Jump to content

ограничаване на пирати?


id

Recommended Posts

Здравейте,

дайте идея как може да огранича определен мак адрес да не може да се свързва към pppoe сървъра?

PPPOE сървъра е вдигнат на микротик , а за аутентификация използвам Radius Manager (в радиуса няма такава функция )

Проблема е , че като забравя да "вържа" някой акаунт с MAC , веднага се намира някой ХИТРЕЦ да открадне този акаунт.

Пробвах да маркитам пакетите от този мак и после с филтъра да ги дропя , но не става.

Благодаря предварително!

Link to comment
Share on other sites

защо не си сегментирал мрежата и да го изключиш "хакера" да няма интернет 3-4-5 дни поради "технически причини" и ще се научи че се плаща.

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Link to comment
Share on other sites

Абе за сега съм точно на този вариант , ама "хакери" колко щеш (студенти без работа) , за това си мислих дали няма вариант през сървъра да ги дропя.

Не че не може да си смени и мака , ама поне ще пресея много от "хакаерите" .....

Link to comment
Share on other sites

Проблема е , че като забравя да "вържа" някой акаунт с MAC , веднага се намира някой ХИТРЕЦ да открадне този акаунт.

Пробвах да маркитам пакетите от този мак и после с филтъра да ги дропя , но не става.

Благодаря предварително!

Каква автентификация ползваш, PAP или Chap?

“...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г.

Link to comment
Share on other sites

Използвам PAP .

Логиката на потребителското име и паролата е елементарна и те рзачитат на това някой акаунт да не е вързан по мак .

На принцип проба-грешка откриват къде е "дупката".

Link to comment
Share on other sites

Въпроса е че при PAP user+pass пътуват практически незащитетни и който иска може да си снифва, пробвай да минеш на chap и няма да ти се налага mac защита.

Също ако са по кабел, замисли се за някаква сегментация или разделяне да не се виждат по портовете - съвсем ще им е трудно да гадят за user+pass без необходимите за това кристално кълбо и гледач :)

Edited by Networker
  • Like 1

“...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г.

Link to comment
Share on other sites

Логиката на потребителското име и паролата е елементарна и те рзачитат на това някой акаунт да не е вързан по мак .

На принцип проба-грешка откриват къде е "дупката".

То па като е вързан.... че не могат да го сменят за 3 сек.

Link to comment
Share on other sites

  • Administrator

Какви са тея PAP и CHAP да не сме в началото на 90-те

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • Administrator

CHAP си е е напълно достатъчен в комбинация с брой едновременни сесий,дали сме в 90-те или сега проблема си остава и решението му не е в рестриктций,протоколи и портове а в задклавиатурното устройство.

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Link to comment
Share on other sites

Мрежата е доста добре сегментирана. На повечето места е порт базиран VLAN чак до сървъра , но не всички суичове са от най умните и не мога всеки път да виждам даден мак точно от кой порт на кой суич идва.

От скоро ползвам PPPOE и в началото уж за тест започнахме да раздаваме име и парола , които са същите като номера на стята в която е потребителя. Идеята беше основната защита да е по мак . Но както всяко временно нещо тази практика с юзъра и паролата остана постоянна. Всеки зне на другия името и паролата / много глупво , но факт който скоро ще оправя/

без да се налага да ползва снифер.

Това че PAP не е криптирана го занм , но и то остана поредното постоянно временно нещо.

Общо взето вече знам как НЕ трябва да се прави !

Та темата беше дали някой знае как мога да филтрирам тези МАКова , докато направя нещата като хората.

Link to comment
Share on other sites

  • Administrator

там трябва да помагат или суичовете

или да ползваш Caller-ID (демек мак адреса)

или да опишеш всичко и да ползваш скрипт който да дропи

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

Та темата беше дали някой знае как мога да филтрирам тези МАКова , докато направя нещата като хората.

ми сложи един умен свич точно преди ppp server-a и на него правилата за l2. евтино и бързо

Link to comment
Share on other sites

Като бяхме на PPPOE, ползвах радиус със mysql и тази заявка:

		authorize_check_query = "SELECT uid,id,'Password',passwd,'==' \

		   FROM ${authcheck_table} \

		   WHERE id LIKE '%{SQL-User-Name}' AND mac='%{Calling-Station-Id}'

Link to comment
Share on other sites

Аз до колкото видях човека иска да резне даден мак адрес да не се връзва, без значение потребителското име.

На Миле метода е най-удачен

Link to comment
Share on other sites

Аааааа, аха.

Най-тъпото, което се сещам:

вкарваш интерфейса в бридж, местиш ПППОЕ сървъра на бриджа и можеш да дропиш макове от филтъра на бриджа.

  • Like 1
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.