Clone Mac Adresi ile İnternete Erişim
-
Arkadaşlar bütün kullanıcıların mac adreslerini ekleyip static ip verdim. Squid+squidguard+captiveportal+freeradius+traffic shaper stabil şekilde çalışmakta.
Fakat bugün farkettiğim enteresan bir olayla karşılaştım. Arada sırada kendi bilgisayarımda müthiş bir kasma oluyordu. Sonradan yaptığım testlerde herhangi bir kullanıcı giriş yaptıktan sonra, giriş yapan bilgisayarın mac adresinin klonlanmasıyla diğer bir bilgisayar hiç captive portal ekranı gelmeden internete çıkabiliyor. Biraz yavaş oluyor ama yine de çıkıyor.
Kısaca sisteme kayıtlı olan bir bilgisayarın mac adresi ve kullanıcı hesabıyla 2 bilgisayar aynı anda internete çıkabiliyor. Bunu tesbit etmesi de çok zor veya ben bilmiyorum. Çünkü ana ekranda tek bir mac ve ip adresi gözüküyor. ARP table'ı kontrol ediyorum fakat orada da tek mac adresi tek ip gözüküyor.
Bu konuda bir çözümü olan veya hangi mac adresinin aynı anda 2 kişi tarafından kullanıldığını tesbit etme gibi bir imkanım var mı?
-
Arkadaşlar bütün kullanıcıların mac adreslerini ekleyip static ip verdim. Squid+squidguard+captiveportal+freeradius+traffic shaper stabil şekilde çalışmakta.
Fakat bugün farkettiğim enteresan bir olayla karşılaştım. Arada sırada kendi bilgisayarımda müthiş bir kasma oluyordu. Sonradan yaptığım testlerde herhangi bir kullanıcı giriş yaptıktan sonra, giriş yapan bilgisayarın mac adresinin klonlanmasıyla diğer bir bilgisayar hiç captive portal ekranı gelmeden internete çıkabiliyor. Biraz yavaş oluyor ama yine de çıkıyor.
Kısaca sisteme kayıtlı olan bir bilgisayarın mac adresi ve kullanıcı hesabıyla 2 bilgisayar aynı anda internete çıkabiliyor. Bunu tesbit etmesi de çok zor veya ben bilmiyorum. Çünkü ana ekranda tek bir mac ve ip adresi gözüküyor. ARP table'ı kontrol ediyorum fakat orada da tek mac adresi tek ip gözüküyor.
Bu konuda bir çözümü olan veya hangi mac adresinin aynı anda 2 kişi tarafından kullanıldığını tesbit etme gibi bir imkanım var mı?
Selam Wireshark programı ile deneyebilirsin.Ancak management switchlerde Arp spoofing önleme mekanizmaları var onları devreye alıp o kullanıcının çıkış yaptığı portu block atabilirsin. Arp spoofing'i araştır bence çözüm sağlar sana.Bu arada MAC adres kopyalama dışında o kullanıcı sana doğru arp spoofingde yapmış olabilir yani senin MAC adresini kendisine doğru Gateway olarak gösterip tüm trafiğini kendi üzerinden çıkartabilir.Böylece tüm cleartext erişimin adamın elinde olur. Dikkatli olmak lazım :)
Kolay gelsin
Not: Bu arada uzun zamandır aranızda değildim Tekrar hoşbulduk.
-
Sanırım bu olayı Pfsense üzerinde tespit etmenin ve önlemenin herhangi bir yolu yok. Zira araştırmalarım malesef bu önde sonuçlanmış durumda. Sayın @adaguner'in mesajında belirttiği gibi arp spoofing termini araştırdım ama malesef bir sonuç çıkmadı.
-
Sanırım bu olayı Pfsense üzerinde tespit etmenin ve önlemenin herhangi bir yolu yok. Zira araştırmalarım malesef bu önde sonuçlanmış durumda. Sayın @adaguner'in mesajında belirttiği gibi arp spoofing termini araştırdım ama malesef bir sonuç çıkmadı.
Selam Aydemir,
http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/white_paper_c11_603839.html
Mesela cisco kullanıyorsan arp spoofing nasıl yapılır burda şekillede anlatılıyor. Cisco switch kullandığınız düşünürsek ilgili portlara static MAC kaydı girmeni öneririm.Diğer türküde Wireshark programını kullanarak promicsius modda çalıştırıp networkü dinle. Burda bir çok duplicate Mesaja göreceksin.
Örn:
http://www.ostalks.com/2011/11/04/arp-poisoning-and-detection/Bunun dışında Yönetilebilir switchler kullanıyorsanız ordaki Arp tablosunu gözlemleyin.Aynı MAC kaydına ait kaç adet IP var gözlemleyebilir sizin MAC kaydını kullanan makinayı arrp kaydındaki…cisco4500#show arp komıutunu ile hangi portdan geldini görebilirsiniz. Bir nebzede olsa hangi portdan geldiğini görüp ilgili makinayı yakalama şansınız olabilir.WIFI ağından geliyorsa mutlak ARP spoofing özelliği olan bir AP de bunu aktifleştirin. ve gene arp tablosundan yola çıkın.
Bol şans.
iyi çalışmalar.