Тодор Лазаров Posted May 18, 2008 Report Share Posted May 18, 2008 Един колега се оплаква че му крадат от НЕТА. Топологията му беше следната: DHCP server с раздаване на динамични адреси. /само това/ Сложих му микротик: - пуснах му DHCP server с радиус оторизация към UserManager-a / ip dhcp-server set dhcp1 use-radius=yes / radius add service=dhcp address=y.y.y.y secret=123456 / tool user-manager customer add login="MikroTik" password="******" permissions=owner / tool user-manager router add subscriber=MikroTik ip-address=x.x.x.x shared-secret=123456 / tool user-manager user add add subscriber=MikroTik username="00:01:29:27:81:95" ip-address=192.168.100. ... ... и така му описах MAC адресите. това е описано и тук: http://wiki.mikrotik.com/wiki/User_Manager/DHCP_Example Въпроса ми е следния. Какво още може да се направи. Защото пак си остава въпроса че ако някой статично си сложи IP от адресната област на DHCP-to пак ще има NET. Link to comment Share on other sites More sharing options...
0 Тодор Лазаров Posted May 18, 2008 Author Report Share Posted May 18, 2008 Възможно ли е следното да се направи. Само дадените от DHCP-Server-a адреси да се добавят в една адрес листа, която после само тя да се маскира. т.е. да се следи какво се раздава от DHCP-Server-a като адресно пространство. Link to comment Share on other sites More sharing options...
0 stevebg Posted May 18, 2008 Report Share Posted May 18, 2008 защо не пуснеш пппое сървар или пак смени гейта да не е 1 ница а например да е 33 Link to comment Share on other sites More sharing options...
0 Тодор Лазаров Posted May 19, 2008 Author Report Share Posted May 19, 2008 защо не пуснеш пппое сървар или пак смени гейта да не е 1 ница а например да е 33 Аз му предложих PPPOE или PPTP но човека неще да се занимава с ограмотяване на клиентите ... А смяната на gateway едва ли ще помогне много. Link to comment Share on other sites More sharing options...
0 krasi Posted May 19, 2008 Report Share Posted May 19, 2008 Сложи ги тези макове в ARP таблицата,като статични и махни ARP отметката на картата на която се закачват и ще стане работата Link to comment Share on other sites More sharing options...
0 Тодор Лазаров Posted May 19, 2008 Author Report Share Posted May 19, 2008 Сложи ги тези макове в ARP таблицата,като статични и махни ARP отметката на картата на която се закачват и ще стане работата Аз нямам проблем с MAC адресите, те пак са статични. Радиуса на микротика ги раздава, те са описани в UserManager-a на микротика. Това мисля, че е по-добрия начин защото взимането на ip-address става като процедурата минава през shared-secret която микротика предава на радиуса. Проблема е че ако някои си сложи статичен адрес ще мине. Макар че в маскарада съм сложил само областа от адреси който DHCP-то раздава, но ако някои си сложи адрес от тази област ще има НЕТ. т.е. какво да кажа на микротика, че да не могат да си слагат адреси от областта която DHCP-то ще раздава. Link to comment Share on other sites More sharing options...
0 Lacho Posted May 19, 2008 Report Share Posted May 19, 2008 еми ако те разбирам правилно просто направи защита по мак адреси смисъл всяко ип да работи с определен мак но по сигурно е с pppoe Live Free Or Die !!! http://www.etropole.net/ http://www.allfn.com/ Link to comment Share on other sites More sharing options...
0 Owner SS7 Posted May 21, 2008 Owner Report Share Posted May 21, 2008 Най-лесния и най-сигурен вариант според мен е хот-спот с ауторизация по-мак адрес. Няма начин да крадат . отделно, освен ауторизация по мак , може да сложи и ауторизация с име и парола (например за почасово плащане) . А може и само ауторизация с име и парола . Няма нужда да се обучават клиентите , както за пппое. Освен това могат са се опишат винаги достъпни адреси, например ипей (за плащане) Пробвано е. Работи без проблеми. За съжаление не го ползваме, защото през почти всички микротици минава транзитен трафик. Единственото изискване е микротика (интерфейса дето са клиентите) да не е транзитен рутер. В тоя случай не става. п.с. Предполагм повечето колеги знаят, че е много полезно ДХЦП-то да раздава маска /32 Link to comment Share on other sites More sharing options...
0 Тодор Лазаров Posted May 21, 2008 Author Report Share Posted May 21, 2008 Най-лесния и най-сигурен вариант според мен е хот-спот с ауторизация по-мак адрес. Няма начин да крадат . отделно, освен ауторизация по мак , може да сложи и ауторизация с име и парола (например за почасово плащане) . А може и само ауторизация с име и парола . Няма нужда да се обучават клиентите , както за пппое. Освен това могат са се опишат винаги достъпни адреси, например ипей (за плащане) Пробвано е. Работи без проблеми. За съжаление не го ползваме, защото през почти всички микротици минава транзитен трафик. Единственото изискване е микротика (интерфейса дето са клиентите) да не е транзитен рутер. В тоя случай не става. п.с. Предполагм повечето колеги знаят, че е много полезно ДХЦП-то да раздава маска /32 Това и на мен ми доиде като идея. но може ли да го разпишеш с команди ... набързо. Хотспот съм вдигал но самата интеграция с MAC адрес. Същото е интересно за раздаване на адреси с маска /32. Мисля че и 2 идей са много качествени. SS7 си ги разбира работите. форума май набира скорост, дай боже. Както върви догодина и едно събиране може да се направи на живо. Помня linux фестовете преди години ... голям купон стана ... Идеи, запознаства, бира и etc Link to comment Share on other sites More sharing options...
0 Stilyan Posted May 21, 2008 Report Share Posted May 21, 2008 И с HotSpot пак се "краде" нет. Сканирам мрежата за MAC/IP, поставям си някои от намерените MAC/IP и ако човечеца вече се е логнал в HotSpot-a и аз имам нет. Link to comment Share on other sites More sharing options...
0 Тодор Лазаров Posted May 21, 2008 Author Report Share Posted May 21, 2008 И с HotSpot пак се "краде" нет. Сканирам мрежата за MAC/IP, поставям си някои от намерените MAC/IP и ако човечеца вече се е логнал в HotSpot-a и аз имам нет. А не може ли да му дадеш: /ip hotspot set hotspot1 addresses-per-mac=1 addresses-per-mac (integer; default: 2) - maximal amount of IP addresses assigned to one MAC address https://routerboard.com/testdocs/ros/2.8/ip/universal_content.php Link to comment Share on other sites More sharing options...
0 Stilyan Posted May 21, 2008 Report Share Posted May 21, 2008 Дори и с опция "един адрес на един мак" микротика ще ми даде същото IP, ако си сменя мак адреса с някой от на вече логналите се в хотспота. Конкуренцията ми работи по такъв начин - като закъсам за нет и съм с лаптопа ползвам от техния Link to comment Share on other sites More sharing options...
0 Тодор Лазаров Posted May 21, 2008 Author Report Share Posted May 21, 2008 добре тогава какво е решението ако не се използва PPPOE или PPTP Link to comment Share on other sites More sharing options...
0 insertoff Posted May 21, 2008 Report Share Posted May 21, 2008 WPA криптиране... Не че всяка система няма начин как да се хакне, но става по трудно. Link to comment Share on other sites More sharing options...
0 Owner SS7 Posted May 21, 2008 Owner Report Share Posted May 21, 2008 Уф, за това не бях се сетил. Ама тук от н стотин клиента само един може да си сменя мак адреса . А нашата зашита е елементарна, на непознатите макове ДХЦП-то раздава неработещи адреси (пренасочени към станица за непозволен достъп) А радиото дори не го защитаваме. Обикновено се опитват да крадат спрени поради неплащане клиенти. При първия опит веднага се слага управляем комутатор и се спира от порта. Като се размисля, май е най-добре управлението на достъпа и защитите да се правят на layer 2, чрез връзване на мак-порт и спиране на порта. По скъпо, ама ще спестява много ядове , ако клиентите са разбирачи. Дори и с опция "един адрес на един мак" микротика ще ми даде същото IP, ако си сменя мак адреса с някой от на вече логналите се в хотспота. Конкуренцията ми работи по такъв начин - като закъсам за нет и съм с лаптопа ползвам от техния Link to comment Share on other sites More sharing options...
0 Тодор Лазаров Posted May 21, 2008 Author Report Share Posted May 21, 2008 Уф, за това не бях се сетил. Ама тук от н стотин клиента само един може да си сменя мак адреса . А нашата зашита е елементарна, на непознатите макове ДХЦП-то раздава неработещи адреси (пренасочени към станица за непозволен достъп) добре как го реализираш. как да разбера непознатите макове ... т.е. как да кажа на ДХЦП-то това е непознат мак ... дай му едикво си. Link to comment Share on other sites More sharing options...
Question
Тодор Лазаров
Един колега се оплаква че му крадат от НЕТА.
Топологията му беше следната:
DHCP server с раздаване на динамични адреси. /само това/
Сложих му микротик:
- пуснах му DHCP server с радиус оторизация към UserManager-a
/ ip dhcp-server set dhcp1 use-radius=yes
/ radius add service=dhcp address=y.y.y.y secret=123456
/ tool user-manager customer add login="MikroTik" password="******" permissions=owner
/ tool user-manager router add subscriber=MikroTik ip-address=x.x.x.x shared-secret=123456
/ tool user-manager user add add subscriber=MikroTik username="00:01:29:27:81:95" ip-address=192.168.100.
...
...
и така му описах MAC адресите.
това е описано и тук:
http://wiki.mikrotik.com/wiki/User_Manager/DHCP_Example
Въпроса ми е следния. Какво още може да се направи.
Защото пак си остава въпроса че ако някой статично си сложи IP от
адресната област на DHCP-to пак ще има NET.
Link to comment
Share on other sites
Top Posters For This Question
11
4
4
3
Popular Days
May 21
11
May 19
4
May 22
4
May 18
3
Top Posters For This Question
Тодор Лазаров 11 posts
SS7 4 posts
insertoff 4 posts
Stilyan 3 posts
Popular Days
May 21 2008
11 posts
May 19 2008
4 posts
May 22 2008
4 posts
May 18 2008
3 posts
34 answers to this question
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now