Тодор Лазаров Публикувано 18 Май, 2008 Доклад Сподели Публикувано 18 Май, 2008 Един колега се оплаква че му крадат от НЕТА. Топологията му беше следната: DHCP server с раздаване на динамични адреси. /само това/ Сложих му микротик: - пуснах му DHCP server с радиус оторизация към UserManager-a / ip dhcp-server set dhcp1 use-radius=yes / radius add service=dhcp address=y.y.y.y secret=123456 / tool user-manager customer add login="MikroTik" password="******" permissions=owner / tool user-manager router add subscriber=MikroTik ip-address=x.x.x.x shared-secret=123456 / tool user-manager user add add subscriber=MikroTik username="00:01:29:27:81:95" ip-address=192.168.100. ... ... и така му описах MAC адресите. това е описано и тук: http://wiki.mikrotik.com/wiki/User_Manager/DHCP_Example Въпроса ми е следния. Какво още може да се направи. Защото пак си остава въпроса че ако някой статично си сложи IP от адресната област на DHCP-to пак ще има NET. Адрес на коментара Сподели в други сайтове More sharing options...
0 Тодор Лазаров Отговорено 18 Май, 2008 Автор Доклад Сподели Отговорено 18 Май, 2008 Възможно ли е следното да се направи. Само дадените от DHCP-Server-a адреси да се добавят в една адрес листа, която после само тя да се маскира. т.е. да се следи какво се раздава от DHCP-Server-a като адресно пространство. Адрес на коментара Сподели в други сайтове More sharing options...
0 stevebg Отговорено 18 Май, 2008 Доклад Сподели Отговорено 18 Май, 2008 защо не пуснеш пппое сървар или пак смени гейта да не е 1 ница а например да е 33 Адрес на коментара Сподели в други сайтове More sharing options...
0 Тодор Лазаров Отговорено 19 Май, 2008 Автор Доклад Сподели Отговорено 19 Май, 2008 защо не пуснеш пппое сървар или пак смени гейта да не е 1 ница а например да е 33 Аз му предложих PPPOE или PPTP но човека неще да се занимава с ограмотяване на клиентите ... А смяната на gateway едва ли ще помогне много. Адрес на коментара Сподели в други сайтове More sharing options...
0 krasi Отговорено 19 Май, 2008 Доклад Сподели Отговорено 19 Май, 2008 Сложи ги тези макове в ARP таблицата,като статични и махни ARP отметката на картата на която се закачват и ще стане работата Адрес на коментара Сподели в други сайтове More sharing options...
0 Тодор Лазаров Отговорено 19 Май, 2008 Автор Доклад Сподели Отговорено 19 Май, 2008 Сложи ги тези макове в ARP таблицата,като статични и махни ARP отметката на картата на която се закачват и ще стане работата Аз нямам проблем с MAC адресите, те пак са статични. Радиуса на микротика ги раздава, те са описани в UserManager-a на микротика. Това мисля, че е по-добрия начин защото взимането на ip-address става като процедурата минава през shared-secret която микротика предава на радиуса. Проблема е че ако някои си сложи статичен адрес ще мине. Макар че в маскарада съм сложил само областа от адреси който DHCP-то раздава, но ако някои си сложи адрес от тази област ще има НЕТ. т.е. какво да кажа на микротика, че да не могат да си слагат адреси от областта която DHCP-то ще раздава. Адрес на коментара Сподели в други сайтове More sharing options...
0 Lacho Отговорено 19 Май, 2008 Доклад Сподели Отговорено 19 Май, 2008 еми ако те разбирам правилно просто направи защита по мак адреси смисъл всяко ип да работи с определен мак но по сигурно е с pppoe Live Free Or Die !!! http://www.etropole.net/ http://www.allfn.com/ Адрес на коментара Сподели в други сайтове More sharing options...
0 Собственик SS7 Отговорено 21 Май, 2008 Собственик Доклад Сподели Отговорено 21 Май, 2008 Най-лесния и най-сигурен вариант според мен е хот-спот с ауторизация по-мак адрес. Няма начин да крадат . отделно, освен ауторизация по мак , може да сложи и ауторизация с име и парола (например за почасово плащане) . А може и само ауторизация с име и парола . Няма нужда да се обучават клиентите , както за пппое. Освен това могат са се опишат винаги достъпни адреси, например ипей (за плащане) Пробвано е. Работи без проблеми. За съжаление не го ползваме, защото през почти всички микротици минава транзитен трафик. Единственото изискване е микротика (интерфейса дето са клиентите) да не е транзитен рутер. В тоя случай не става. п.с. Предполагм повечето колеги знаят, че е много полезно ДХЦП-то да раздава маска /32 Адрес на коментара Сподели в други сайтове More sharing options...
0 Тодор Лазаров Отговорено 21 Май, 2008 Автор Доклад Сподели Отговорено 21 Май, 2008 Най-лесния и най-сигурен вариант според мен е хот-спот с ауторизация по-мак адрес. Няма начин да крадат . отделно, освен ауторизация по мак , може да сложи и ауторизация с име и парола (например за почасово плащане) . А може и само ауторизация с име и парола . Няма нужда да се обучават клиентите , както за пппое. Освен това могат са се опишат винаги достъпни адреси, например ипей (за плащане) Пробвано е. Работи без проблеми. За съжаление не го ползваме, защото през почти всички микротици минава транзитен трафик. Единственото изискване е микротика (интерфейса дето са клиентите) да не е транзитен рутер. В тоя случай не става. п.с. Предполагм повечето колеги знаят, че е много полезно ДХЦП-то да раздава маска /32 Това и на мен ми доиде като идея. но може ли да го разпишеш с команди ... набързо. Хотспот съм вдигал но самата интеграция с MAC адрес. Същото е интересно за раздаване на адреси с маска /32. Мисля че и 2 идей са много качествени. SS7 си ги разбира работите. форума май набира скорост, дай боже. Както върви догодина и едно събиране може да се направи на живо. Помня linux фестовете преди години ... голям купон стана ... Идеи, запознаства, бира и etc Адрес на коментара Сподели в други сайтове More sharing options...
0 Stilyan Отговорено 21 Май, 2008 Доклад Сподели Отговорено 21 Май, 2008 И с HotSpot пак се "краде" нет. Сканирам мрежата за MAC/IP, поставям си някои от намерените MAC/IP и ако човечеца вече се е логнал в HotSpot-a и аз имам нет. Адрес на коментара Сподели в други сайтове More sharing options...
0 Тодор Лазаров Отговорено 21 Май, 2008 Автор Доклад Сподели Отговорено 21 Май, 2008 И с HotSpot пак се "краде" нет. Сканирам мрежата за MAC/IP, поставям си някои от намерените MAC/IP и ако човечеца вече се е логнал в HotSpot-a и аз имам нет. А не може ли да му дадеш: /ip hotspot set hotspot1 addresses-per-mac=1 addresses-per-mac (integer; default: 2) - maximal amount of IP addresses assigned to one MAC address https://routerboard.com/testdocs/ros/2.8/ip/universal_content.php Адрес на коментара Сподели в други сайтове More sharing options...
0 Stilyan Отговорено 21 Май, 2008 Доклад Сподели Отговорено 21 Май, 2008 Дори и с опция "един адрес на един мак" микротика ще ми даде същото IP, ако си сменя мак адреса с някой от на вече логналите се в хотспота. Конкуренцията ми работи по такъв начин - като закъсам за нет и съм с лаптопа ползвам от техния Адрес на коментара Сподели в други сайтове More sharing options...
0 Тодор Лазаров Отговорено 21 Май, 2008 Автор Доклад Сподели Отговорено 21 Май, 2008 добре тогава какво е решението ако не се използва PPPOE или PPTP Адрес на коментара Сподели в други сайтове More sharing options...
0 insertoff Отговорено 21 Май, 2008 Доклад Сподели Отговорено 21 Май, 2008 WPA криптиране... Не че всяка система няма начин как да се хакне, но става по трудно. Адрес на коментара Сподели в други сайтове More sharing options...
0 Собственик SS7 Отговорено 21 Май, 2008 Собственик Доклад Сподели Отговорено 21 Май, 2008 Уф, за това не бях се сетил. Ама тук от н стотин клиента само един може да си сменя мак адреса . А нашата зашита е елементарна, на непознатите макове ДХЦП-то раздава неработещи адреси (пренасочени към станица за непозволен достъп) А радиото дори не го защитаваме. Обикновено се опитват да крадат спрени поради неплащане клиенти. При първия опит веднага се слага управляем комутатор и се спира от порта. Като се размисля, май е най-добре управлението на достъпа и защитите да се правят на layer 2, чрез връзване на мак-порт и спиране на порта. По скъпо, ама ще спестява много ядове , ако клиентите са разбирачи. Дори и с опция "един адрес на един мак" микротика ще ми даде същото IP, ако си сменя мак адреса с някой от на вече логналите се в хотспота. Конкуренцията ми работи по такъв начин - като закъсам за нет и съм с лаптопа ползвам от техния Адрес на коментара Сподели в други сайтове More sharing options...
0 Тодор Лазаров Отговорено 21 Май, 2008 Автор Доклад Сподели Отговорено 21 Май, 2008 Уф, за това не бях се сетил. Ама тук от н стотин клиента само един може да си сменя мак адреса . А нашата зашита е елементарна, на непознатите макове ДХЦП-то раздава неработещи адреси (пренасочени към станица за непозволен достъп) добре как го реализираш. как да разбера непознатите макове ... т.е. как да кажа на ДХЦП-то това е непознат мак ... дай му едикво си. Адрес на коментара Сподели в други сайтове More sharing options...
Въпрос
Тодор Лазаров
Един колега се оплаква че му крадат от НЕТА.
Топологията му беше следната:
DHCP server с раздаване на динамични адреси. /само това/
Сложих му микротик:
- пуснах му DHCP server с радиус оторизация към UserManager-a
/ ip dhcp-server set dhcp1 use-radius=yes
/ radius add service=dhcp address=y.y.y.y secret=123456
/ tool user-manager customer add login="MikroTik" password="******" permissions=owner
/ tool user-manager router add subscriber=MikroTik ip-address=x.x.x.x shared-secret=123456
/ tool user-manager user add add subscriber=MikroTik username="00:01:29:27:81:95" ip-address=192.168.100.
...
...
и така му описах MAC адресите.
това е описано и тук:
http://wiki.mikrotik.com/wiki/User_Manager/DHCP_Example
Въпроса ми е следния. Какво още може да се направи.
Защото пак си остава въпроса че ако някой статично си сложи IP от
адресната област на DHCP-to пак ще има NET.
Адрес на коментара
Сподели в други сайтове
Top Posters For This Question
11
4
4
3
Popular Days
21 Май
10
22 Май
5
19 Май
4
12 Дек
3
Top Posters For This Question
Тодор Лазаров 11 posts
SS7 4 posts
insertoff 4 posts
Stilyan 3 posts
Popular Days
21 Май 2008
10 posts
22 Май 2008
5 posts
19 Май 2008
4 posts
12 Дек 2008
3 posts
34 отговори на този въпрос
Recommended Posts
Създайте нов акаунт или се впишете, за да коментирате
За да коментирате, трябва да имате регистрация
Създайте акаунт
Присъединете се към нашата общност. Регистрацията става бързо!
Регистрация на нов акаунтВход
Имате акаунт? Впишете се оттук.
Вписване