Как отлавливать подмену mac-адреса на dhcp роутера Mikrotik?

Question

[Kenny00]

Добрый день!
Из предыдущих обсуждений, удалось сделать защиту от подмены IP.
Но ушлые пользователи, берут роутер и клонируют MAC адрес или меняют мак адрес на сетевой карте.
Как тут можно защитится? Все работают на windows.
Читал про Client ID, но не понятно, почему не применяется.
получается так Client ID [ 1: мак-адрес] , и он его пропускает, точнее подмену не видит, так как ID этот формируется как я понимаю из мак адреса.
Возможно я как то не настроил DHCP option 61 или в обще ее не включил, как это проверить?

Answer 1

[Kenny00]

Подскажите, а данное Решение 61 опция можно как то применить?

Comments

[Drno]

ну кстати да, мысль хорошая. И должно сработать. Пока по крайней мере не продублируют имя на микротик с ПК (к примеру).
Но - могут переустановтиь винду, имя ПК сменится. Могу поменять роутер дома(если у вас разрешены) опять же имя сменится... Если это не пугает можно попробовать хотя бы

[Kenny00]

Drno, нет роутеры не используются, по крайней мере они вне закона))
Регистрировать заново проще, чем ловить особо ушлых)
Я пробовал 61 опцию, прилетает ID состоящий из МАC но никак не ПК.
Что-то значит надо до настроить на клиенте?

[Drno]

не пробовал. Надо почитить попробовать

Answer 2

[Дмитрий Шицков]

Самый простой способ вычислить любителей роутеров, проверять TTL в фильтре микротик. По умолчанию, у Windows он равен 64. На других ОС может быть равна 128 или 256. Если пакет прошёл через роутер, до того как достиг вашего Микротика, то TTL будет на 1 меньше.

Т.е. сравниваете TTL с 64, 128 и 256. Если не совпало - скорее всего роутер. Отклоняем соединение.

Топорно, просто. Так же легко обходится...

Comments

[Drno]

А теперь вспомним йоту и TTL ))

[Дмитрий Шицков]

Drno, не в курсе кажется, что с ней было?
Если про подмену ttl - то я и пишу, что это легко обходится :)

[Drno]

Дмитрий Шицков, ну да. Я про подмену и легко обходится

[Kenny00]

Дмитрий Шицков, Они иногда общий Мак используют для личных ПК, например рабочий ноут и свой, тот же мак. И еще что бы не палится, net-bios имя такое же пишут.
Получается вот Это решение никак тут не прикрутить?

[Drno]

Kenny00, в таком случае не прикрутить ((

[Drno]

С другой стороны если пункт такой есть в договоре, может попробовать путем заявы в суд? думаю после 1го же прецедента количество желающих сильно поубавится

[Максим]

Kenny00, а вообще, нафига Вы это делаете?

[Kenny00]

Максим, не от хорошей жизни точно...
Вы на счет DHCP option 61 , что скажите и Client ID?

Answer 3

[Дмитрий]

Для аутентификации подключаемых сетевых устройств используют 802.1x Остальное можно подменить.

Comments

[Kenny00]

Подскажите, а это решение никак нельзя использовать?
61 опция

[Дмитрий]

Kenny00, не знаю про такую опцию. Провайдеры для привязки клиентов (port+IP+MAC) используют option 82. Но это не гарантирует что устройство на другом конце линка не изменилось. Это может подтвердить только 802.1x сертификат вручную установленный админом на сетевое устройство.

Answer 4

[Drno]

От подмены мака не спасешься.
А собственно в чем проблема то? Типо приходит кабель для 1 ПК а они ставят роутер?))

Comments

[Kenny00]

Именно так, создают свои посети, раздают интернет. И поймать хулиганов сложно, физически бежать в здание.

[Drno]

Так. пусть раздают. Жалко чтоли? Я так лет 5 сидел на пол подъезда)))
Хотя ясно что тупо макс пакет берут....

Ну насколько я знаю, при наличии у них грамотного ИТшника (хотяб малограмотного) вы их никак не сможете ограничить. Все виды авторизации можно пихнуть в роутер... Маки подменить...

Насчет TTL - будет как с йотой. Подменят TTL на микротике и норм)

[Максим]

Не каждый догадается править TTL, да и не каждая железка может. Пробуйте с TTL.

[Kenny00]

Максим, если догадываются менять net-bios и мак, то TTL и так ясно, что поделывают. Нельзя пропускать чужие устройства в сеть.