DHCP Server защита от кражба на НЕТ.

[Тодор Лазаров]

Един колега се оплаква че му крадат от НЕТА.

Топологията му беше следната:

DHCP server с раздаване на динамични адреси. /само това/

Сложих му микротик:

- пуснах му DHCP server с радиус оторизация към UserManager-a

/ ip dhcp-server set dhcp1 use-radius=yes

/ radius add service=dhcp address=y.y.y.y secret=123456

/ tool user-manager customer add login="MikroTik" password="******" permissions=owner

/ tool user-manager router add subscriber=MikroTik ip-address=x.x.x.x shared-secret=123456

/ tool user-manager user add add subscriber=MikroTik username="00:01:29:27:81:95" ip-address=192.168.100.

...

...

и така му описах MAC адресите.

това е описано и тук:

http://wiki.mikrotik.com/wiki/User_Manager/DHCP_Example

Въпроса ми е следния. Какво още може да се направи.

Защото пак си остава въпроса че ако някой статично си сложи IP от  

адресната област на DHCP-to пак ще има NET.

[Stilyan]

Предполагам SS7 ползва "static DHCP", за да даде определено IP на определен MAC адрес. За непознатите MAC адреси може би има друг DHCP сървър (или DHCP Pool - списък с IP адреси), който раздава нерутирани адреси.

[SS7]

Точно така . Има ДХЦП пул със забранени адреси , например 10.10.10.0/24 . При пускането на нов клиент той взема от тези адреси и няма нет. След това записа за този клиент се прави статичен и му се слага работещ ИП адрес. По този начин , ако някой хитрее и си сменя мак адреса - получава неработещ адрес и няма нет. Това обаче не предпазва срещу въвеждане на статичен адрес от клиента.

Но най доброто е спиране директно от порта на комутатора ( е няма начин да краде) , и заключване МАК-порт ) против смяна на мак адрес . Лека полека вървим в тая посока - т.е. към управляеми комутатори.

При техническата грамотност на нашите клиенти, въвеждането на ПППоЕ е равно на самоубииство (бърз фалит)

[Тодор Лазаров]

  Цитат

Точно така . Има ДХЦП пул със забранени адреси , например 10.10.10.0/24 . При пускането на нов клиент той взема от тези адреси и няма нет. След това записа за този клиент се прави статичен и му се слага работещ ИП адрес. По този начин , ако някой хитрее и си сменя мак адреса - получава неработещ адрес и няма нет. Това обаче не предпазва срещу въвеждане на статичен адрес от клиента.

Значи доколкото разбрах.

Имаш един DHCP който първоначално раздава адреси в областа: 10.10.10.0/24. До тук е ясно, но не мога да разбера това: След това записа за този клиент се прави статичен и му се слага работещ ИП адрес

т.е. как го правиш нали това се прави на микротик.

[insertoff]

  Цитат

При техническата грамотност на нашите клиенти, въвеждането на ПППоЕ е равно на самоубииство (бърз фалит)

PPP-то е идеален вариант за управление на клиенти - пускания, спирания и изобщо цяла акаунтинг система, има много варианти базирани на radius+mysql.Преминаването не е толкова фатално, направих го преди 3 години и не съжалявам, родих се...Свърши се с издирването на новоизлюпени хакерчета и с опити за кражби.

Но PPP-tata имат един сериозен недостатък - по-ниската производителност.Така при по голям брой клиенти и при възможност да им се пусне по-голям трафик - напр 5-10 мбита , натоварват страшно много микротиците и те почват да работят на макс.

Не е толкова фатално незнанието на клиентите- има хиляди начини - напр. една програма чието пускане прави dial-upа.

Правилно SS7 се е насочил към управляемите суичове.

Но там все още не съм намерил начин да вържа нещата с акаунтинга.

[Тодор Лазаров]

  Цитат

PPP-то е идеален вариант за управление на клиенти - пускания, спирания и изобщо цяла акаунтинг система, има много варианти базирани на radius+mysql.Преминаването не е толкова фатално, направих го преди 3 години и не съжалявам, родих се...Свърши се с издирването на новоизлюпени хакерчета и с опити за кражби.

Но PPP-tata имат един сериозен недостатък - по-ниската производителност.Така при по голям брой клиенти и при възможност да им се пусне по-голям трафик - напр 5-10 мбита , натоварват страшно много микротиците и те почват да работят на макс.

Не е толкова фатално незнанието на клиентите- има хиляди начини - напр. една програма чието пускане прави dial-upа.

Правилно SS7 се е насочил към управляемите суичове.

Но там все още не съм намерил начин да вържа нещата с акаунтинга.

Каква е тази програмка. Търся нещо елементарно. МС$ на клиентите ми се вижда сложно.

И аз сам за PPPOE или PPTP в мойта мрежа е така.

Но както казан по-отгоре на този който му го правя не му се занимава с ограмотяване на клиентите.

[SS7]

Ето картинка :

  Цитат

Значи доколкото разбрах.

Имаш един DHCP който първоначално раздава адреси в областа: 10.10.10.0/24. До тук е ясно, но не мога да разбера това: След това записа за този клиент се прави статичен и му се слага работещ ИП адрес

т.е. как го правиш нали това се прави на микротик.

[ivan]

Здравейте нов съм в форума.Преди седмица се справих с проблема за кражба на нет-а.Също и аз раздавам ип-тата с ДХЦП-то като след това ръчно си добавям ип-то и мак-а в арп таблицата и работата заспива и после в лан интерфейса в полето АРП му  слагам reply-only и с това всичко влиза в сила свеки от клиентите има нет с ип-то което му е на лан-аи все пак SS7 е прав за клиентите че 1 на 100 могат да си сменят мак-а пък и това да стане този с реалниа мак ще изписка и другия ще бъде хванат у може би изключен завинаги от мрежата дано да съм бил полезен

Поздрави!  

[nikola diviziev]

Здравейте.

Според мен връзването на ИП и МАК не е изобщо сигурна работа .

Всяко хлапе знае как да си смени МАК адреса ! А за кражбата на нет е много лесна !

Аз много се лутах и стигнах до  две решения :

(1) управляеми комутатори  по цялата мрежа - скъпо и трудно за управление

(2) Билинг система с клиенска програмка - нашето спасение .

.ехе-то е еднакво за всеки клиент (слагаш го на ФТП и си го теглят). В тази програмка се въвежда  user и pass които трябва да са същите които съм вавел в servera (FreeBSD+Billing system) .

Аз нямам DHCP но и с него става !

Така за да крадат нет  освен ИП траа да знае и user и pass на клиента чието ИП е замъкнал .

Така се спират кражби на нет и поставяне на router при клиента (ТТЛ=1 знаете лесно се преодолява).

[Тодор Лазаров]

  Цитат

Здравейте.

Според мен връзването на ИП и МАК не е изобщо сигурна работа .

Всяко хлапе знае как да си смени МАК адреса ! А за кражбата на нет е много лесна !

Аз много се лутах и стигнах до  две решения :

(1) управляеми комутатори  по цялата мрежа - скъпо и трудно за управление

(2) Билинг система с клиенска програмка - нашето спасение .

.ехе-то е еднакво за всеки клиент (слагаш го на ФТП и си го теглят). В тази програмка се въвежда  user и pass които трябва да са същите които съм вавел в servera (FreeBSD+Billing system) .

Аз нямам DHCP но и с него става !

Така за да крадат нет  освен ИП траа да знае и user и pass на клиента чието ИП е замъкнал .

Така се спират кражби на нет и поставяне на router при клиента (ТТЛ=1 знаете лесно се преодолява).

Дай малко инфо за тази система

[nikola diviziev]

Ами системата работи под FreeBSD OS ,потдържа - реални ИП адреси , мери както по  трафик така и по скорост а и заедно ,има много гъвкав администраторски УЕБ интерфейс които има права на достъп ,води отчет на финансите  и вече 1 година работи безотказно при мен!

Повече инфо тук: http://nodeny.com.ua/

[111111]

при мен има hotspot mac login

dhcp + radius

radius отметката се свързва с локалния радиус а тои с никаде

т.е. получават по dhcp само тези които имат бинднат мак в leases листа

за тези опитващи със статично хотспота предлага страница за логин

че и тест период от 30 секунди и втори опит след седмица

решението с софт за логин подобно на един софииски доставчик

не върши работа под неджам системи

много ще ми е интересно на МТ как ще стане примерно

[Гост]

  Цитат

WPA криптиране...

Не че всяка система няма начин как да се хакне, но става по трудно.

Т'ва е само за безжичните, нали? Мен ме интересува за жични и смятам HotSpot за решението, то работи и по кабел, нали?  

[111111]

абсолютно за всяка преносна медия става

[Ivo]

  Цитат

PPP-то е идеален вариант за управление на клиенти - пускания, спирания и изобщо цяла акаунтинг система, има много варианти базирани на radius+mysql.Преминаването не е толкова фатално, направих го преди 3 години и не съжалявам, родих се...Свърши се с издирването на новоизлюпени хакерчета и с опити за кражби.

Но PPP-tata имат един сериозен недостатък - по-ниската производителност.Така при по голям брой клиенти и при възможност да им се пусне по-голям трафик - напр 5-10 мбита , натоварват страшно много микротиците и те почват да работят на макс.

Не е толкова фатално незнанието на клиентите- има хиляди начини - напр. една програма чието пускане прави dial-upа.

Правилно SS7 се е насочил към управляемите суичове.

Но там все още не съм намерил начин да вържа нещата с акаунтинга.

Един пример за "идеалния вариант PPPOE":

1. аз съм клиент в твоята мрежа и не ми се плащат такси за интернет;

2. пускам си в къщи един PPPOE сървър със същия сървис нейм като твоя;

3. в един хубав момент мрежата някъде се чупи, и клиентите не могат да достигнат твоя PPPOE сървър.

Въпрос: Къде се ауторизират?  ---> Отговор: На моя сървър.

Вече ще имам N на брой user name's, passwords, МАС и IP адреси няма да ми се налага да плащам такси за интернет.

[Mile]

Да Ivo е прав. PPP не е пенкилер и не лекува всичко. При комбинация сегментирана мрежа + ппп става доста по-трудно. Тогава ще видиш гейта + да кажем 15 клиента или 23 на switch-a, a Ако е от умните може и само гейта да видиш. Естествено това е най-скъпия начин и рядко се практикува, но цените падат