Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Clone Mac Adresi ile İnternete Erişim

    Turkish
    2
    4
    3750
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      aydemir_07 last edited by

      Arkadaşlar bütün kullanıcıların mac adreslerini ekleyip static ip verdim. Squid+squidguard+captiveportal+freeradius+traffic shaper stabil şekilde çalışmakta.

      Fakat bugün farkettiğim enteresan bir olayla karşılaştım. Arada sırada kendi bilgisayarımda müthiş bir kasma oluyordu. Sonradan yaptığım testlerde herhangi bir kullanıcı giriş yaptıktan sonra, giriş yapan bilgisayarın mac adresinin klonlanmasıyla diğer bir bilgisayar hiç captive portal ekranı gelmeden internete çıkabiliyor. Biraz yavaş oluyor ama yine de çıkıyor.

      Kısaca sisteme kayıtlı olan bir bilgisayarın mac adresi ve kullanıcı hesabıyla 2 bilgisayar aynı anda internete çıkabiliyor. Bunu tesbit etmesi de çok zor veya ben bilmiyorum. Çünkü ana ekranda tek bir mac ve ip adresi gözüküyor. ARP table'ı kontrol ediyorum fakat orada da tek mac adresi tek ip gözüküyor.

      Bu konuda bir çözümü olan veya hangi mac adresinin aynı anda 2 kişi tarafından kullanıldığını tesbit etme gibi bir imkanım var mı?

      1 Reply Last reply Reply Quote 0
      • A
        adarguner last edited by

        @aydemir_07:

        Arkadaşlar bütün kullanıcıların mac adreslerini ekleyip static ip verdim. Squid+squidguard+captiveportal+freeradius+traffic shaper stabil şekilde çalışmakta.

        Fakat bugün farkettiğim enteresan bir olayla karşılaştım. Arada sırada kendi bilgisayarımda müthiş bir kasma oluyordu. Sonradan yaptığım testlerde herhangi bir kullanıcı giriş yaptıktan sonra, giriş yapan bilgisayarın mac adresinin klonlanmasıyla diğer bir bilgisayar hiç captive portal ekranı gelmeden internete çıkabiliyor. Biraz yavaş oluyor ama yine de çıkıyor.

        Kısaca sisteme kayıtlı olan bir bilgisayarın mac adresi ve kullanıcı hesabıyla 2 bilgisayar aynı anda internete çıkabiliyor. Bunu tesbit etmesi de çok zor veya ben bilmiyorum. Çünkü ana ekranda tek bir mac ve ip adresi gözüküyor. ARP table'ı kontrol ediyorum fakat orada da tek mac adresi tek ip gözüküyor.

        Bu konuda bir çözümü olan veya hangi mac adresinin aynı anda 2 kişi tarafından kullanıldığını tesbit etme gibi bir imkanım var mı?

        Selam Wireshark programı ile deneyebilirsin.Ancak management switchlerde Arp spoofing önleme mekanizmaları var onları devreye alıp o kullanıcının çıkış yaptığı portu block atabilirsin. Arp spoofing'i araştır bence çözüm sağlar sana.Bu arada MAC adres kopyalama dışında o kullanıcı sana doğru arp spoofingde yapmış olabilir yani senin MAC adresini kendisine doğru Gateway olarak gösterip tüm trafiğini kendi üzerinden çıkartabilir.Böylece tüm cleartext erişimin adamın elinde olur. Dikkatli olmak lazım :)

        Kolay gelsin

        Not: Bu arada uzun zamandır aranızda değildim Tekrar hoşbulduk.

        blog.bedavacozumler.com

        1 Reply Last reply Reply Quote 0
        • A
          aydemir_07 last edited by

          Sanırım bu olayı Pfsense üzerinde tespit etmenin ve önlemenin herhangi bir yolu yok. Zira araştırmalarım malesef bu önde sonuçlanmış durumda. Sayın @adaguner'in mesajında belirttiği gibi arp spoofing termini araştırdım ama malesef bir sonuç çıkmadı.

          1 Reply Last reply Reply Quote 0
          • A
            adarguner last edited by

            @aydemir_07:

            Sanırım bu olayı Pfsense üzerinde tespit etmenin ve önlemenin herhangi bir yolu yok. Zira araştırmalarım malesef bu önde sonuçlanmış durumda. Sayın @adaguner'in mesajında belirttiği gibi arp spoofing termini araştırdım ama malesef bir sonuç çıkmadı.

            Selam Aydemir,

            http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/white_paper_c11_603839.html

            Mesela cisco kullanıyorsan arp spoofing nasıl yapılır burda şekillede anlatılıyor. Cisco switch kullandığınız düşünürsek ilgili portlara static MAC kaydı girmeni öneririm.Diğer türküde Wireshark programını kullanarak promicsius modda çalıştırıp networkü dinle. Burda bir çok duplicate Mesaja göreceksin.

            Örn:
            http://www.ostalks.com/2011/11/04/arp-poisoning-and-detection/

            Bunun dışında Yönetilebilir switchler kullanıyorsanız ordaki Arp tablosunu gözlemleyin.Aynı MAC kaydına ait kaç adet IP var gözlemleyebilir sizin MAC kaydını kullanan makinayı arrp kaydındaki…cisco4500#show arp komıutunu ile hangi portdan geldini görebilirsiniz. Bir nebzede olsa  hangi portdan geldiğini görüp ilgili makinayı yakalama şansınız olabilir.WIFI ağından geliyorsa mutlak ARP spoofing özelliği olan bir AP de bunu aktifleştirin. ve gene arp tablosundan yola çıkın.

            Bol şans.

            iyi çalışmalar.

            1 Reply Last reply Reply Quote 0
            • First post
              Last post