Problemas con dhcp

neovo

Hola a todos:

Tengo una red wifi instalada la cual se conecta a internet por medio de un portal cautivo en pfsense que hasta ahora me funcionaba de maravilla. El problema es que algun dispositivo se conecta a la wifi y me bloquea todo, he comprobado que ese dispositivo da servicio dhcp pero con una puerta de enlace que no es correcta. Lo he comprobado quitando el cable del portal y conectándole un portátil. Todos los puntos wifi tienen el dhcp desactivado con lo cual no deben de ser de los puntos. A veces he logrado ver la mac del dispositivo que se conectaba y he logrado filtrarla en el punto de acceso para que no se conectara y me funcionaba bien durante un tiempo pero luego otra vez me ocurría pero ahora con otra mac diferente. Mi pregunta es la siguiente ¿ hay alguna manera de que sólo dé dhcp pfsense y no otro dispositivo?. Gracias

bellera

Consulta la documentación de tus APs y/o actualizaciones de firmware porque tienes algo raro.

Por otra parte asegúrate que no tienes nada más conectado físicamente.

En http://es.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol tienes explicado cómo es el tráfico de una petición DHCP.

Si tienes la MAC problemática puedes averiguar de qué fabricante se supone que es, http://www.coffer.com/mac_find/

A veces sirve para aclarar cosas.

¡Suerte!

Josep Pujadas-Jubany

rodria

Varias cosas:

Como ya te indicaron, ubica el fabricante de la NIC mediante los 3 primeros pares de hexadecimales de la dirección MAC, posiblemente no consigas nada si han "cambiado" la MAC (realmente no se cambia, es imposible, lo que se hace es engañar a la red).

Si consigues el fabricante, puedes irte a ubicar ese equipo y probar desincorporarlo de la red, o ver si tiene algún servicio de DHCP corriendo como autoritative.
Si la MAC "cambia" posiblemente alguien esté "sniffeando" tu wireless, "cambiando" su MAC, etc. por lo que preferiblemente debas asegurar mejor tu Red Wifi, haciendo uso de un AAA o usando varios métodos, como filtrado de MAC, WPA2, "ocultar" tu AP y eliminar el DHCP y colocar direcciones IP fijas a cada equipo, para que vayas descartando… aunque yo prefiero usar cosas como iptraf y tcpdump para capturar al mald....to ;)

Saludos.

ZAC

@rodria:

yo prefiero usar cosas como iptraf y tcpdump

¿como es que ocupas esto?, ya que yo tengo algunos problemas con ataques de hombre en medio, ¿no podrías dar más información?

rodria

Mmmm, para un Man in the Middle podría recomendarte usar ettercap, hay algunos parámetros que pueden ayudar allí… (Recomendación, leer bien el manual de ettercap, porque si por casualidad lo dejas corriendo sin control, te vas a cargar la red ;)

-scan_poisoner  este lo puedes usar para verificar si dos host tienen la misma MAC (debes especificar la lista de host) enviaría paquetes icmp echo, si la MAC que responde difiere de la IP que hay en la lista, es casi seguro que esa pc está haciendo un forwarding de ese paquete.

-search_promisc enviara dos tipos de paquetes ARP request "malos" a todos los host, si uno de ellos responde, lo más seguro es que tenga su NIC en modo promiscuo, lo que posiblemente evidencie que alguien está escuchando lo que llegue a tu máquina.

Obviamente puedes usar cosas como snort, (IDS) y qué mejor manera de hacerlo dentro de pfSense, aunque no lo he configurado nunca, recien estoy iniciándome con pfSense.

Saludos.

ZAC

Mmm, pues si, si fuera dentro de pfSense sería mejor, pero leeré e investigare un poco de lo que has comentado.