Potreboval bych na siti zabezpecit zmenu MAC adresy sitovek, aby se me na ni nepripojil nikdo kdo nema. Neni az tak tezke zjistit MAC nekoho na siti a pak si ho "pujcit".
Potreboval bych aby ten nejaky autentizacni mechanismus byl multiplatformni.
Printable View
Potreboval bych na siti zabezpecit zmenu MAC adresy sitovek, aby se me na ni nepripojil nikdo kdo nema. Neni az tak tezke zjistit MAC nekoho na siti a pak si ho "pujcit".
Potreboval bych aby ten nejaky autentizacni mechanismus byl multiplatformni.
Jedu přes chello a MAC adresu mám u nich registrovanou.Ono to nefunguje tak,že už si tu stejnou NEmůže nikdo jiný zaregistrovat ? :?:
Nikdy jsem to nezkousel, ale predpokladam ze by sel pouzit RADIUS server. Hacek je v tom, ze RADIUS je primarne urcen pro autentikaci uzivatelu pomoci jmena/hesla. Na internetu jsem zahledl pokusy jak pouzit freeRADIUS na linuxu napr. misto jmena pouzivat MAC adresu, nebo posilat mac jako extended atribut..zkus google a hledej RADIUS MAC Address Authentication. Vyzkouseno to mam s CISCO Aironet a CISCO Access Control Server tam to funguje, ale ta cena :wink:
Bez nejakyho zpusobu prihlasovani to vyresit nepude. Zmenu MAC na dalku nezjistis. Ten RADIUS by moh bejt reseni, otazka je jestli neberem kanon na vrabce. Ja mam na siti "lamy" kterym MAC nic nerika, takze tohle resit nemusim.
2wescom: Pokud nekdo jinej bude na stejnym segmentu jako ty, tak si muze zjistit tvoji MAC a pouzit ji.
Kanon na vrabce to neni, jsou tam dva konkurenti a uz jsem mel pokus o "vyzkouseni" ochrany serveru, zatim OK :)
Zkusim teda neco vygooglit
Co to máš za síť, WiFI ?
Kombinovane, wifi + ethernet
A chceš zabezpečit tu WiFi část ?
Nejlepe obe ale ta wifi je prioritni
Tak to si štastnej člověk naše firma má na jedný vesnici takovou malou Wi-Fi sít (bydlí tam jeden z majitelů :roll: ) a byla tam sotva měsíc bez WEP a MAC ochrany (nemysleli jsme si že sou tam hackeři) :oops: a za net platilo 5 lidí,ale na výpisu připojených MAC adres na AP bylo 25MAC Adres :eek: :oCitace:
Původně odeslal Jezevec
Takže na to bacha warpěři jsou i v těch největších pr.de.lí.ch :!:
Pri wifi plati jedno pravidlo - VZDY pouzivat WEP. Nie je to sice uplna ochrana, ale dost to pomoze.
Samozrejme ze poustim jen zaregistrovane MAC adresy, ale neni problem odchytit pakety a vydavat se za nekoho jineho. Jiste bych o tom rychle vedel, ale jsou to proste komplikaceCitace:
Původně odeslal globalkiller
Citace:
Původně odeslal Lopan
Tak mi prosimte rekni, jak bys zjistil, ze se nekdo vydava za nekoho jineho, se stejnou IP a MAC. Dost by me to zajimalo... :lol:
-pouze pri zapnute filtraci MAC adres
Ale jen pokud chces setrit linku, nebo pro ISP ... :roll:Citace:
Původně odeslal Rainbow
na ethernetu jednoduchy :) koupis administrovatelnej switch a nastavis v nem napevno arptabulku na jednotlivy porty ;)
pak uz by ten nekdo musel ukrast i celej port ... ve wyfy se moc nevyznam ale asi ten wep by mel pomoct ;)
WEP + filtrace MAC víc snad nejde ne ???Citace:
Původně odeslal Fox!MURDER
4CompCrasher: velmi jednoduse
"crrr crrrr crrr" zvoni mobil. "Ano?" "Zdar lopane nejede me net" "Mrknu na to" "Hmm od tebe normalne jede traffic" "Ale ja fakt nejedu"
:idea: :arrow: MAC je "pujceny" :evil:
V lepsim pripade ... ;DCitace:
Původně odeslal Lopan
neco by se naslo...MIC, TKIP, hash IV, WPA, EAP, IPSec....pro zabezpeceni WLAN se toho da udelat spoustu :)Citace:
Původně odeslal globalkiller
Ale treba to instalovat na kazde pripojene PC...
ano ale problem zustava ze mas na druhy vrstve porad ty jebly mac adresy a diky nim ti nekdo muze bud krast pakety nebo aspon shazovat ty spojeni ...Citace:
Původně odeslal simhap
Teda ale nam do hlavy neustale vtloukali jak jsou MAC jedinecne, nemenne apod..... Toto me docela vyvratilo me predstavy....
To je teoria - pokial su jedinecne, tak to funguje. Ak jedinecne nie su, tak to robi poriadny bordel...
Tak tak,byl bych proto aby se spojili softwarové firmy s hardware firmama a v dalších verzích OS už nebylo možné měnit MAC :!:
Jinak se tomu nijak neubráníme :-(
Rekl bych, ze tezko zabranis tomu, aby si to doma nekdo napsal :) . I kdyz by to melo byt nezavisle na OS.. :)Citace:
Původně odeslal globalkiller
Authentizace přes 802.1x RAdius server má nevýhody
a) musíš mít Radius server v síti
b) WiFI zařízení to musí podporovat.
c) stejně nazabezpečíš síť proti odposlechu a následnému průlomu
Jedině nejlepší je WPA. To znemožní "jakékoliv " využití šifrovaných zpráv. Díky fci TKIP klíč rotuje v obrovském množství možností buď po každých x paketů, nebo se dá někdy nastavit i čas. Dále je lepší kotrola integrity zpráv.
Jedině možný průlom je se znalostí MAC, IP a startovacího klíče (u Pre Shared).
Ok zkusim WPA, diky za rady
WEP je smesny, leda tak moje babicka by to asi nehackla, ale clovek, ktery umi zmenit MAC hackuje WEP do pul minuty :-)) Jedine IPsec, SSH tunel nebo tak neco, nic jineho neni spolehlive
Nebo nasaď FAKE AP. Sice si to vezme svou režii, ale vytvoří to pro šňupající programy takovou mapu sítí, že jde z toho hlava kolem. A nemusíš nic dělat se stávajícím HW.
S tym FAKE AP ma to celkom zaujalo, mozes prezradit nieco blizsie k tomu ???
Noooo to by me take zajimalo s tim FAKE AP. Rezie me moc nebere, je tam durex 1,4, ktery si tam nudou cisti nehty :)
Režii si to vezme v řádu % vysílacích SSID. Prostě to simuluje existenci více (řádově stovky, někdy i dost přes tisíc) APček. Vysílá to SSID frames s tím, že u každého paketu to změní označení SSID.
Při skenování sítě se objeví obrovské množství APček.
Nejak se ochranit pred tim aby si nekdo zmenil MAC podle me nemuzes, pokud potrebujes silnou autentizaci, zrejme bude nejlepsi volba IEEE 802.1X - RADIUS server a de jen o to jaky typ autentizace zvolis -EAP-TLS, PEAP, LEAP, .....
802.1X ma vyhodu ze se da bezproblemu vyuzit jak ve wired, tak ve wireless.
Pokud jde o data encryption ve wireless sitich, tak muzes take pouzit 802.1X - neni sice tak dobre jako TKIP, ale nemel by byt problem s tim to zavest.
U WPA je problem ze neexistuje supplicant pro linux - supplicanti pro linux maji podporu jen TLS, MD5, LEAP, PEAP a jeste nejakych dalsich veci (uz si nejsem presne jistej), ale TKIP ne.
To, že se používá blbý OS se dá vyřešit použitím HW jednotek, které se připojují do PC pře NIC. Ale zase to leze do peněz. Možná bude spokojen s tím FAKE AP.Citace:
Původně odeslal spy
Ze by uz existoval hw client s podporou WPA ?? ;DCitace:
Původně odeslal Kon
BTW FakeAP zblbnes jen Netstumbler a spol. pouzivajici ke zjisteni AP SSID becony napr. AirMagnet to nerozhodi ;D
Ten FakeAP je uplna <>ovina. Nejaky debil to mal zapnute tu v Bratislave a robil tu hrozny bordel. Uz ho to preslo. Nechapem ako to moze nejako pomoct ??? Vsak pustim kismet, necham chvilku bezat a spravne SSID z toho vylezie.
A s blbym OS chod vies kam.
Spy: Tusim hostap-devel ma nejaku podporu pre WPA.
Jo, jo podivej se u výrobců, kteří mají podporu WPA. Jedná se defakto buď o HW AP nebo HW bridge obé s funkcí klient.Citace:
Původně odeslal simhap
např. DLink, Netgear, Micronet - to jsem teďka vypálil dokonce ty, které mají mode SuperG -108Mbps.
Zajimalo by me, jestli vychazis z praxe, nebo spolehas jen na udaje vyrobce. Konkretne jsem mel v ruce D-Link DWL-2000+ a ten ani zakladni WPA-PSK v rezimu client neumel (mozna je to jen otazka casu a novejsiho firmware).Citace:
Původně odeslal Kon
EDIT: Uz jsem par produktu nasel vcetne WPA-TKIP a na ten D-Link je novy firmware 1.03 s WPA-PSK..tak uz to asi chodi :D
A cos měl za firmware? U DLinku je problé obecně ten, že je to šméčko na lidi. Nefachá to tak jak má a firmware je neodladěn. 2100 už to umí se stávajícím firmware.Citace:
Původně odeslal simhap
Zatím jediný , u kterého to mám potvrzeno, HW AP, který umí WPA i v bridge modu je Ovislink 5420.
Dlink jako jediný výrobce nabízí WPA supplicant, možná spoléhali na WPA šifrování v PC ...???
No uz si nevzpominam, ale mel jsem to na testy skoro hned jak se to k nam zacalo dovazet (takze patrne velmi ranou verzi). Jinak jak jsem to ted hledal na internetu tak jsem nasel par hw clientu, kteri to maji primo v popisu napr. OTC ACR-201-G 802.11g Wireless Ethernet Bridge Adapter.
Jinak souhlasim ze D-link je specialista na delani nedodelku :)
Problem je taky v dostupnosti v ČR. Na netu najdeš hafo taiwanských výrobců a k nám to nikdo nedováží.Citace:
Původně odeslal simhap
Abych pravdu rek tak o tehle vecech slysim prvne (a je to pro me prijemne prekvapeni - ne to ze to slysim prvne, ale ze to existuje :))Citace:
Původně odeslal Kon
Bohuzel se tenhle problem neda takhle vyresit u notasu, protoze by to bylo krajne nepohodlne, nosit s sebou jeste AP :)) (i ty mensi adaptery sou precijenom trosku otrava)
Rainbow :arrow: diq, checknu to