Jak zamezit připojení na AP

[martynek]

Mám dotaz,
mám podezření že se mi konkurence ve špičce připojuje na jedno AP asi 2ma mikrotiky a spouští mezi nimy
BW test, aby je vytížily a mě šlo AP do kytek.
Vždycky jen na chvíly, než to zjistím jsou odhlášené, acces mac vždy dám, ale přijdou s jiným.

všeobecně lze tedy zabezpečit proti neoprávněnému connectu k AP mikrotik, jinak, nežli pomocí
mac filteru ? nebo to jinak nejde ? nerad při každé montáži nejprve zadával z druhé strany mac.

díky

[soooc]

Mám dotaz,
mám podezření že se mi konkurence ve špičce připojuje na jedno AP asi 2ma mikrotiky a spouští mezi nimy
BW test, aby je vytížily a mě šlo AP do kytek.
Vždycky jen na chvíly, než to zjistím jsou odhlášené, acces mac vždy dám, ale přijdou s jiným.

všeobecně lze tedy zabezpečit proti neoprávněnému connectu k AP mikrotik, jinak, nežli pomocí
mac filteru ? nebo to jinak nejde ? nerad při každé montáži nejprve zadával z druhé strany mac.

díky

Šifruj! Přes WPA 2 se určitě nepřipojí

[midnight_man]

jednoducho.... šifruj.

[martynek]

Díky, to je jasné, ale prý to velmi zpomaluje přípojku..
i když nedavno sem tady někde četl příspěvky kde se to řešilo.
Někdo říká spomaluje, někdo říká nespomaluje.

BTW, zapnu šifru i bez návštěvy klienta ? tedy půjde to nějak nejdříve u něj,
aby se mě pak vrátil... ?

zkusím propustnost s a bez, vše mám na NV2

myslíte tedy použít pod záložkou NV2 to preshared key ? to je vubec naco feathura ?
takže klasický security profile ?

[keksik]

Daj si neuhadnutelne SSID a skry ho. Ale nechapem ako ti mozu uhadnut aj IP adresy?

[pcwifi]

taky mysim, ze hide ssid je to nej...naloz do nazvu uplny nesmysl a je po prdeli...

osobne pouzivam jen bezne zabezpeceni skrz sec.profile, aktualne na vetsine AP a spojich WEP 64bit. a nemam problem, tady neni v mode neco nabouravat, ale uz se chystam preklapet do WPA2 radejc...

PW

[hapi]

normáně zakaž komunikaci mezi klienty a hotovo. Pak když budou prudit řeš co dál. Jinak si myslim že mají smolíka a na víc se nezmůžou.

[Tomáš Břinčil]

normáně zakaž komunikaci mezi klienty a hotovo. Pak když budou prudit řeš co dál. Jinak si myslim že mají smolíka a na víc se nezmůžou.

Nebudou moc komunikovat mezi sebou, tak to pustí na APčko, to by bylo první co by mě napadlo.
hping, udpflood, zatížit služby na 80, 21 portu. Některé verze šly určitě sestřelit jen dosem na hotspot - nevím jak to je teď.

[hapi]

vyvolat ddos kterej sundá apčko chce víc pcček. Omezení komunikace mezi klienty je na jedno kliknutí. Pak to už většinu odradí. Až pak bych řešil co dál.

taky by bylo vhnodí se zeptat jestli tam používá nějaký nv2 nebo nstreme či obyč 802.11. Pokud ty cajzly nemaji MKčka tak zapnout NV2 a čau. Pochybuju že si někdo koupí MKčka na dělání bordelu.

Já šifrování neholduju takže radši skusit cokoliv jinýho. Taky přece může všechny normál klienty locknout macovkama a ostatní zakázat.

[aliney]

vyvolat DOS, kterym jsem shodil RB600 nebo RB433 pri testovani brute-force pravidel stacil jeden pocitac, to spis jestli je propustnost ke "klientovi" tak velka, aby to vybec stihlo AP zahltit.

[hapi]

já to zkoušel taky a při ukončení ddosu rbčko jelo v pohodě dál.

[tom-tom]

Skrytý ssid odradí jen takové ty normální lamy, co zkoušejí, kam se dá připojit. Jestli se ti někdo připojuje na ap opakovaně a cíleně, aby ti nějak narušil provoz, ten ssid si velice rychle zjistí.
Dokonce ani mac filtr není nějak extra velká překážka. Jde to snadno i z mikrotiku - jednou jsem to říkal kolegovi, že se můžu připojit na ap konkurence a zkusit si jak jim to jede. On mi nevěřil.
Asi měsíc po tom jsme přidávali na jeden bod sektor. Než jsem na něj přesměroval klienty, tak jsem si s tím trochu hrál, připojil to na ap konkurence a kolegu jsem na víkend protuneloval přes tuto přípojku. Už na druhý den mi volal, že se mu nějak sere přípojka, že když jde hrát online, ukazuje se mu cizí veřejka a má vysoký ping

[aliney]

já to zkoušel taky a při ukončení ddosu rbčko jelo v pohodě dál.

vsak ano, nebylo zmineno, ze RB se zhrouti, restartuje, sekne... odrovnas ale komunikaci a o to jde. I kdyz seknout ho by bylo ucinejsi.

[hapi]

Skrytý ssid odradí jen takové ty normální lamy, co zkoušejí, kam se dá připojit. Jestli se ti někdo připojuje na ap opakovaně a cíleně, aby ti nějak narušil provoz, ten ssid si velice rychle zjistí.
Dokonce ani mac filtr není nějak extra velká překážka. Jde to snadno i z mikrotiku - jednou jsem to říkal kolegovi, že se můžu připojit na ap konkurence a zkusit si jak jim to jede. On mi nevěřil.
Asi měsíc po tom jsme přidávali na jeden bod sektor. Než jsem na něj přesměroval klienty, tak jsem si s tím trochu hrál, připojil to na ap konkurence a kolegu jsem na víkend protuneloval přes tuto přípojku. Už na druhý den mi volal, že se mu nějak sere přípojka, že když jde hrát online, ukazuje se mu cizí veřejka a má vysoký ping

já to jednou taky zkoušel na konkurenci a pokud konkurence má připojený klienty přes wdska tak se ti nic nepovede. Neukradneš mac, nekradneš klienty, neuděláš nic. Klientskej tok jede vesele dál. Jedno z nejúčinějších a snadných řešení co jsem kdy viděl. Samozřejmě tim nezasviníš jejich AP. Ftipnější ale bylo že když jsem jim klienty ukradnul tak přes wdsko to proteklo na to jejich ap a opět přenos šel vesele dál.

[Ladik]

Me by spise zajimalo, jak se na to AP mohli pripojit?
To nemas nejak zakladane zabezpecene?
Nebo to snad mas otevrene?
Tady konkurenci se take bez problemu pripojim na jejich AP a vidim v MK pak pulku dediny.
Ale u mne to nejde, protoze to nemam otevrene.