ESQUEMAS DE SEGURANÇA - IP X MAC

[didism2]

Senhores Boa Tarde

Ja faz algum tempo que estou procurando na net e em outros foruns algo relacionado a isso , mas até então não encontrei algo parecido...creio que este não seja então um problema e sim um desafio , não é tão complicado mas ainda não li alguém que tenha feito isso .


O que acontece é o seguinte , estou tentando inserir o esquema de controle IPXMAC para segurança em minha topologia , eu tenho hoje:

....................MODEM...................
......................||.......................
......................\/.......................
**ROUTERBOARD MIKROTIK 450G**
|| .........||..... ||....... ||
\/.......... \/..... \/....... \/
RB433 RB433 RB433 RB433
....|........|.......|.......|................

Resumo:
Modem Ligado a 1 RB450G (INternet)
4 RB433 ligado no RB450g (gateway)
Cada RB433 contém 1 cartão MiniPCI Engenius EMP 8603 (AP)
Onde cada Cartão esta conectado a uma antena setorial HyperlINK 17 DBI 19º

Cada Cartão esta configurado com o Access List para liberação apenas Por MAC , além de estar com a WPA2 ativado e senha

Estou usando o Winbox para configuração de todos as RouterBoards

************************************************************************************

O Que estou querendo fazer é o seguinte

- Cada Cartão MiniPCI estará com o Access List ativado e WPA2 com Senha Ativado

- Quero habilitar O Servidor DHCP Para cada porta do 450G , por exemplo:

LAN1 - 192.168.1.10 ~ 192.168.1.50
LAN2 - 192.168.2.10 ~ 192.168.2.50
LAN3 - 192.168.3.10 ~ 192.168.3.50
LAN4 - 192.168.4.10 ~ 192.168.4.50

Em cima dos Ips Cadastrados quero fazer um controle de IP X Mac partindo do próprio RB450G

* O PC do cliente com determinado MAC , só pode ter aquele IP , caso aquele IP naquele MAC seja alterado o mesmo não irá se conectar (para isto , assim que o cliente pegar um ip , vou estar colocando um IP Fixo)

* Não pode conter 2 Macs similares Na rede

* Não pode conter 2 Ips similares na rede

* O Ip só será distribuido pelo DHCP para um novo equipamento , caso o mesmo esteja cadastrado no IP x MAC

* HOTSPOT E PPPOE SAO ITENS QUE VOU USAR MAS NÃO AGORA.

Pergunta simples e objetiva:




Como faço isso?

[megabyte]

Não e mais facil vc usar radios em modo wisp nos clientes . Assim o cliente nao tera acesso direto da sua rede.

[farias]

Não e mais facil vc usar radios em modo wisp nos clientes . Assim o cliente nao tera acesso direto da sua rede.

Concordo, os problemas que uma máquina windows pode causar em uma rede wireless, são grandes!

[Danusio]

É amigo, uma boa segurança é todos os clientes ter rádio, pois vc configura uma senha que somente você tenha acesso.
Aqui eu não uso ip x mac, uso HotSpot Mikrotik, com autenticação em rádios.
Somente autentica se o ip,mac, usuario e senha baterem, isso fica tudo em um servidor Radius.
Claro que tenho uma segurança no rádio que é liberar o mac em access List.

mas só de todos os clientes está com radio, já é uma segurança a mais.

[didism2]

Bom sobre usar o Wisp , é um caso que preciso verificar , mas talvez seja uma órima solução

Sobre Hotspot , vou usar sim , mas não agora , acho que só no inicio do ano que vem...
Que alias sobre hotspot , pretendo deixar um outro RB450G na topologia dedicado só ára Hotspot , é possivel?

Mas voltando ao caso do Ip Mac ,seguindo essas regras de bloqueio que coloquei no inicio do post como consigo fazer este processo?

Obrigado Galera

[didism2]

Alguma alma perdida e solidaria que sem querer caiu nessa pagina , pode me ajudar?

[Danusio]

Amigo, primeiro você deverá criar os ips no MENU ->IP -> ADDRESS
ether1 - 192.168.1.1/24
ether2 - 192.168.2.1/24
ether3 - 192.168.3.1/24
ether4 - 192.168.4.1/24

Vá no MENU IP -> DNS clique em SETTINGS e coloque em server 2 ip dns de sua operadora ou 8.8.8.8 e 8.8.4.4

Feito isso vc vai no MENU IP -> DHCP SERVER
Clique no botão DHCP SETUP, é tudo passo-a-passo, basta escolher a interface e ir clicando em avançar que o sistema já vai pegar o ip automático e vai criar também os pools(range de ip) automático.

Ainda dentro do DHCP vá na aba Leases, lá terá os ips dos seus clientes(quando os clientes estiverem online), basta dar 2 cliques e marcar Make Static, feito isso, toda vez o server dhcp vai atribuir o ip a este cliente.

IP X MAC

MENU -> IP ->ARP
Basta clicar no sinal de + digitar o Mac e Ip do cliente e a interface que ele está, porém outros IPS livres você terá que cadastrar também com mac 00:00:00:00:00:00, pois se seu cliente trocar o ip ele ainda terá acesso a internet, desta forma ele ficará amarrado.

Agora se o mac e o ip do seus clientes estiverem na lista basta clicar 2 vezes e clicar em Make Static


Espero que estas dicas ajudem em algo.

[didism2]

Meu Amigo Danusio

Nota 10 pra você , vou fazer esse processo nesta semana , e retornarei aqui para postar como foi os testes , na teoria , deve funcionar sim.

Mesmo assim muito obrigado pela ajuda

[didism2]

Quero agradecer ao Amigo Danusio pela Dica
Em cima disso , comecei me aprofundar no que eu poderia melhorar como esquema de segurança dentro do Mikrotik
Pelo numero de visitas que teve este post , creio que muita gente precisa desta informação , então vou dizer o que fiz...
1º por esta usando as interfaces Wireless , tive que montar todo um esquema de segurança usando Wpa2-eap , junto com access list, no entanto isto não vem ao caso...
Mas para um cidadão que for tentar invadir sua rede , já é um trabalho a mais....pode crer.
2º Mudei o ip de todas as interfaces para sub redes 26 , por que?
Desta forma em uma determinada rede ele aceitaria números de IP de 0-63
Ficando desta forma:
Wlan- 10.1.1.5/26
Lan1-10.11.11.5/26
Lan2-10.12.12.5/26
3º Mudei todas as ARP da interfaces para reply-only , por que?
Desta forma , ele ira responder somente requisições , endereços serão resolvidos estaticamente
4º Crei um Dhcp para para cada interface , renomeu o pool dos dhcp’s apenas para lembrar do que se trata , voltei nas configurações do Dhcp e o pool eu mudei para estático
Cliquei em Leases ,cadastrei o Mac , junto com um IP (IPXMac) , e habilitei a opção Use Src Mac Address , para que aquele ip seja distribuído naquele Mac , e o mac possua somente este ip (desta forma dois endenreços Mac iguais ,ou dois endereços IP iguais não trafegam na rede, diz a Lenda...)
5ºARP
Fui lá no ARP , coloquei um Mac do Cliente , Ip do Cliente , e escolhi a interface que ele usara , caso ele tente se logar em outra interface , ele não conseguira...
6º Hot spot
Também não vem ao caso...
mas coloquei para que somente um usuário tenha somonte um endereço mac , coloquei o Mac e o ip que o cidadão deve usar para que ele ele usuário e senha funciones...
Desta forma , mesmo que o usuario passe o usuário x senha para alguém invadir não conseguira devido ao Mac Address , e mesmo que o danado tenha conseguindo clonar o endereço mac do cliente , e o usuário passe o usuariox Mac , quem invadir vai conseguir , porém quem passou o usuário e senha fica sem acessoa internet..
Quem é que vai querer compartilhar a internet assim?
6º SSL e Radius
Estou agora na busca de realizar as aplicações em Radius...
Mas ainda não tive tanto sucesso...
É isso ai galera...quem tiver duvidas , posta ai..
Caso eu tenha falado alguma bosta falém também...
Sobre o SSl e o Radius...
Quem poder me ajudar eu agradeço...

[Danusio]

Parabéns!!
O uso do Radius para autenticação é uma ferramente excelente para um provedor.
Nele você controle os ips, Usuários, Senhas e Velocidades de cada cliente
além de ficar a contabilidade de cada usuário.
Que por lei da Anatel o provedor deve manter a contabilidade de cada cliente por 3 anos.
Em caso de uma eventualidade fiscalização sobre algum crime cibernético.

E também você saberá que Data e Horas o cliente Conectou e Data e Horas o cliente Desconectou e quanto foi o tráfego dele neste período.
Assim você também desvenda uns engraçadinhos dizendo que quase não usou a internet por que estava viajando e quer um desconto na mensalidade.

Uso apenas um servidor para Aplicação Radius
Sistema operacional: Fedora 8 este sistema é bem prático para implantar o Radius e outros

[didism2]

Obrigado amigo , pela dica......

Realmente estou querendo e muito usar o Radius...

Mas não sei se é possivel usa-lo sem usar um PC....

Sabe me dizer e especificar como usa-lo em uma routerboard Mikrotik?

[leoservice]

No mikrotik tem User-manager não sei atende sua expectativa, caso contrario seria um PC mesmo rodando um free radius; ja vi provedores usar um Servidor na Nuvem para só fazer radius.

Acho uma solução muito boa um exemplo seria vc tem ai tecnicos com senha de acesso a RB toda vez que vc manda um embora vc tem que sair trocando senha de RB a RB, com radius vc troca apenas nele e todas RB já não aceitaram mais que aquele ex funcionario entre nas RB, servidores etc..

[Danusio]

já quiz fazer sem depender de pc e nem hospedar em site na internet, então a única forma de funcionar foi usar um pc com sistema linux e server free-radius instalado e mikrotik autenticando nele.