бан для мак-адреса
бан для мак-адреса
Привет всем) есть один клиент в локальной сетке, который периодически подбирает пароль. Как его мак добавить в бан-лист, чтобы у него не было возможности ввода пароля, или его данные отправлялись в игнор?
- Dmitry
- Администратор
- Сообщения: 1073
- Зарегистрирован: 25 май 2011, 09:14
- Откуда: г. Запорожье, Украина
- Контактная информация:
Re: бан для мак-адреса
ну если уж совсем по порядку, то тогда...
У сервера RADIUS нет (назовем это так) алгоритма "верных паролей". В том смысле, что невозможно именно ПОДОБРАТЬ пароль, который бы прошел авторизацию. Пароль можно лишь ПОДСЛУШАТЬ. Да в добавок еще и не только пароль, а и логин - потому как у RADIUS-а валидна как раз именно пара "логин-пароль". Сам по себе верный пароль без верного логина бесполезен и наоборот.
Посему, предположительно, сидит ваш хакер и каким-то там "шарком" слушает трафик, а потом из него выбирает логин-пароль. Это не совсем тривиальный процесс.
И тут вы попытаетесь забанить его по мак-адресу.
Мак-адрес меняет любой первоклассник "в пол пинка". (по крайней мере, любой, задавшийся этим вопросом, ответ на него найдет и быстрей и проще, чем руководство по снмфферу и вылавливанию в траффике паролей).
По этому, на мой взгляд, это мероприятие будет неэффективно. В том самом смысле, что вам потом понадобится постоянно отслеживать еще и "а какой сегодня выставил мак-адрес мой злостный нарушитель".
По поводу телодвижений. Вот на форуме Free-RADIUS обсуждение механизма бана по мак-адресу:
http://freeradius.1045715.n5.nabble.com ... 88073.html
Процесс потребует некоторых действий, которые простыми не назовешь.
Что в итоге. Как говорят в народе по поводу подобных результатов - "весь пар ушел в свисток".
То есть, вы напрягаетесь, рулите то-се-это, а чувак просто меняет две цифры в мак-адресе, и снова тырит ваш интернет.
Реальный способ борьбы - включение шифрования на странице авторизации.
Но для этого нужен валидный SSL-сертификат.
После этого вашему "хакеру" будет намного сложней подслушать чужие логин-пароль
У сервера RADIUS нет (назовем это так) алгоритма "верных паролей". В том смысле, что невозможно именно ПОДОБРАТЬ пароль, который бы прошел авторизацию. Пароль можно лишь ПОДСЛУШАТЬ. Да в добавок еще и не только пароль, а и логин - потому как у RADIUS-а валидна как раз именно пара "логин-пароль". Сам по себе верный пароль без верного логина бесполезен и наоборот.
Посему, предположительно, сидит ваш хакер и каким-то там "шарком" слушает трафик, а потом из него выбирает логин-пароль. Это не совсем тривиальный процесс.
И тут вы попытаетесь забанить его по мак-адресу.
Мак-адрес меняет любой первоклассник "в пол пинка". (по крайней мере, любой, задавшийся этим вопросом, ответ на него найдет и быстрей и проще, чем руководство по снмфферу и вылавливанию в траффике паролей).
По этому, на мой взгляд, это мероприятие будет неэффективно. В том самом смысле, что вам потом понадобится постоянно отслеживать еще и "а какой сегодня выставил мак-адрес мой злостный нарушитель".
По поводу телодвижений. Вот на форуме Free-RADIUS обсуждение механизма бана по мак-адресу:
http://freeradius.1045715.n5.nabble.com ... 88073.html
Процесс потребует некоторых действий, которые простыми не назовешь.
Что в итоге. Как говорят в народе по поводу подобных результатов - "весь пар ушел в свисток".
То есть, вы напрягаетесь, рулите то-се-это, а чувак просто меняет две цифры в мак-адресе, и снова тырит ваш интернет.
Реальный способ борьбы - включение шифрования на странице авторизации.
Но для этого нужен валидный SSL-сертификат.
После этого вашему "хакеру" будет намного сложней подслушать чужие логин-пароль
-
- Сообщения: 85
- Зарегистрирован: 25 окт 2012, 19:32
- Контактная информация:
Re: бан для мак-адреса
если бы у меня, стояла такая задача- то я бы это дела с помощью самой ддврт (у меня распределенная сеть)
добавление одной строкой мака в черный список интерфейса...
мало того, это еще при необходимости можно делать автоматически, скриптом:
-греп лога радиуса, вытягивание за период времени - количества неверных авторизацией с одного мака- и добавление мака в черный список.
добавление одной строкой мака в черный список интерфейса...
мало того, это еще при необходимости можно делать автоматически, скриптом:
-греп лога радиуса, вытягивание за период времени - количества неверных авторизацией с одного мака- и добавление мака в черный список.
Re: бан для мак-адреса
У меня тоже как-раз сеть из нескольких dd-wrt, подскажите пожалуйста где именно внести мак в чёрный список?
-
- Сообщения: 85
- Зарегистрирован: 25 окт 2012, 19:32
- Контактная информация:
Re: бан для мак-адреса
http://www.dd-wrt.com/demo/Wireless_MAC.aspSkydreem писал(а):У меня тоже как-раз сеть из нескольких dd-wrt, подскажите пожалуйста где именно внести мак в чёрный список?
тут вручную ведение белого или черного списка.
через консоль - параметры придется искать самому... вводите в белый\черный список мак, а потом в консоли ищете
nvram show | grep введенный мак
в результате получите название параметра
- Dmitry
- Администратор
- Сообщения: 1073
- Зарегистрирован: 25 май 2011, 09:14
- Откуда: г. Запорожье, Украина
- Контактная информация:
Re: бан для мак-адреса
Skydreem, если не затруднит, результатами по реальной эффективности данного решения поделитесь? Собственно, реально интересует, как быстро ваш хакер подменит мак и начнет все по новой...
-
- Сообщения: 85
- Зарегистрирован: 25 окт 2012, 19:32
- Контактная информация:
Re: бан для мак-адреса
дык я ж и говорю - если административными мерами нельзя - надо скриптом по крону... задолбается подбирать
и надо будет либо после каждых 3-4 попыток менять мак, либо выжидать между попытками...
и надо будет либо после каждых 3-4 попыток менять мак, либо выжидать между попытками...
- Dmitry
- Администратор
- Сообщения: 1073
- Зарегистрирован: 25 май 2011, 09:14
- Откуда: г. Запорожье, Украина
- Контактная информация:
Re: бан для мак-адреса
в таком случае, уже и "я ж говорю":
Человек НЕ ПОДБИРАЕТ пароль! Уверен на все 100%. Он снифером слушает ЧУЖИЕ пароли, и потом их успешно вводит. Я так думаю...
Re: бан для мак-адреса
Странно.. Вот сейчас пытается человек войти в инет- его не пускает изза лимита, а его логин сидит и качает. Мак адрес отличается от оригинального клиента. Сейчас буду менять пароль, посмотрим что дальше.
Жаль что чёрный список по-видимоиму работает только в сети wifi роутера судя по скрину, и в сети лан наверное работать не будет.
Жаль что чёрный список по-видимоиму работает только в сети wifi роутера судя по скрину, и в сети лан наверное работать не будет.
- Dmitry
- Администратор
- Сообщения: 1073
- Зарегистрирован: 25 май 2011, 09:14
- Откуда: г. Запорожье, Украина
- Контактная информация:
Re: бан для мак-адреса
Skydreem , если я правильно помню, у вас вроде как был свой домен (сайт). Узнайте у того, у кого приобретали доменное имя о возможности и цене покупки SSL-сертификата. После этого разместите свою страницу авторизации на этом домене (сайте), с уже купленным и установленным SSL-сертификатом. А затем просто во всех своих чиллиспотах там где указывается страница авторизации укажите ее на этот домен (сайт), и укажите протокол https а не http.
и еще, судя по моим записям, у вас еще "старая" версия программы (приобретенная до ноября 2012). В ней есть один изъян, зная который, вашему "хакеру" можно вообще не напрягаться.
Его описание я пристегнул в текстовом файле (не участники форума его не скачают)
и еще, судя по моим записям, у вас еще "старая" версия программы (приобретенная до ноября 2012). В ней есть один изъян, зная который, вашему "хакеру" можно вообще не напрягаться.
Его описание я пристегнул в текстовом файле (не участники форума его не скачают)
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость