ограничаване на пирати?

[id]

Здравейте,

дайте идея как може да огранича определен мак адрес да не може да се свързва към pppoe сървъра?

PPPOE сървъра е вдигнат на микротик , а за аутентификация използвам Radius Manager (в радиуса няма такава функция )

Проблема е , че като забравя да "вържа" някой акаунт с MAC , веднага се намира някой ХИТРЕЦ да открадне този акаунт.

Пробвах да маркитам пакетите от този мак и после с филтъра да ги дропя , но не става.

Благодаря предварително!

[Mupo neTkoB]

защо не си сегментирал мрежата и да го изключиш "хакера" да няма интернет 3-4-5 дни поради "технически причини" и ще се научи че се плаща.

[id]

Абе за сега съм точно на този вариант , ама "хакери" колко щеш (студенти без работа) , за това си мислих дали няма вариант през сървъра да ги дропя.

Не че не може да си смени и мака , ама поне ще пресея много от "хакаерите" .....

[Networker]

Проблема е , че като забравя да "вържа" някой акаунт с MAC , веднага се намира някой ХИТРЕЦ да открадне този акаунт.

Пробвах да маркитам пакетите от този мак и после с филтъра да ги дропя , но не става.

Благодаря предварително!

Каква автентификация ползваш, PAP или Chap?

[id]

Използвам PAP .

Логиката на потребителското име и паролата е елементарна и те рзачитат на това някой акаунт да не е вързан по мак .

На принцип проба-грешка откриват къде е "дупката".

[Networker]

Въпроса е че при PAP user+pass пътуват практически незащитетни и който иска може да си снифва, пробвай да минеш на chap и няма да ти се налага mac защита.

Също ако са по кабел, замисли се за някаква сегментация или разделяне да не се виждат по портовете - съвсем ще им е трудно да гадят за user+pass без необходимите за това кристално кълбо и гледач

Редактирано 12 Март, 2012 от Networker

[Mile]

Логиката на потребителското име и паролата е елементарна и те рзачитат на това някой акаунт да не е вързан по мак .

На принцип проба-грешка откриват къде е "дупката".

То па като е вързан.... че не могат да го сменят за 3 сек.

[111111]

Какви са тея PAP и CHAP да не сме в началото на 90-те

[kokaracha]

CHAP си е е напълно достатъчен в комбинация с брой едновременни сесий,дали сме в 90-те или сега проблема си остава и решението му не е в рестриктций,протоколи и портове а в задклавиатурното устройство.

[id]

Мрежата е доста добре сегментирана. На повечето места е порт базиран VLAN чак до сървъра , но не всички суичове са от най умните и не мога всеки път да виждам даден мак точно от кой порт на кой суич идва.

От скоро ползвам PPPOE и в началото уж за тест започнахме да раздаваме име и парола , които са същите като номера на стята в която е потребителя. Идеята беше основната защита да е по мак . Но както всяко временно нещо тази практика с юзъра и паролата остана постоянна. Всеки зне на другия името и паролата / много глупво , но факт който скоро ще оправя/

без да се налага да ползва снифер.

Това че PAP не е криптирана го занм , но и то остана поредното постоянно временно нещо.

Общо взето вече знам как НЕ трябва да се прави !

Та темата беше дали някой знае как мога да филтрирам тези МАКова , докато направя нещата като хората.

[111111]

там трябва да помагат или суичовете

или да ползваш Caller-ID (демек мак адреса)

или да опишеш всичко и да ползваш скрипт който да дропи

[Mile]

Та темата беше дали някой знае как мога да филтрирам тези МАКова , докато направя нещата като хората.

ми сложи един умен свич точно преди ppp server-a и на него правилата за l2. евтино и бързо

[ushoplias]

Като бяхме на PPPOE, ползвах радиус със mysql и тази заявка:

		authorize_check_query = "SELECT uid,id,'Password',passwd,'==' \

		   FROM ${authcheck_table} \

		   WHERE id LIKE '%{SQL-User-Name}' AND mac='%{Calling-Station-Id}'

[byte]

Аз до колкото видях човека иска да резне даден мак адрес да не се връзва, без значение потребителското име.

На Миле метода е най-удачен

[ushoplias]

Аааааа, аха.

Най-тъпото, което се сещам:

вкарваш интерфейса в бридж, местиш ПППОЕ сървъра на бриджа и можеш да дропиш макове от филтъра на бриджа.