SKFREE

Mikrotik™ hardware - Piráti
matthues - 09.11.2007 - 17:51
Post subject: Piráti
Nazdar, mám problém s nelegalnými užívateľmi siete (piráti), ktorý bez súhlasu a bez platenia používajú internet. Viem ich IP adresu ale neviem helso do AP. MAC adresu používajú takú ktorú má aj iný užívateľ. Čiže blokovanie cez Access control nefunguje. Neviete ci nahodou neexistuje dajaké univerzálne heslo do APciek. supervisor alebo nieco také. Alebo ako ich mám zablokovať ??? Spomajujú sieť. Idea
tam - 09.11.2007 - 18:04
Post subject:
z toho co si napisal sa zdas byt iba userom tej siete. Tak, preco to riesis ty? oznam to tvojmu ISP. A kebyze si ISP nezhanas heslo do AP
pmaster - 09.11.2007 - 18:38
Post subject:
podla mna sa mu skor jedna o zdielacov, co maju vlstne zariadenia a chce im ich "prestelovat" do nie NAT modu Smile
matthues - 09.11.2007 - 18:46
Post subject:
už je poňom viac sa do siete nedostane s jeho zariadením (macom) niečo ma napadlo a funguje.
icerowicz - 09.11.2007 - 19:56
Post subject:
matthues wrote: ›už je poňom viac sa do siete nedostane s jeho zariadením (macom) niečo ma napadlo a funguje.


riesenim je 802.1x
matthues - 10.11.2007 - 00:01
Post subject:
veľmi šikovný, už zas mu to ide, zmenil si MAC adresu klónovaním, predtým čo používal to bolo iného klienta tomu som zmenil Mac adresu a zo zoznamu Access control som vybral. Takže mu to nešlo, ale teraz vybral Mac iného klienta. No veď počkaj.

Čo myslýš tým 802.1x?
marsl - 10.11.2007 - 00:05
Post subject:
a keby si zmenil sifrovacie heslo napr. na WPA?
802.1x - autentfikacia klienta, napr. Radius...
icerowicz - 10.11.2007 - 00:09
Post subject:
marsl wrote: ›a keby si zmenil sifrovacie heslo napr. na WPA?
802.1x - autentfikacia klienta, napr. Radius...


myslim tym, ze kazde ap na sieti sa bude musiet autentifikovat. pokial sa neautentifikuje, prejdu len 802.1x packety. Az po autentifikacii prebehne napr dhcp request na pridelenie ip podla mac.

V tvojom pripade odporucam kontrolu ip na mac.
Dalej si ho odsnifuj , kto to je. Potom mu posli domov rovno fakturu za net.
matthues - 10.11.2007 - 00:12
Post subject:
neverím že pri tolkych klientoch to bude dobre riesenie ved to bude spomaľovať prenos, nie? Skúšal som traffic manager v appro v AP OVIS1120 ale block unlisted klients vtom nefunguje iba v 5460 APpro, takže zajtra tam vymením AP, ešte skúsim mu znížiť traffic na 1kbps download aj upload. To asi pomôže.
matthues - 10.11.2007 - 00:16
Post subject:
ja mám manuálne pridelené IPcka pri vsetkých klientoch. A ako ho nájdem podľa čoho pôjdem ku každému zaklopom že softwarová polícia ukážte mi comp. Veď ani heslo neviem do jeho AP, a neverím že tam má napísanú adresu alebo meno, ale keby som sa dostal do jeho AP, tak by som mu tam mohol nahrať dajaký zlý firmware nech ho to odradí nabudúce.
gyro - 10.11.2007 - 12:17
Post subject:
Co ma toto vlakno s mikrotikom ?
eXplorer - 10.11.2007 - 16:11
Post subject:
gyro wrote: ›Co ma toto vlakno s mikrotikom ?


tipnem si Smile to AP na ktore sa pripajaju "pirati" bezi na Mikrotiku.

Riesenim je, ako je napisane vyssie, nasdenie RADIUS autentifikacie. Odporucal by som ho aj na "kablovu" cast siete. V pripade WIFI sa tento protokol casto oznacuje 802.11i, vseobecnejsi nazov je 802.1X (zahrna wifi aj wired). Nasadenie 802.1X v kablovej casti siete znemozni userkom zdielanie netu cez jednoduchy routrik s NATkom za par korun (windows alebo linux box samozrejme nebude mat problem).

http://en.wikipedia.org/wiki/802.1x
http://en.wikipedia.org/wiki/IEEE_802.11i

Pokial je RADIUS pre niekoho prilis zlozity treba pouzit WPA2 v PSK mode, vyuziva sa tam AES256 sifra ktora zatial nebola prekonana. Rovnake sifrovanie pouziva aj IPsec. Podla viacerych zdrojov je bezpecnost WPA2 dost porovnatelna s IPsecom. Nemylit si s WPA (teda nie WPA2), tam je bezpecnost ovela nizsia (ale vyssia ako pri WEP).
icerowicz - 10.11.2007 - 16:34
Post subject:
eXplorer wrote: ›
gyro wrote: ›Co ma toto vlakno s mikrotikom ?


tipnem si Smile to AP na ktore sa pripajaju "pirati" bezi na Mikrotiku.

Riesenim je, ako je napisane vyssie, nasdenie RADIUS autentifikacie. Odporucal by som ho aj na "kablovu" cast siete. V pripade WIFI sa tento protokol casto oznacuje 802.11i, vseobecnejsi nazov je 802.1X (zahrna wifi aj wired). Nasadenie 802.1X v kablovej casti siete znemozni userkom zdielanie netu cez jednoduchy routrik s NATkom za par korun (windows alebo linux box samozrejme nebude mat problem).

http://en.wikipedia.org/wiki/802.1x
http://en.wikipedia.org/wiki/IEEE_802.11i

Pokial je RADIUS pre niekoho prilis zlozity treba pouzit WPA2 v PSK mode, vyuziva sa tam AES256 sifra ktora zatial nebola prekonana. Rovnake sifrovanie pouziva aj IPsec. Podla viacerych zdrojov je bezpecnost WPA2 dost porovnatelna s IPsecom. Nemylit si s WPA (teda nie WPA2), tam je bezpecnost ovela nizsia (ale vyssia ako pri WEP).


pravda exlorer. Najlepsie na tom je, ze si to mozes nasadit aj ihned teraz. Staci ak zadas na acces point klienta WPA2 PSK ovislink napr. , potom prestavis vsetkych klientov a potom to nahodis na ap.
PCnity - 10.11.2007 - 21:00
Post subject:
Nebolo by lepsie zacat loggovat jeho traffic?

Zistis napr jeho username co prenasa cez HTTP. Na to je KOOOPEC nastrojov na nete. Potom hoci uz aj socengom lahko zistis kto to je Wink
eXplorer - 10.11.2007 - 23:42
Post subject:
a ked zistis jeho meno tak co ? nechcem ti brat iluzie ale odpoved je "nic" Very Happy jedine ze by si si to s piratom vybavil "rucne". Lepsia je prevencia.
airbilly - 11.11.2007 - 00:53
Post subject:
eXplorer wrote: ›a ked zistis jeho meno tak co ? nechcem ti brat iluzie ale odpoved je "nic" Very Happy jedine ze by si si to s piratom vybavil "rucne". Lepsia je prevencia.

Na SK plati asi len rucne, v kazdom smere.
Ja odsniflujem ked tak ICQ a napisem mu ze ked chce net, tak nech nas kontaktuje, zatial sa to vzdy podarilo.
PCnity - 11.11.2007 - 01:07
Post subject:
Ja nie som ISP... A ked som s ntbkom niekde vonku, vzdy sa najde nieco nezabezpecene na dosah. Wink Som pirat! Very Happy

Znami co ma wifi siet cca 100 ludi to riesi tak ze danemu teepkovi posle fakturu na cca 5000 SK s dopisom od pravnika ze ak nezaplati pojde to na sud. Z jeho kecov viem ze to je na 90% uspesne.
slonik - 25.12.2007 - 13:19
Post subject:
asi jedine co sa oplati

je sniffing - svojej siete a jeho paketov urcite nie aktivny utok ( ono dnes je uz rozbitie jeho APcka problem ak by ta predbehol na sude on)

zistit aky traffic tam ide ak HTTP a nejake SMTP a POP3 IMAP
tak to urcite logovat

casom spravi chybu logovat bezne porty ako su IM (ICQ,MSN)

zanalyzovat zistit max onom ak sa neda vyprofilovat je dobry

ak sa da vyzvat ho (zalezi co onom vies ak sa neda podobrotky normalne oznamenie na policciii na neznameho pachatela )

ak sa rad zakerne bavis a mas na to tech predpoklady (moja oblubena cast)

dat do cesty linux iptables l7 filter ipaccttd nejake scriptiky

napr rewrite HTTP pakety kde je php? na hph? dph? a pod to strasne potesi

vysledok www.skfree.sk/topic.php?id=3333
bude potom www.skfree.sk/topic.dph?id=3333 co samozrejme nieje Very Happy
a page sa neloadne asp potom www. na www- a pod Smile
potom GET http://www-url.sk zase nejde ono to dost naserie
je to malicky hack packetu ale robi to divy

dalsie super tagy su <div na nieco inee
a style=*.css na style=*.czz
a este USER_AGENT v http protokole na nieco nizsou capability idealne nieco ako IE 2.0 tento rule potom dost globale pokazi interaktiovitu stranok nieje moc viditelny ale nejde napr klikat na vela stranka na linky a pod proste zakernostiam sa mezde nekladu cim je to zaludnejsie a nenapadnejsie tym ho to prestane skor bavit

ak prejde na sifrovany prenos musi mat koniec tunnela okrem torpacku
tak mu ho bloknes je to hra na macku a mys zalezi koho to viac bavi kto stoho ma nieco
kto na to bude mat viac nervov a casu

ono je lahsie si najst ineho lusera ako sa dotahovat s niekym kto ti to stale komplikuje
zatial si na neho nevyzrel preto sa asi len smeje (clonovat MAC a IP ) je asi tak zlozite
ako zmenit meno pocitaca
rado3105 - 05.11.2008 - 13:45
Post subject:
Na sieti pouzivam MAC+IP do istej miery to funguje. Tiez rozmyslam nad nasadenim freeradiusa, kedze mi na sieti bezi ftp/samba server(gentoo-based), tak pridat tam freeradius by nemal byt problem. Chcel som sa vas spytat ako sa da najucinnejsie odchytavat v mikrotiku komunikacia(pouzivam 2.9.5 - tam to asi nepojde lebo tam nie je layer7), ale taktiez by nemal byt problem hodit ten l7 na ten linux server, len potom ako to umiestnit a ako skombinovat s tym mikrotikom? Rozmyslal som aj nad squidom, ale nan sa nazory hlavne v linux komunite roznia.
LaCosta - 05.11.2008 - 16:23
Post subject:
btw: MT sa zacina pohravat s XEN, som zvedavy ake vyuzitie pre to najdeme Smile
PCnity - 05.11.2008 - 16:26
Post subject:
Offtopic, XEN myslis vitrualizaciny hypervisor? Alebo nieco ine?
LaCosta - 05.11.2008 - 17:22
Post subject:
OT: ano hypervizor ... viac wiki mikrotik
Chalan - 05.11.2008 - 18:52
Post subject:
a co to je? Smile
LaCosta - 05.11.2008 - 22:14
Post subject:
http://wiki.mikrotik.com/wiki/Virtualization a citaj ... ale ja mam aj tak najradsej openvz Smile pouzivam uz nejaky piatok ...
Dikobraz - 06.11.2008 - 11:03
Post subject:
Radius je velmi konfortny a ho velmi odporucam. Je tam velmi vela moznosti a klient ho nevie odrbat. Daju sa aj zony nastavit, to znamena, ze klienta autentifikuje iba interface na ktorom ma byt pripojeny. Radiusom sa daju nastavit vsetky parametre sluzieb. Atd ....
mashinepistole2 - 06.11.2008 - 12:56
Post subject:
Tak tak tiez sa mi zda radius ako luxusne riesenie , funguje mi pridelenie IPciek a nastavenie simplequeue a samozrejme autentifikacia meno/heslo . Len neviem ako pridat SQ cez radreply tak ,aby bola este pod nejakou skupinou .
All times are GMT
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits