Ochrana pred zmenou MAC adresy, jak?

Printable View

Zobrazit 100 příspěvků z tohoto threadu na stránku

09.02.2004, 01:14
Lopan

Ochrana pred zmenou MAC adresy, jak?

Potreboval bych na siti zabezpecit zmenu MAC adresy sitovek, aby se me na ni nepripojil nikdo kdo nema. Neni az tak tezke zjistit MAC nekoho na siti a pak si ho "pujcit".
Potreboval bych aby ten nejaky autentizacni mechanismus byl multiplatformni.
09.02.2004, 09:45
lubosbrno

Jedu přes chello a MAC adresu mám u nich registrovanou.Ono to nefunguje tak,že už si tu stejnou NEmůže nikdo jiný zaregistrovat ? :?:
09.02.2004, 09:52
simhap

Nikdy jsem to nezkousel, ale predpokladam ze by sel pouzit RADIUS server. Hacek je v tom, ze RADIUS je primarne urcen pro autentikaci uzivatelu pomoci jmena/hesla. Na internetu jsem zahledl pokusy jak pouzit freeRADIUS na linuxu napr. misto jmena pouzivat MAC adresu, nebo posilat mac jako extended atribut..zkus google a hledej RADIUS MAC Address Authentication. Vyzkouseno to mam s CISCO Aironet a CISCO Access Control Server tam to funguje, ale ta cena :wink:
09.02.2004, 10:37
Jezevec

Bez nejakyho zpusobu prihlasovani to vyresit nepude. Zmenu MAC na dalku nezjistis. Ten RADIUS by moh bejt reseni, otazka je jestli neberem kanon na vrabce. Ja mam na siti "lamy" kterym MAC nic nerika, takze tohle resit nemusim.

2wescom: Pokud nekdo jinej bude na stejnym segmentu jako ty, tak si muze zjistit tvoji MAC a pouzit ji.
09.02.2004, 11:17
Lopan

Kanon na vrabce to neni, jsou tam dva konkurenti a uz jsem mel pokus o "vyzkouseni" ochrany serveru, zatim OK :)

Zkusim teda neco vygooglit
09.02.2004, 14:21
Kon

Co to máš za síť, WiFI ?
09.02.2004, 14:41
Lopan

Kombinovane, wifi + ethernet
09.02.2004, 15:35
Kon

A chceš zabezpečit tu WiFi část ?
09.02.2004, 17:36
Lopan

Nejlepe obe ale ta wifi je prioritni
09.02.2004, 18:08
globalkiller

Citace:

Původně odeslal Jezevec

Ja mam na siti "lamy" kterym MAC nic nerika, takze tohle resit nemusim.

Tak to si štastnej člověk naše firma má na jedný vesnici takovou malou Wi-Fi sít (bydlí tam jeden z majitelů :roll: ) a byla tam sotva měsíc bez WEP a MAC ochrany (nemysleli jsme si že sou tam hackeři) :oops: a za net platilo 5 lidí,ale na výpisu připojených MAC adres na AP bylo 25MAC Adres :eek: :o

Takže na to bacha warpěři jsou i v těch největších pr.de.lí.ch :!:
09.02.2004, 18:17
Rainbow

Pri wifi plati jedno pravidlo - VZDY pouzivat WEP. Nie je to sice uplna ochrana, ale dost to pomoze.
09.02.2004, 18:28
Lopan

Citace:

Původně odeslal globalkiller

Citace:

Původně odeslal Jezevec

Ja mam na siti "lamy" kterym MAC nic nerika, takze tohle resit nemusim.

Tak to si štastnej člověk naše firma má na jedný vesnici takovou malou Wi-Fi sít (bydlí tam jeden z majitelů :roll: ) a byla tam sotva měsíc bez WEP a MAC ochrany (nemysleli jsme si že sou tam hackeři) :oops: a za net platilo 5 lidí,ale na výpisu připojených MAC adres na AP bylo 25MAC Adres :eek: :o

Takže na to bacha warpěři jsou i v těch největších pr.de.lí.ch :!:

Samozrejme ze poustim jen zaregistrovane MAC adresy, ale neni problem odchytit pakety a vydavat se za nekoho jineho. Jiste bych o tom rychle vedel, ale jsou to proste komplikace
09.02.2004, 19:55
CompCrasher

Citace:

Původně odeslal Lopan

Jiste bych o tom rychle vedel, ale jsou to proste komplikace

Tak mi prosimte rekni, jak bys zjistil, ze se nekdo vydava za nekoho jineho, se stejnou IP a MAC. Dost by me to zajimalo... :lol:

-pouze pri zapnute filtraci MAC adres

Citace:

Původně odeslal Rainbow

Pri wifi plati jedno pravidlo - VZDY pouzivat WEP. Nie je to sice uplna ochrana, ale dost to pomoze.

Ale jen pokud chces setrit linku, nebo pro ISP ... :roll:
09.02.2004, 20:44
Fox!MURDER

na ethernetu jednoduchy :) koupis administrovatelnej switch a nastavis v nem napevno arptabulku na jednotlivy porty ;)
pak uz by ten nekdo musel ukrast i celej port ... ve wyfy se moc nevyznam ale asi ten wep by mel pomoct ;)
09.02.2004, 20:47
globalkiller

Citace:

Původně odeslal Fox!MURDER

na ethernetu jednoduchy :) koupis administrovatelnej switch a nastavis v nem napevno arptabulku na jednotlivy porty ;)
pak uz by ten nekdo musel ukrast i celej port ... ve wyfy se moc nevyznam ale asi ten wep by mel pomoct ;)

WEP + filtrace MAC víc snad nejde ne ???
09.02.2004, 21:40
Lopan

4CompCrasher: velmi jednoduse
"crrr crrrr crrr" zvoni mobil. "Ano?" "Zdar lopane nejede me net" "Mrknu na to" "Hmm od tebe normalne jede traffic" "Ale ja fakt nejedu"
:idea: :arrow: MAC je "pujceny" :evil:
09.02.2004, 22:04
CompCrasher

Citace:

Původně odeslal Lopan

4CompCrasher: velmi jednoduse
"crrr crrrr crrr" zvoni mobil. "Ano?" "Zdar lopane nejede me net" "Mrknu na to" "Hmm od tebe normalne jede traffic" "Ale ja fakt nejedu"
:idea: :arrow: MAC je "pujceny" :evil:

V lepsim pripade ... ;D
09.02.2004, 22:05
simhap

Citace:

Původně odeslal globalkiller

Citace:

Původně odeslal Fox!MURDER

na ethernetu jednoduchy :) koupis administrovatelnej switch a nastavis v nem napevno arptabulku na jednotlivy porty ;)
pak uz by ten nekdo musel ukrast i celej port ... ve wyfy se moc nevyznam ale asi ten wep by mel pomoct ;)

WEP + filtrace MAC víc snad nejde ne ???

neco by se naslo...MIC, TKIP, hash IV, WPA, EAP, IPSec....pro zabezpeceni WLAN se toho da udelat spoustu :)
09.02.2004, 22:07
Rainbow

Ale treba to instalovat na kazde pripojene PC...
09.02.2004, 22:08
Fox!MURDER

Citace:

Původně odeslal simhap

Citace:

Původně odeslal globalkiller

Citace:

Původně odeslal Fox!MURDER

na ethernetu jednoduchy :) koupis administrovatelnej switch a nastavis v nem napevno arptabulku na jednotlivy porty ;)
pak uz by ten nekdo musel ukrast i celej port ... ve wyfy se moc nevyznam ale asi ten wep by mel pomoct ;)

WEP + filtrace MAC víc snad nejde ne ???

neco by se naslo...MIC, TKIP, hash IV, WPA, EAP, IPSec....pro zabezpeceni WLAN se toho da udelat spoustu :)

ano ale problem zustava ze mas na druhy vrstve porad ty jebly mac adresy a diky nim ti nekdo muze bud krast pakety nebo aspon shazovat ty spojeni ...
09.02.2004, 22:28
Lopan

Teda ale nam do hlavy neustale vtloukali jak jsou MAC jedinecne, nemenne apod..... Toto me docela vyvratilo me predstavy....
09.02.2004, 22:29
Rainbow

To je teoria - pokial su jedinecne, tak to funguje. Ak jedinecne nie su, tak to robi poriadny bordel...
10.02.2004, 07:02
globalkiller

Tak tak,byl bych proto aby se spojili softwarové firmy s hardware firmama a v dalších verzích OS už nebylo možné měnit MAC :!:
Jinak se tomu nijak neubráníme :-(
10.02.2004, 08:56
CompCrasher

Citace:

Původně odeslal globalkiller

Tak tak,byl bych proto aby se spojili softwarové firmy s hardware firmama a v dalších verzích OS už nebylo možné měnit MAC :!:
Jinak se tomu nijak neubráníme :-(

Rekl bych, ze tezko zabranis tomu, aby si to doma nekdo napsal :) . I kdyz by to melo byt nezavisle na OS.. :)
10.02.2004, 10:13
Kon

Authentizace přes 802.1x RAdius server má nevýhody
a) musíš mít Radius server v síti
b) WiFI zařízení to musí podporovat.
c) stejně nazabezpečíš síť proti odposlechu a následnému průlomu

Jedině nejlepší je WPA. To znemožní "jakékoliv " využití šifrovaných zpráv. Díky fci TKIP klíč rotuje v obrovském množství možností buď po každých x paketů, nebo se dá někdy nastavit i čas. Dále je lepší kotrola integrity zpráv.
Jedině možný průlom je se znalostí MAC, IP a startovacího klíče (u Pre Shared).

Zobrazit 100 příspěvků z tohoto threadu na stránku