Jump to content
  • 0

DHCP Server защита от кражба на НЕТ.


Тодор Лазаров

Въпрос

Един колега се оплаква че му крадат от НЕТА.

Топологията му беше следната:

DHCP server с раздаване на динамични адреси. /само това/

Сложих му микротик:

- пуснах му DHCP server с радиус оторизация към UserManager-a

/ ip dhcp-server set dhcp1 use-radius=yes

/ radius add service=dhcp address=y.y.y.y secret=123456

/ tool user-manager customer add login="MikroTik" password="******" permissions=owner

/ tool user-manager router add subscriber=MikroTik ip-address=x.x.x.x shared-secret=123456

/ tool user-manager user add add subscriber=MikroTik username="00:01:29:27:81:95" ip-address=192.168.100.

...

...

и така му описах MAC адресите.

това е описано и тук:

http://wiki.mikrotik.com/wiki/User_Manager/DHCP_Example

Въпроса ми е следния. Какво още може да се направи.

Защото пак си остава въпроса че ако някой статично си сложи IP от  

адресната област на DHCP-to пак ще има NET.

Адрес на коментара
Сподели в други сайтове

  • Отговори 34
  • Created
  • Последен отговор

Top Posters For This Question

  • Тодор Лазаров

    11

  • SS7

    4

  • insertoff

    4

  • Stilyan

    3

Recommended Posts

  • 0

Възможно ли е следното да се направи.

Само дадените от DHCP-Server-a адреси да се добавят в една адрес листа, която после само тя да се маскира.

т.е. да се следи какво се раздава от DHCP-Server-a като адресно пространство.

Адрес на коментара
Сподели в други сайтове

  • 0

защо не пуснеш пппое сървар или пак смени гейта да не е 1 ница а например да е 33

Аз му предложих PPPOE или PPTP но човека неще да се занимава с ограмотяване на клиентите ...

А смяната на gateway едва ли ще помогне много.

Адрес на коментара
Сподели в други сайтове

  • 0

Сложи ги тези макове в ARP таблицата,като статични и махни ARP отметката на картата на която се закачват и ще стане работата

Аз нямам проблем с MAC адресите, те пак са статични. Радиуса на микротика ги раздава, те са описани в UserManager-a на микротика.

Това мисля, че е по-добрия начин защото взимането на ip-address става като процедурата минава през shared-secret която микротика  

предава на радиуса.

Проблема е че ако някои си сложи статичен адрес ще мине.

Макар че в маскарада съм сложил само областа от адреси който DHCP-то раздава, но ако някои си сложи адрес от тази област ще има НЕТ.

т.е. какво да кажа на микротика, че да не могат да си слагат адреси от областта която DHCP-то ще раздава.

Адрес на коментара
Сподели в други сайтове

  • 0

еми ако те разбирам правилно просто направи защита по мак адреси смисъл всяко ип да работи с определен мак

но по сигурно е с pppoe

Адрес на коментара
Сподели в други сайтове

  • 0
  • Собственик

Най-лесния и най-сигурен вариант според мен е  хот-спот с ауторизация  по-мак адрес.

Няма начин да крадат . отделно, освен ауторизация по мак , може да сложи и ауторизация с име и парола (например за почасово плащане) . А може и само ауторизация с име и парола . Няма нужда да се обучават клиентите  , както за пппое.

Освен това могат са се опишат винаги достъпни адреси, например ипей (за плащане)

Пробвано е. Работи без проблеми. За съжаление не го ползваме, защото през почти всички микротици минава транзитен трафик.

Единственото изискване е микротика (интерфейса дето са клиентите) да не е транзитен рутер. В тоя случай не става.

п.с.

Предполагм повечето колеги знаят, че е много полезно ДХЦП-то да раздава маска /32 :)

Адрес на коментара
Сподели в други сайтове

  • 0

Най-лесния и най-сигурен вариант според мен е  хот-спот с ауторизация  по-мак адрес.

Няма начин да крадат . отделно, освен ауторизация по мак , може да сложи и ауторизация с име и парола (например за почасово плащане) . А може и само ауторизация с име и парола . Няма нужда да се обучават клиентите  , както за пппое.

Освен това могат са се опишат винаги достъпни адреси, например ипей (за плащане)

Пробвано е. Работи без проблеми. За съжаление не го ползваме, защото през почти всички микротици минава транзитен трафик.

Единственото изискване е микротика (интерфейса дето са клиентите) да не е транзитен рутер. В тоя случай не става.

п.с.

Предполагм повечето колеги знаят, че е много полезно ДХЦП-то да раздава маска /32 :)

Това и на мен ми доиде като идея. но може ли да го разпишеш с команди ... набързо. Хотспот съм вдигал но самата интеграция с MAC адрес.

Същото е интересно за раздаване на адреси с маска /32.

Мисля че и 2 идей са много качествени. SS7 си ги разбира работите.

форума май набира скорост, дай боже. Както върви догодина и едно събиране може да се направи на живо. Помня linux фестовете преди години ... голям купон стана ... Идеи, запознаства, бира и etc

Адрес на коментара
Сподели в други сайтове

  • 0

И с HotSpot пак се "краде" нет. Сканирам мрежата за MAC/IP, поставям си някои от намерените MAC/IP и ако човечеца вече се е логнал в HotSpot-a и аз имам нет.

Адрес на коментара
Сподели в други сайтове

  • 0

И с HotSpot пак се "краде" нет. Сканирам мрежата за MAC/IP, поставям си някои от намерените MAC/IP и ако човечеца вече се е логнал в HotSpot-a и аз имам нет.

А не може ли да му дадеш:

/ip hotspot set hotspot1 addresses-per-mac=1

addresses-per-mac (integer; default: 2) - maximal amount of IP addresses assigned to one MAC address

https://routerboard.com/testdocs/ros/2.8/ip/universal_content.php

Адрес на коментара
Сподели в други сайтове

  • 0

Дори и с опция "един адрес на един мак" микротика ще ми даде същото IP, ако си сменя мак адреса с някой от на вече логналите се в хотспота. Конкуренцията ми работи по такъв начин - като закъсам за нет и съм с лаптопа ползвам от техния :)

Адрес на коментара
Сподели в други сайтове

  • 0
  • Собственик

Уф, за това не бях се сетил. Ама тук от н стотин клиента само един може да си сменя мак адреса . А нашата зашита е елементарна, на непознатите макове ДХЦП-то раздава неработещи адреси (пренасочени към станица за непозволен достъп)

А радиото дори не го защитаваме.

Обикновено се опитват да крадат спрени поради неплащане клиенти. При първия опит веднага се слага управляем комутатор и се спира от порта.

Като се размисля, май е най-добре управлението на достъпа и защитите да се правят на layer 2, чрез връзване на мак-порт и спиране на порта. По скъпо, ама ще спестява много ядове , ако клиентите са разбирачи.

Дори и с опция "един адрес на един мак" микротика ще ми даде същото IP, ако си сменя мак адреса с някой от на вече логналите се в хотспота. Конкуренцията ми работи по такъв начин - като закъсам за нет и съм с лаптопа ползвам от техния :)
Адрес на коментара
Сподели в други сайтове

  • 0

Уф, за това не бях се сетил. Ама тук от н стотин клиента само един може да си сменя мак адреса . А нашата зашита е елементарна, на непознатите макове ДХЦП-то раздава неработещи адреси (пренасочени към станица за непозволен достъп)

добре как го реализираш.

как да разбера непознатите макове ...

т.е. как да кажа на ДХЦП-то това е непознат мак ... дай му едикво си.

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.

×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.