El 31/01/06, Hugo Sandoval<hugo@softwarelibre.com.ve> escribió:
El Lunes, 30 de Enero de 2006 21:53, Victor Hugo dos Santos escribió:
lo que me referia, es que los ACLs creados en base a los MACs son inutelis... una persona puede cambiar la MAC de qualquer equipo en pocos segundos (ver ejemplo que envie antes)... o sea:
se colocas en vuestras ACLs, que solamente la MAC 00:AA:00:AA:00:AA tendra acesso.. una persona externa viene y cambia su actual MAC para 00:AA:00:AA:00:AA y listo... paso por arriba de vuestras ACLs basadas en MAC.
Ok, explico.
Cuando defines los ACL, colocas en la lista los MAC ADDRESS que "si pueden" conectarse a tu AP. Lo que "no se encuentran" en dicha lista son "automáticamente negados", por lo tanto de nada vale que te cambies el MAC ADDRESS, porque si no está definido, simplemente es rechazada la conexión hacia adentro. Y a pesar que te diga exitoso (o cualquier otra palabra que pueda utilizar el programa que conecta) no tendrás ningún tráfico hacia adentro o hacia afuera.
segun vuestra maravillosa teoria de las ACLs basadas en MAC, como demonios el AP vas a diferenciar la MAC 00:11:00:11:00:11 que es verdadera y "si pueden conectarse a tu AP" de mi MAC 00:11:00:11:00:11 que es falsa (acabo de cambiarla) ??? poderes extrasensoriales ???
Si!, támbien puedo averiguar tu mac address permitido con un sniffer y cuando clone el mac permitido y generemos tráfico los mismos 2 mac,
Aca tu explica exactamente lo que yo y carlos estamos te hablando hace rato... las MACs address se clonan, no se puede utilizar un mecanismo de autenificacion/accesso en base a las MACs.
comenzará la red a comportarse de froma errática, lo cual permite DoS, pero a la vez te dá señal de intrusión.
esto no es de todo cierto... por aca, hay un WISP (provedor de internet inalambrica) que me comenta que si sabe que hay muchos clones en la red y que le es muy dificil localizarlos... pero la red, por su vez, continua funcionando sin problemas (excepto por el trafico extra).
Tampoco es recomendable utilizar DHCP en las redes inalámbricas.
da lo mismo.. generalmente, quien esta pensando en entrar en una red inalambrica, no es de todo un tonto... y sabe utilizar herramentas para averiguar cual es el rango de IPs que tiene vuestra red.
Utilizar proxys con autenticación, tampoco, a menos que generes un par de claves SSL para tu cliente y tu proxy, router o firewall.
ok
Tambien, puedes crear un VPN inalámbrico con openvpn o similar, con lo cual deberás ir de cliente en cliente a configurar dicho VPN.
esta, segun mi opnin personal es la solucion para las redes inalambricas !!!
En fin, tonicholax, deberás esperar el próximo protocolo wifi para poder dormir tranquilo,
nuevos protocolos, nuevos problemas !!! ;-)
porque ahorita tienes un trabajón grandísimo si quieres evitar que algún cracker de tu vecindario trate de robarse tu ancho de banda, a menos que establezcas un control de ancho de banda con TC/cbq/htb para que te robe solo una porción y no todo el ancho de banda.
en el WISP que mencione, me comentaban que no utilizan la red inalmbrica solamente para acceso a la internet.. pero tambien para unir dos puntos en la ciudad !! o sea, una persona en el norte se conecta al AP y otro en el sector sur, se conecta al mismo AP y estabelecen una tunel criptografiado entre ambas maquinas, sin pasar por el router/controlador de trafico/firewall , el unico que utilizan es el AP !!! :-( en este punto, aun estoy averiguando que solucion podria existir !!! :-( salu2 -- -- Victor Hugo dos Santos Linux Counter #224399