Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Dr.Who 29. 04. 2015, 12:11:26
-
Ahoj,
mam MK kde bezi hotspot. Jenomze se mi stava, ze si uzivatele clonuji MAC adresy a sdili svoje username/passwd. Je nejaka moznost jak znemoznit clonovani nebo jak jim aspon stizit obejiti MAC, username / passwd kontroly?
-
Princip je takovy, ze si do site uzivatel pripoji router. Za routerem provede uzivatel autorizaci a pak se muzou vsichni vesele pripojovat pod NATem
-
NAT se da detekovat. klonovani MAC ne zabranit neda/
-
NAT se da detekovat. klonovani MAC ne zabranit neda/
Muzes to prosim popsat nejak blize?
-
A proč by si uživatel nemohl naklonovat adresu? Věřím tomu, že strávíš spoustu času hledáním řešení, které stejně nikdy nebude 100% účinné..
-
co mě napadá tak minimálně udělat static ARP a svázat MAC ke konkrétní IP, ale v případě, že správnou kombinaci nasadí i 'klient' klonování se nepůjde ubránit, jedině detekovat NAT podle TTL? nejspíše a na to nasadit nějaké firewal pravidlo
-
to s tim TTL .... je asi zatim "nejzivejsi"
Akorat nevim jak teda rict ktera TTL je pro detekci nejschudnejsi :/
Protoze kazdej server ji ma podle pingu jinou.
-
A proč ten hotspot normálně nezrušíš?
-
Kdyz si nekdo koupi internet konektivity, tak si muze klidne zapojit router a pod nej 50 pocitacu (svych, ne souseda).
Kdyby se poskytovatel branil, tak jdu k jinemu.
TTL muze router upravovat taky, takze to jen o neco ztizis. Dale se muze router pripojit pres VPN nekam jinam a s tim uz neudelas vubec nic a ani to nepoznas.
Taky muzes delat nocni prepadovky a fyzicky u uzivatele spocitat pocitace.
-
to s tim TTL .... je asi zatim "nejzivejsi"
Akorat nevim jak teda rict ktera TTL je pro detekci nejschudnejsi :/
Protoze kazdej server ji ma podle pingu jinou.
Ptákovina s TTL se obvykle používá tak, že na tom hotspotu nastavíš paketům odcházejícím ke klientům pomocí /ip/firewall/mangle change TTL na hodnotu 1. Přímo připojený počítač to zpracuje a přijme. Navíc vložený router do cesty paket s TTL=1 už zlikviduje a nepustí dál.
Funguje to samozřejmě do okmažiku, než si toho dotyčný všimne a na svém "pirátském routeru" použije stejnou funkci pro navýšení hodnoty TTL v prerouting. :-)
-
mozna chypu potrebu proc tomu zabranit....hotspot je preci 'vetsinou' verejny bod a poskytuje se pro docasne pripojeni a ne permanentni spojeni kdy si tam nekdo povesi router
tu detekci bych provadel asi linuxovou stanici, protoze tam dokazes videt na tom jednom spiji pekne rozdilna ID co bude jasna identifikace, ze je tam vice stroju
na mikrotiku bude potreba napsat nejakej script, protoze standardni cestou jde jen manglovat pakety na parametr TTl (is equal, is greater, is lower, etc) a k tomu se pak vytvori action.
-
Ptákovina s TTL se obvykle používá tak, že na tom hotspotu nastavíš paketům odcházejícím ke klientům pomocí /ip/firewall/mangle change TTL na hodnotu 1. Přímo připojený počítač to zpracuje a přijme. Navíc vložený router do cesty paket s TTL=1 už zlikviduje a nepustí dál.
Funguje to samozřejmě do okmažiku, než si toho dotyčný všimne a na svém "pirátském routeru" použije stejnou funkci pro navýšení hodnoty TTL v prerouting. :-)
presne tak...touto technikou nezjistujes NAT v ceste, ale rovnou likvidujes :_)
- jedna technika je NAT zjistovat
- druha pak NAT znemoznovat
-
Dekuju za tip :)
Tak uz na kazdem hostu konci TTL=1 tak pokud by tam sedel router tak hostu doje TTL=expired :D
Podle MAC adres co sem nasel jde o TP-linky a ty snad nemaji moznost zmeny TTL
-
mozna chypu potrebu proc tomu zabranit....hotspot je preci 'vetsinou' verejny bod a poskytuje se pro docasne pripojeni a ne permanentni spojeni kdy si tam nekdo povesi
Je lepší trvalý uživatel, co tahá pár webových stránek a emailů ze svých pár zařízení, nebo uživatel, který sice žádný nat nedává, připojuje se jen jedním zařízením - ale zato má premium na uloz.to či jede torrenty? Podle toho, že OP poskytuje login a heslo každému uživateli zvlášť soudím, že to je spíš nějaká síť pro stálejší provoz (třeba připojení na ubytovacím zařízení), než wifi v kavárně. Tohle čistě hádám podle toho, co za sítě jsem viděl...
Každopádně ale otázka pro Dr.Who: jak to je když si chci třeba na tu síť připojit notebook i smartphone? Nenutí uživatele k používání natu právě nějaké takovéto omezení?
-
Dekuju za tip :)
Tak uz na kazdem hostu konci TTL=1 tak pokud by tam sedel router tak hostu doje TTL=expired :D
Podle MAC adres co sem nasel jde o TP-linky a ty snad nemaji moznost zmeny TTL
Na hodne TP-linkach jde nahrat OpenWRT, ale samozrejme to neda kazdy (router/uzivatel)
-
Dekuju za tip :)
Tak uz na kazdem hostu konci TTL=1 tak pokud by tam sedel router tak hostu doje TTL=expired :D
Podle MAC adres co sem nasel jde o TP-linky a ty snad nemaji moznost zmeny TTL
Dalsi naivista ... tvle bud neco provozuju proto, ze chci aby se moj pripojit kdokoli, a pak je mi jedno kdo se k tomu pripojuje a co tam dela, nebo provozuju sit, kterou potrebuju zabezpecit, a pak na to vyuziju nalezity nastroje (radius a spol). Coz ovsem zaroven prepoklada, ze mam kontrolu nad tim HW.
Ze si z toho nekdo udela fulltime konektivitu? No a ? Pokud si umi naklonovat MAC, obejde ti i TTL. trivka.
Nehlede na to, ze jak bylo receno, pokud si koupim konektivitu, je ISP howno do toho, co si s tou svoji konektivitou udelam. Jesli mi proda 100Mbit, muze mu byt uzadeke, jestli mu tech 100Mbit budu 24/7 vysavat sam, nebo jestli nas bude 100.
Proste mam nejakej acc, user za to plati, tak je mi jedno jestli se za tim acc schovava dalsich 40 nebo 4000. A je mi dokonce uplne urite, jestli si na tom cte maily nebo nechava bezet seedbox. Protoze v kazdym pripade dostane maximalne to, co plati/co mu gratis sem ochoten dat.
-
Ze si z toho nekdo udela fulltime konektivitu? No a ? Pokud si umi naklonovat MAC, obejde ti i TTL. trivka.
Ne nutně. Spousta (většina?) SoHo routerů má snadno přístupné políčko "WAN MAC". TTL už v nich ale takhle upravit nejde.
Se zbytkem souhlasím... Pokud bude na druhé straně odhodlaný uživatel, tak všechna tahle omezení stejně obejde, a kromě duševní újmy "on si na to hodil NAT, ten ****" nevidím na uživatelských routerech žádnou újmu.
-
Ze si z toho nekdo udela fulltime konektivitu? No a ? Pokud si umi naklonovat MAC, obejde ti i TTL. trivka.
Ne nutně. Spousta (většina?) SoHo routerů má snadno přístupné políčko "WAN MAC". TTL už v nich ale takhle upravit nejde.
Se zbytkem souhlasím... Pokud bude na druhé straně odhodlaný uživatel, tak všechna tahle omezení stejně obejde, a kromě duševní újmy "on si na to hodil NAT, ten ****" nevidím na uživatelských routerech žádnou újmu.
BFu vubec netusi, ze ta krabka nejakou konfiguraci ma. Pokud to dotycny naconfig umi a dokonce vi k cemu je zmena MAC ...
-
Přesně tohle mě sralo na různých kolejích a podobně. Když jsem přivez NTB nepřipojil jsem se, přivezl jsem telefon nepřipojil jsem se, platil jsem konektivitu ale na konci mohlo viset jen jedno zařízení. Jaká pain in the ass byla když jsem vyměnil síťovku, nebo potřeboval rozchodit "cizí kompl" a potřeboval jsem ho přicucnout k netu.
-
[quote author=j link=topic=11125.msg128858#msg128858 date=1430344818
BFu vubec netusi, ze ta krabka nejakou konfiguraci ma. Pokud to dotycny naconfig umi a dokonce vi k cemu je zmena MAC ...
[/quote]
Běžný Franta vůbec nemusí tušit, co MAC je. Stačí, že mu kamarád řekne kam kliknout, aby našel to divné číslo a písmena s dvojtečkama, a že to má opsat někam v routeru. A on to pak zase řekne někomu jinému... Na to není potřeba až tak moc schopností.
hnusný pes: +10000000. Ale pořád bohužel nevíme, co přesně ta síť co OP provozuje je. Třeba má nějaký rozumný důvod pro svou aktivitu. Jen pochybuju, že se tu někdy znova ukáže - tedy aspoň dokud nebude chtít řešit, co s uživateli, co si na routeru upravují TTL. :D
-
Dekuju za tip :)
Tak uz na kazdem hostu konci TTL=1 tak pokud by tam sedel router tak hostu doje TTL=expired :D
Podle MAC adres co sem nasel jde o TP-linky a ty snad nemaji moznost zmeny TTL
mit router doma je nelegalni? Mas nekde ve smlouve, ze uzivatel nesmi mit vic nez jedno zarizeni? Kdyby mi muj poskytoval internetu rekl, ze mohu se doma pripojit jenom z jednoho pocitace k jeho gigabitovemu pripojeni, tak ho poslu nekam... V dnesni dobe je uplne normalni, ze mas doma nekolik zarizeni, v extremnich pripadech nekolik desitek zarizeni vyuzivajicich internetove pripojeni...
-
ttl=1 není překážka, když se někdo naučil klonovat MACku, s velkou pravděpodobností si poradí i s tímto.
-
ttl=1 není překážka, když se někdo naučil klonovat MACku, s velkou pravděpodobností si poradí i s tímto.
mno hlavne mit soho router a na nem nejaky firewal povazuju za zaklad jakyhokoli sitovani. Doma mas zcela bezne 10+ zarizeni, a rozhodne asi nechces nejen platit 10+ pripojeni, ale predevsim chces aby se ti na tvoji TV/telefon/lednici/hajzlik/... nikdo zvenku nepripojoval.
A pokud uz ten "taky isp" nema Ipcka, a dava privatni, tak ocekavam ze mi jich nadeli kolik budu chtit, ne ze budu vyrabet 3ti nat natu. Pricemz dneska uz zcela automaticky vyzaduju kdekoli resim libovolnou konektivitu ipv6.
Cece, to je ti nadhera, kdyz mas trebas putty, v nem pekne dns nazvy stroju, a nemusis resit kde kterej port je kam protunelovanej ...
-
nekolik lidi tu zminuje stale vetu "pokud si platim u ISP konektivitu, mohu si delat co chci"...ja mel celou dobu za to, že právě HOTSPOT se používá jako temporary free přístup (kavarny, hotely, etc) a pokud se tedy nemylim vubec nevidim jako špatnost zamezovat permanentnim spojenim....by the way: všechny tyto špeky aspon člověka něco přiučí a když už se v té naší zemi české žijě díky vládě tak mizerně, ať tu jsou aspon schopní lidé, které podmínky donutí se něco přiučit
-
Cece, to je ti nadhera, kdyz mas trebas putty, v nem pekne dns nazvy stroju, a nemusis resit kde kterej port je kam protunelovanej ...
„Ale to bylo už za první republiky...“
-
Princip je takovy, ze si do site uzivatel pripoji router. Za routerem provede uzivatel autorizaci a pak se muzou vsichni vesele pripojovat pod NATem
Připojit si hned za internetovou konektivitu vlastni firewall nebo router je základni bezpečnostní pravidlo. Nerozumim proč hy to někdo někomu zakazoval.