Jump to content
  • 0

DHCP Server защита от кражба на НЕТ.


Тодор Лазаров
 Share

Question

Един колега се оплаква че му крадат от НЕТА.

Топологията му беше следната:

DHCP server с раздаване на динамични адреси. /само това/

Сложих му микротик:

- пуснах му DHCP server с радиус оторизация към UserManager-a

/ ip dhcp-server set dhcp1 use-radius=yes

/ radius add service=dhcp address=y.y.y.y secret=123456

/ tool user-manager customer add login="MikroTik" password="******" permissions=owner

/ tool user-manager router add subscriber=MikroTik ip-address=x.x.x.x shared-secret=123456

/ tool user-manager user add add subscriber=MikroTik username="00:01:29:27:81:95" ip-address=192.168.100.

...

...

и така му описах MAC адресите.

това е описано и тук:

http://wiki.mikrotik.com/wiki/User_Manager/DHCP_Example

Въпроса ми е следния. Какво още може да се направи.

Защото пак си остава въпроса че ако някой статично си сложи IP от  

адресната област на DHCP-to пак ще има NET.

Link to comment
Share on other sites

  • Answers 34
  • Created
  • Last Reply

Top Posters For This Question

  • SS7

    4

  • Тодор Лазаров

    11

  • Stilyan

    3

  • insertoff

    4

Recommended Posts

  • 0

Възможно ли е следното да се направи.

Само дадените от DHCP-Server-a адреси да се добавят в една адрес листа, която после само тя да се маскира.

т.е. да се следи какво се раздава от DHCP-Server-a като адресно пространство.

Link to comment
Share on other sites

  • 0

защо не пуснеш пппое сървар или пак смени гейта да не е 1 ница а например да е 33

Аз му предложих PPPOE или PPTP но човека неще да се занимава с ограмотяване на клиентите ...

А смяната на gateway едва ли ще помогне много.

Link to comment
Share on other sites

  • 0

Сложи ги тези макове в ARP таблицата,като статични и махни ARP отметката на картата на която се закачват и ще стане работата

Link to comment
Share on other sites

  • 0

Сложи ги тези макове в ARP таблицата,като статични и махни ARP отметката на картата на която се закачват и ще стане работата

Аз нямам проблем с MAC адресите, те пак са статични. Радиуса на микротика ги раздава, те са описани в UserManager-a на микротика.

Това мисля, че е по-добрия начин защото взимането на ip-address става като процедурата минава през shared-secret която микротика  

предава на радиуса.

Проблема е че ако някои си сложи статичен адрес ще мине.

Макар че в маскарада съм сложил само областа от адреси който DHCP-то раздава, но ако някои си сложи адрес от тази област ще има НЕТ.

т.е. какво да кажа на микротика, че да не могат да си слагат адреси от областта която DHCP-то ще раздава.

Link to comment
Share on other sites

  • 0
  • Owner

Най-лесния и най-сигурен вариант според мен е  хот-спот с ауторизация  по-мак адрес.

Няма начин да крадат . отделно, освен ауторизация по мак , може да сложи и ауторизация с име и парола (например за почасово плащане) . А може и само ауторизация с име и парола . Няма нужда да се обучават клиентите  , както за пппое.

Освен това могат са се опишат винаги достъпни адреси, например ипей (за плащане)

Пробвано е. Работи без проблеми. За съжаление не го ползваме, защото през почти всички микротици минава транзитен трафик.

Единственото изискване е микротика (интерфейса дето са клиентите) да не е транзитен рутер. В тоя случай не става.

п.с.

Предполагм повечето колеги знаят, че е много полезно ДХЦП-то да раздава маска /32 :)

Link to comment
Share on other sites

  • 0

Най-лесния и най-сигурен вариант според мен е  хот-спот с ауторизация  по-мак адрес.

Няма начин да крадат . отделно, освен ауторизация по мак , може да сложи и ауторизация с име и парола (например за почасово плащане) . А може и само ауторизация с име и парола . Няма нужда да се обучават клиентите  , както за пппое.

Освен това могат са се опишат винаги достъпни адреси, например ипей (за плащане)

Пробвано е. Работи без проблеми. За съжаление не го ползваме, защото през почти всички микротици минава транзитен трафик.

Единственото изискване е микротика (интерфейса дето са клиентите) да не е транзитен рутер. В тоя случай не става.

п.с.

Предполагм повечето колеги знаят, че е много полезно ДХЦП-то да раздава маска /32 :)

Това и на мен ми доиде като идея. но може ли да го разпишеш с команди ... набързо. Хотспот съм вдигал но самата интеграция с MAC адрес.

Същото е интересно за раздаване на адреси с маска /32.

Мисля че и 2 идей са много качествени. SS7 си ги разбира работите.

форума май набира скорост, дай боже. Както върви догодина и едно събиране може да се направи на живо. Помня linux фестовете преди години ... голям купон стана ... Идеи, запознаства, бира и etc

Link to comment
Share on other sites

  • 0

И с HotSpot пак се "краде" нет. Сканирам мрежата за MAC/IP, поставям си някои от намерените MAC/IP и ако човечеца вече се е логнал в HotSpot-a и аз имам нет.

Link to comment
Share on other sites

  • 0

И с HotSpot пак се "краде" нет. Сканирам мрежата за MAC/IP, поставям си някои от намерените MAC/IP и ако човечеца вече се е логнал в HotSpot-a и аз имам нет.

А не може ли да му дадеш:

/ip hotspot set hotspot1 addresses-per-mac=1

addresses-per-mac (integer; default: 2) - maximal amount of IP addresses assigned to one MAC address

https://routerboard.com/testdocs/ros/2.8/ip/universal_content.php

Link to comment
Share on other sites

  • 0

Дори и с опция "един адрес на един мак" микротика ще ми даде същото IP, ако си сменя мак адреса с някой от на вече логналите се в хотспота. Конкуренцията ми работи по такъв начин - като закъсам за нет и съм с лаптопа ползвам от техния :)

Link to comment
Share on other sites

  • 0

добре тогава какво е решението

ако не се използва PPPOE или PPTP

Link to comment
Share on other sites

  • 0

WPA криптиране...

Не че всяка система няма начин как да се хакне, но става по трудно.

Link to comment
Share on other sites

  • 0
  • Owner

Уф, за това не бях се сетил. Ама тук от н стотин клиента само един може да си сменя мак адреса . А нашата зашита е елементарна, на непознатите макове ДХЦП-то раздава неработещи адреси (пренасочени към станица за непозволен достъп)

А радиото дори не го защитаваме.

Обикновено се опитват да крадат спрени поради неплащане клиенти. При първия опит веднага се слага управляем комутатор и се спира от порта.

Като се размисля, май е най-добре управлението на достъпа и защитите да се правят на layer 2, чрез връзване на мак-порт и спиране на порта. По скъпо, ама ще спестява много ядове , ако клиентите са разбирачи.

Дори и с опция "един адрес на един мак" микротика ще ми даде същото IP, ако си сменя мак адреса с някой от на вече логналите се в хотспота. Конкуренцията ми работи по такъв начин - като закъсам за нет и съм с лаптопа ползвам от техния :)
Link to comment
Share on other sites

  • 0

Уф, за това не бях се сетил. Ама тук от н стотин клиента само един може да си сменя мак адреса . А нашата зашита е елементарна, на непознатите макове ДХЦП-то раздава неработещи адреси (пренасочени към станица за непозволен достъп)

добре как го реализираш.

как да разбера непознатите макове ...

т.е. как да кажа на ДХЦП-то това е непознат мак ... дай му едикво си.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    No registered users viewing this page.


×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.