ? Trabalho com tudo em bridge, isto pode ser um problema? , pois esta bridge serve outros dois pops, e o pppoe server "serve" esta "big" bridge, estava pensando em fazer os pops terem seus próprios pppoe servers e rotearem para meu mk principal (a big bridge), utilizo o freeradius para autenticar.
Fico muito grato se você puder me ajudar !!!

[carlinhotocabrabo]

acho que a unica solução é o hostcert

quero implantar o sistema este mês

olá amigo, gostaria de saber se ja esta trabalhando com o Hostcert ?? cumpre o que promete ? da muita manutençao no cliente ? entrei em contato com eles e me agradou muito o sistema , esse mes vou tentar colocar aqui na minha rede ..

[alexandrecorrea]

Alexandre, gostaria de aproveitar a sua excelente experiência com o PPPOE e gostaria de saber se você poderia me ajudar , estou com alguns problemas com pppoe, em que a conexão fica "congelada" (nem ping funciona), ai o cliente reconecta e volta a navegar, o sinal deles ficam na faixa de -59 a -66, o rádio não cai, apenas o pppoe que "trava". O pppoe "pesa" na conexão? , ou o gargalo esta no processamento? (o processamento da rb fica bem baixo), faço o controle na rb, mas estou pensando em colocar um pc com mk para "core router", ja tenho tudo, mas a minha dúvida é se ele pode deixar a rede lenta, pois mac x ip a rede fica bem rápida... porém insegura.
Os tamanhos do do MTU e MRU podem influenciar este possível congelamento ? Trabalho com tudo em bridge, isto pode ser um problema? , pois esta bridge serve outros dois pops, e o pppoe server "serve" esta "big" bridge, estava pensando em fazer os pops terem seus próprios pppoe servers e rotearem para meu mk principal (a big bridge), utilizo o freeradius para autenticar.
Fico muito grato se você puder me ajudar !!!

pode ser problema no MTU ... aqui eu deixo em 1492 ... e tenho a regra de alterar o MSS para 1440 ... alguns sites/serviços (msn, yahoo, etc etc) dao problema com mtu maior que 1440, nao sei dizer exatamente o porque (talvez nao aceitam o pmtu discovery)...

[agpnet]

pode ser problema no MTU ... aqui eu deixo em 1492 ... e tenho a regra de alterar o MSS para 1440 ... alguns sites/serviços (msn, yahoo, etc etc) dao problema com mtu maior que 1440, nao sei dizer exatamente o porque (talvez nao aceitam o pmtu discovery)...

Valeu Alexandre, batata, alterei o MTU para 1440 (tava 1488), além de colocar um mk dedicado para controle pppoe e banda e firewall, ta tudo show de bola agora !!!
PPPOE é muito bom mesmo !!!! Recomendo a Todos !!

Obrigado !!!