#  > Telecomunicações >  > Redes >  >  Estão navegando de graça no seu hotspot com clonagem de MC e IP

## underwanderson

*ESTÃO NAVEGANDO DE GRAÇA NO SEU HOTSPOT COM CLONAGEM DE MAC E IP* 
Boa tarde!
unders de plantão
Estamos com um problema, com certeza muitos aqui estão passando e nem sabe, no youtube esta vinculando vídeos de como navegar de graça em rede wireless em especial nas que usam hotspot para autenticar seus clientes, clonando Mac e IP de quem já está logado e navegam junto com o usuário sem nem o admin do mk saber pois entra como se fosse um usuário normal podendo até rodar demais praga que derruba o sistema, dai a pouco a galera começa a ligar reclamando que está sem internet, bem já li vários tópicos aqui do underlinux e não tem ninguém com solução eficaz para o problema, não queria usar ppp0e como solução porque a página do hotspot não poderár ser exibida como no hotspot e quem usa sabe que é uma ferramenta de comunicação interna e externa a rede, me disseram que se fizer um túnel se assim posso dizer com regras de firewall do NAT para o FILTER ou mudando a mascara de subrede :Stupido: , mas não tenho nem idéia de como poderia implementar isso, alguém ai quer ser o primeiro a nos ajudar?
Obrigado.

----------


## ThunderBRZ

Entao 

o problema em si é a criptografia da rede... e nao se é pppoe ou hostop...

como tds sabemos ate o pppoe é sniffavel... apesar de ser 1 pouco mais dificil...

entao wpa2 na rede toda, vlan nos switchs

lembrando que ate msm wpa2 é sujeita a quebra, porem mais dificil

t+ 

[]´s

----------


## JHONNE

acho que a unica solução é o hostcert

quero implantar o sistema este mês

----------


## osmano807

Não teria como desenvolver algum aplicativo que pegasse o serial do hd, fizesse uma criptografia, salvasse um arquivo, e pegasse o sha-512 e guardasse essa chave num DB no servidor.
Aí, para o usuário logar, teria que essa chave fosse igual, mas que ela fosse gerada no cliente toda vez que ele ligasse.

(Idéa meio louca, mas quem sabe?)

----------


## JHONNE

> Não teria como desenvolver algum aplicativo que pegasse o serial do hd, fizesse uma criptografia, salvasse um arquivo, e pegasse o sha-512 e guardasse essa chave num DB no servidor.
> Aí, para o usuário logar, teria que essa chave fosse igual, mas que ela fosse gerada no cliente toda vez que ele ligasse.
> 
> (Idéa meio louca, mas quem sabe?)


 
www.hostcert.com.br

----------


## Roberto21

quanto custa isso ?

----------


## Roberto21

> *ESTÃO NAVEGANDO DE GRAÇA NO SEU HOTSPOT COM CLONAGEM DE MAC E IP* 
> Boa tarde!
> unders de plantão
> Estamos com um problema, com certeza muitos aqui estão passando e nem sabe, no youtube esta vinculando vídeos de como navegar de graça em rede wireless em especial nas que usam hotspot para autenticar seus clientes, clonando Mac e IP de quem já está logado e navegam junto com o usuário sem nem o admin do mk saber pois entra como se fosse um usuário normal podendo até rodar demais praga que derruba o sistema, dai a pouco a galera começa a ligar reclamando que está sem internet, bem já li vários tópicos aqui do underlinux e não tem ninguém com solução eficaz para o problema, não queria usar ppp0e como solução porque a página do hotspot não poderár ser exibida como no hotspot e quem usa sabe que é uma ferramenta de comunicação interna e externa a rede, me disseram que se fizer um túnel se assim posso dizer com regras de firewall do NAT para o FILTER ou mudando a mascara de subrede, mas não tenho nem idéia de como poderia implementar isso, alguém ai quer ser o primeiro a nos ajudar?
> Obrigado.


 

Sempre achei o hostpot uma grande besteira, coisinha só pra deixar o acesso ''bonitinho'' mas sempre foi vulnerável devido aos cookies criados, quanto ao DHCP, não me levem a mal mas também sempre achei coisa de administrador ''preguiçoso'' mas sempre deixou as redes vulneráveis.

Ip fixo neles, sem frescura de autenticação....fecha os ap's a rede, inibe os snnifer's bloqueia qualquer coisa entre clientes e acabou a brincadeira...agora ip fixo dá muito suporte.

----------


## JHONNE

> quanto custa isso ?


 
custa 350,00 roberto

meu contato é o Lauro

te passo o hotmail dele por mp

----------


## lipeiori

E como eles fazem para descobrir o MAC e o IP?




Olha só esse video que eu achei, que o cara "ensina" como clonar MAC e que não vi nada sendo clonado ali.

----------


## ryiades

Coloca um certificado ssl no hotspot. Pode clonar o mac x ip mas a autenticação usuário x senha vai estar criptografada.

----------


## JHONNE

> Coloca um certificado ssl no hotspot. Pode clonar o mac x ip mas a autenticação usuário x senha vai estar criptografada.


 
do que adianta, se os clonadores em muitas vezes são parentes ou amigos dos usuarios e sabem a senha

----------


## ryiades

> do que adianta, se os clonadores em muitas vezes são parentes ou amigos dos usuarios e sabem a senha


Adianta muito! A responsabilidade de passar a senha para terceiros é do cliente; se ele disser que não é mentira dele!

----------


## aleksei

eu ja vi esse video, o administrador da rede hackeada colocou autenticacao do hotspot apenas por MAC.

sendo assim nao precisa nem clonar o ip, basta apenas o mac.

para coibir isso basta permitir apenas 1 usuario por MAC e instalar certificado.

aqui ainda nao tive esses problemas e eu mesmo ja tentei adentrar na minha rede usando backtrack, clone de mac, clone de ip e outros, mas nao obtive sucesso.

----------


## JHONNE

> eu ja vi esse video, o administrador da rede hackeada colocou autenticacao do hotspot apenas por MAC.
> 
> sendo assim nao precisa nem clonar o ip, basta apenas o mac.
> 
> para coibir isso basta permitir apenas 1 usuario por MAC e instalar certificado.
> 
> aqui ainda nao tive esses problemas e eu mesmo ja tentei adentrar na minha rede usando backtrack, clone de mac, clone de ip e outros, mas nao obtive sucesso.


bem aqui na minha rede uso hotspot, uso limite de sessões simultaneas tb, e ainda associo o ip no ip-bindig, e normalmente é um ip fora da faixa, já que o hotspot faz a conversão, para não dar na cara, mas na verdade o que acontece é o seguinte:
ex: tem uma moça da farmácia que tem um funcionário que sabe a senha, naturalmente ele trabalha lá, sabe o mac, é fácil pra ele, e sabe também a que horas a farmácia está fechada, ela não costuma abrir aos domingos. Ele simplesmente clona o mac e navega, a noite e aos domingos.

justamente hora que ele precisa, já que o restante do dia está trabalhando...


A solução pra mim é usar o hostcert mesmo, assim posso até usar o hotspot junto, para não perder o chamre da pagina de login e faturar um pouco com marketing na pagina inicial tb

----------


## lipeiori

Esse funcionario é esperto hein, deve ficar na net só na madruga.

----------


## underwanderson

> quanto custa isso ?


sera que e melhor que o mikrotik?

----------


## underwanderson

> Coloca um certificado ssl no hotspot. Pode clonar o mac x ip mas a autenticação usuário x senha vai estar criptografada.


voce sabe como se faz isso?
da uma força ai que tem muito marmanjo voando sem ideia como eu, eu to ate desorientado claro coma rede fechada.
obrigado

----------


## underwanderson

> Sempre achei o hostpot uma grande besteira, coisinha só pra deixar o acesso ''bonitinho'' mas sempre foi vulnerável devido aos cookies criados, quanto ao DHCP, não me levem a mal mas também sempre achei coisa de administrador ''preguiçoso'' mas sempre deixou as redes vulneráveis.
> 
> Ip fixo neles, sem frescura de autenticação....fecha os ap's a rede, inibe os snnifer's bloqueia qualquer coisa entre clientes e acabou a brincadeira...agora ip fixo dá muito suporte.


certo roberto21 mas mesmo assim quero deixar aqui registrado o que muitos como eu acham do hotspot, acho ele pratico e parte principal de um negocio pois pra quem usava linux debian ou kurumin com rede fechada e aparece este outdor wireless fica empolgado, o que voce disse ta certissimo mas existe uma forma de manter o hotspot sem essa vulnerabilidade ou pelo menos dificultar o serviço dos folgados mesmo com o cookie, eu nem deveria dizer mas tem um usuario aqui no under linux e que mora proximo de mim que implementou algo que esta dando certo mas o cara parece ser inrredutivel e senti que ele nao vai querer ajudar se ele ler este post peço a ele que ajude a comunidade pois como outro amigo nosso ja disse, "se um ajudar o outro com troca de informação ou solução voce nao se tornara meu concorrente mas sim um aliado", valeu roberto21 pode ter certeza que se conseguir algo posto aqui com letras garrafais para todos, estou ai na luta tentando implementar regras por conta ate conseguir algo e se alguem conseguir e postar sera um desafio vencido com a força de todos os under's de plantao.
obrigado

----------


## underwanderson

> eu ja vi esse video, o administrador da rede hackeada colocou autenticacao do hotspot apenas por MAC.
> 
> sendo assim nao precisa nem clonar o ip, basta apenas o mac.
> 
> para coibir isso basta permitir apenas 1 usuario por MAC e instalar certificado.
> 
> aqui ainda nao tive esses problemas e eu mesmo ja tentei adentrar na minha rede usando backtrack, clone de mac, clone de ip e outros, mas nao obtive sucesso.


ola aleksei,
permitir um usuario por mac eu ja uso mas explica ai como se instala este certificado, e os clientes tem que esta com ip fixo ne?
manda ai talves seja a soluçao e todos vao te agradecer.
obrigado

----------


## underwanderson

> bem aqui na minha rede uso hotspot, uso limite de sessões simultaneas tb, e ainda associo o ip no ip-bindig, e normalmente é um ip fora da faixa, já que o hotspot faz a conversão, para não dar na cara, mas na verdade o que acontece é o seguinte:
> ex: tem uma moça da farmácia que tem um funcionário que sabe a senha, naturalmente ele trabalha lá, sabe o mac, é fácil pra ele, e sabe também a que horas a farmácia está fechada, ela não costuma abrir aos domingos. Ele simplesmente clona o mac e navega, a noite e aos domingos.
> 
> justamente hora que ele precisa, já que o restante do dia está trabalhando...
> 
> 
> A solução pra mim é usar o hostcert mesmo, assim posso até usar o hotspot junto, para não perder o chamre da pagina de login e faturar um pouco com marketing na pagina inicial tb


jhonne ,
olha so, eles so conseguem navegar em cima do mac de quem esta online ou seja de quem ja ta logado facil ne ele nao tem o trabalho de saber a senha nem o user do clonado, nem o admin do mk sabe quem foi clonado ou seja o cara da farmacia nunca ia navegar com o mac do pc da farmacia pois ele estaria off, e com isso o problema de alguem usar o serviço para nukar outros clientes ou a propria rede derrubando o serviço e ate para coisas inlicitas como pedofilia e assalto a banco, isso mesmo a coisa e seria por isso temos que unir forças e descobrir uma forma de inibir isso e podermos usar o hotspot como ja disse ao amigo roberto21 e um desafio que temos que vencer aqui.
obrigado

----------


## lipeiori

Se o problema for só esse da farmacia é só vc colocar um AP cliente, colocar senha pro esperto não acessar, desativar o SSH e o auto discover, pronto pelo menos o MAC desse AP ele não clona.

----------


## JHONNE

> Se o problema for só esse da farmacia é só vc colocar um AP cliente, colocar senha pro esperto não acessar, desativar o SSH e o auto discover, pronto pelo menos o MAC desse AP ele não clona.


não amigo o problema não é só esse, assim que coíbilo dessa forma, ela arruma outro pra clonar! Eu não quero jeitinho, o que quero mesmo é colocar um sistema seguro e é por isso que vou colocar o hostcert na minha rede, não existe até o momento alternativa melhor que esta.

----------


## 1929

O hostcert é compatível com o hotspot do mikrotik?

----------


## sergio

Já postei, nem uma nem duas, mas várias vezes... Não existe proteção para redes sem fio que não seja por criptografia, e criptografia que presta, ou seja, WPA2.

Abaixo uma apresentação do Maia da MD Brasil, realizada no MUM Brasil pela Mikrotik. Por favor leiam e se não entenderem leiam quantas vezes forem necessárias e a partir dai comecem a tomar atitudes quanto às suas redes.

*http://mum.mikrotik.com/presentation...ranca_Maia.pdf*

----------


## jhenis

Valeu Sérgio esse tutorial vai ajudar bastante. Preciso tb de uma solução de cache proxy sei q essa é sua área pois já fiz treinamento com vcs em BH. Teria como me dar supore nesse sentido? como entro em contato com vc?
Desde ja Obrigado.

----------


## sergio

> Valeu Sérgio esse tutorial vai ajudar bastante. Preciso tb de uma solução de cache proxy sei q essa é sua área pois já fiz treinamento com vcs em BH. Teria como me dar supore nesse sentido? como entro em contato com vc?
> Desde ja Obrigado.



Bom dia jhenis.

Nesse apresentação é indicado como configurar wpa2 de várias formas com o Mikrotik, inclusive com radius (chaves individuais) que é uma das melhores e mais simples opções (por certificados é legal, mas para que não manja do radius muito bem é sofrível... dependendo da distro que usar, como debian e derivados, é um saco...)

Me envia um mensagem privada que passo meu contato.

----------


## 1929

Sérgio, acho que depois deste artigo do Maia, não há mais o que se discutir sobre validade de um ou outro método. O cara explica tudo muito bem.

E uma coisa que eu gostei está na pag 71 sobre hotspot não ter nada a ver com segurança ou não, mas sim uma opção comercial.

Interessante também as pesquisas apresentadas mostrando que a categoria dos provedores está realmente muito despreparada com relação a segurança.

Um dos melhores artigos sobre segurança para quem usa MK.

----------


## sergio

> Sérgio, acho que depois deste artigo do Maia, não há mais o que se discutir sobre validade de um ou outro método. O cara explica tudo muito bem.
> 
> E uma coisa que eu gostei está na pag 71 sobre hotspot não ter nada a ver com segurança ou não, mas sim uma opção comercial.
> 
> Interessante também as pesquisas apresentadas mostrando que a categoria dos provedores está realmente muito despreparada com relação a segurança.
> 
> Um dos melhores artigos sobre segurança para quem usa MK.



hehehehe... o Maia está na área tem muito tempo e de provedor ele entende. No treinamento da Mikrotik Brasil ele aborda todas estas questões e quanto a implementação de WPA2 e radius ele foi o primeiro a implantar aqui no Brasil (na rede do provedor dele), funciona muito bem.

----------


## Josue Guedes

Bom dia a todos, estou a experimentar um hotspot aqui do Linux, o NoCatSplash, alguém já usou?

----------


## Josue Guedes

> Bom dia jhenis.
> 
> Nesse apresentação é indicado como configurar wpa2 de várias formas com o Mikrotik, inclusive com radius (chaves individuais) que é uma das melhores e mais simples opções (por certificados é legal, mas para que não manja do radius muito bem é sofrível... dependendo da distro que usar, como debian e derivados, é um saco...)
> 
> Me envia um mensagem privada que passo meu contato.


Pelo que entendi é possível configurar o WPA2 com chaves individuais sem usar o Radius mais as chaves serão vistas pelos administradores do Mikrotik. Certo?

----------


## sergio

> Pelo que entendi é possível configurar o WPA2 com chaves individuais sem usar o Radius mais as chaves serão vistas pelos administradores do Mikrotik. Certo?



por qq um q acesse o Mikrotik, certo? Até aquele user read only que criar para a secretaria verá a cripto de cada cliente.

----------


## Josue Guedes

> por qq um q acesse o Mikrotik, certo? Até aquele user read only que criar para a secretaria verá a cripto de cada cliente.


Para min isso não é problema, só eu acesso mesmo, e a secretária é minha esposa. Agora, nos clientes a senha fica protegida pelos asteriscos? Tem um programinha que quebra isso. Conhece?
Dá para implementar aos poucos nos clientes, ou se eu configurar, de cara vai ter que colocar a senha em todos? Vou fazer uns testes aqui. Mai uma vez grato pelo belo material Sergio.

----------


## sergio

> Para min isso não é problema, só eu acesso mesmo, e a secretária é minha esposa.


sua rede vai crescer... e um dia não será mais assim.




> Agora, nos clientes a senha fica protegida pelos asteriscos? Tem um programinha que quebra isso. Conhece?


Se alguem quebrar, ou aquele famoso técnico, ver e divulgar para os outros, provavelmente o cliente reclamará e ai basta alterar, pois é individual.




> Dá para implementar aos poucos nos clientes, ou se eu configurar, de cara vai ter que colocar a senha em todos? Vou fazer uns testes aqui. Mai uma vez grato pelo belo material Sergio.


Sim, dá para fazer aos poucos, utilize AP Virtual.

----------


## fernandofiorentinn

> Para min isso não é problema, só eu acesso mesmo, e a secretária é minha esposa. Agora, nos clientes a senha fica protegida pelos asteriscos? Tem um programinha que quebra isso. Conhece?
> Dá para implementar aos poucos nos clientes, ou se eu configurar, de cara vai ter que colocar a senha em todos? Vou fazer uns testes aqui. Mai uma vez grato pelo belo material Sergio.


muito interessante essa parte de wpa2 uma por cliente, mas como implementa isso?
tem que ter um radius a parte?
tem que implementar todos os clientes de uma vez?

----------


## sergio

> muito interessante essa parte de wpa2 uma por cliente, mas como implementa isso?
> tem que ter um radius a parte?
> tem que implementar todos os clientes de uma vez?



O pessoal diz que sou estressado e chato... mas pô.... você leu as mensagens anteriores? Leu a apostila completa no link que eu postei?

----------


## gzanatta00

na minha opiniao isso vai ser sempre um problema! concerta hj! amanha tem um loko q descobre a vulnerabilidade
eu particularmente estou acertando com o cara da hostcert! custa 350 pila, eu acho q vale a pena!
um servidor gerencia toda a minha rede! e se eu tiver q ir na casa de cada cliente meu custa mais q esses 350!

mas a ideia é boa

----------


## sergio

> na minha opiniao isso vai ser sempre um problema! concerta hj! amanha tem um loko q descobre a vulnerabilidade
> eu particularmente estou acertando com o cara da hostcert! custa 350 pila, eu acho q vale a pena!
> um servidor gerencia toda a minha rede! e se eu tiver q ir na casa de cada cliente meu custa mais q esses 350!
> 
> mas a ideia é boa



certo, se alguém descobre uma vulnerabilidade, sempre outro alguém implementa uma solução nova. A propósito, você sabe como funciona este hotscert? Acredita que seja invulnerável?

----------


## Josue Guedes

Realmente a solução é muito legal mesmo, vou testar aqui.

----------


## fernandofiorentinn

> O pessoal diz que sou estressado e chato... mas pô.... você leu as mensagens anteriores? Leu a apostila completa no link que eu postei?


desculpa ai amigão, mas enquanto eu formulava a pergunta vc respondia ela, só pra constar eu nao estava inscrito no topico e só tinha 4 paginas quando o li logo de manhã, quanto a explanação ele só mostra uma breve descrição... mas tudo bem deixe que outra pessoa me responda..

----------


## lipeiori

Muito boa essa apostila, acabei de ler tudo agora e já penso em colocar WPA2 aqui na rede mais pra frente.

----------


## Josue Guedes

> desculpa ai amigão, mas enquanto eu formulava a pergunta vc respondia ela, só pra constar eu nao estava inscrito no topico e só tinha 4 paginas quando o li logo de manhã, quanto a explanação ele só mostra uma breve descrição... mas tudo bem deixe que outra pessoa me responda..


Breve descrição não, está mastigado cara, o tópico tem a explicaçõ para toda implementação.

----------


## underwanderson

> Já postei, nem uma nem duas, mas várias vezes... Não existe proteção para redes sem fio que não seja por criptografia, e criptografia que presta, ou seja, WPA2.
> 
> Abaixo uma apresentação do Maia da MD Brasil, realizada no MUM Brasil pela Mikrotik. Por favor leiam e se não entenderem leiam quantas vezes forem necessárias e a partir dai comecem a tomar atitudes quanto às suas redes.
> 
> *http://mum.mikrotik.com/presentation...ranca_Maia.pdf*


 
sergio,
quero aqui em nome de todos os interessados na questão te agradecer por ter entrado no tópico, pois além de você convidei outros mas você apareceu mais rápido do que imaginei e nos ajudou mais uma vez, lembrando que como eu muitos aqui deve ter procurado bastante mas sem sucesso pois como ver muitos tópicos não descreve corretamente o assunto abordado e fica difícil a identificação do material, mas fica aqui meu agredecimento por aparecer por aqui.
parabéns

----------


## sergio

> sergio,
> quero aqui em nome de todos os interessados na questão te agradecer por ter entrado no tópico, pois além de você convidei outros mas você apareceu mais rápido do que imaginei e nos ajudou mais uma vez, lembrando que como eu muitos aqui deve ter procurado bastante mas sem sucesso pois como ver muitos tópicos não descreve corretamente o assunto abordado e fica difícil a identificação do material, mas fica aqui meu agredecimento por aparecer por aqui.
> parabéns


Sim, sempre que eu posso, e quando a questão não é pedir soluções prontas, com tudo mastigado, eu ajudo.

Conforme mencionei e no material que enviei o link, vocês poderão entender o que ocorre com as redes sem fio. E desde, já, é a única coisa que podemos implementar, atualmente, que realmente garante uma proteção adequada as mesmas. Não é difícil fazer, mas requer leitura e entendimento dos parametros a controlar. Usando apenas Mikrotik ROS, fica mais fácil ainda, mas como mencionei, particularmente, não gosto, pois com o uso do radius, tornam-se bem mais simples as tarefas de gerenciamento, assim como a possibilidade de união do mesmo com algum sistema administrativo/gestão.

----------


## JHONNE

As vezes temos medo do desconhecido, é natural do ser humano, uma das preocupações que sempre tive com uso da criptografia era o processamento, pelo exemplo mostrado no material que o sérgio postou, podemos observar que é praticamente desprezível.

Outro medo era a questão da compatibilidade, pude ver que não chega a ser um problema pois podemos criar perfis difentes para atendes cada cliente;

pesa agora só o fato de ter que mudar a rede para mk 3.0 e readptar meu sistema administrativo / suporte etc..


Vale lembrar que no proprio material postado, mencionam a autenticação feita no estilo do hostcert, embora não entre em detalhes, no entanto hoje me parece ser a alternativa mais viável, quando queremos apenas coibir o uso não autorizado da internet, e no caso do hostcert ainda acrescenta a vantagem da criptografia do tráfego de forma a garantir o sigilo das informacoes trocadas.

----------


## JHONNE

Para que tudo não parece flores, vejo também alguns problemas na implementação do hostcert

Um deles é o possível aumento da manutenção, que também é notável quando se usa criptografia, outro é o caso do compartilhamento interno, visto que a máquina precisa ser autenticada e é criada uma conexão vpn com o servidor.

Em empresas que utilizam roteador interno esta prática pode ser inviável, mas neste caso a criptografia caíria como uma luva, até porque normalmente podemos proteger o ap com senha e garantir o sigilo de algumas informacoes: como chave, ip e em certos casos até mac;

----------


## osmano807

> conexão vpn com o servidor.


Exatamente isto que eu pensei para a solução do problema, mas que um programa tipo hamachi que conectaria, claro, autenticando alguma chave escondida no código do programa no servidor.

----------


## gzanatta00

> certo, se alguém descobre uma vulnerabilidade, sempre outro alguém implementa uma solução nova. A propósito, você sabe como funciona este hotscert? Acredita que seja invulnerável?


pois eh mas parece ser bem seguro!
mas nada q nao seja ipossivl de invadir!
é o negocio é critico

----------


## JHONNE

> pois eh mas parece ser bem seguro!
> mas nada q nao seja ipossivl de invadir!
> é o negocio é critico


 
na terra quase nada é impossível, mas é bem duvidoso que alguém consiga invadir já que ele utiliza técnicas de proteção de software.

mesmo assim sabemos que softwares muitas vezes são crackeados, burlados, no entanto, softwares que não tem uma escala muito grande de uso não custumam ter esse problema, além de tudo problemas criar uma nova chave sempre que necessário, lembrando que as chaves são criadas com base nas informações do hardware do cliente, o que dificulta em muito a ação dos clonadores

----------


## Magal

A "aulinha" completa:



*Quem configurou esse MK deveria desistir da profissão!!!*

----------


## laurocesar

Opa, saudações!

Meu nome é Lauro e sou consultor HC, fico a disposição dos colegas para sanar quaisquer dúvidas acerca da segurança do sistema.

Podem me add no msn: [email protected], ou skype: hostcert

Quando a questão proposta pelo Sergio, tipica de todo bom administrador, sem dúvida, qualquer programador conhece essa probabilidade, sendo binário pode ser lido e interpretado, porém o fato é que o sistema é muito simples, o que pessoalmente considero seu maior mérito.

Para resumir, o sistema utiliza um conceito de "Single Sign-On" na criação das chaves, sempre baseado nos itens raramente substituídos do computador do cliente, portanto, mesmo que alguem descubra quais são os itens, e mais, descubra como gerar o hash, ele ainda precisa saber como o servidor espera receber essa informação, e ai que a coisa pega, pois é randomico, numa combinação que somente cliente e servidor sabem. 

Então, assim como é simples capturar uma informação enviada via ssh, eu digo, é simples burlar o HC. : )

A propósito, o HC Gateway é perfeito para complementar a segurança em conjunto com o MK Router.

Nosso blog: HostCERT » Blog de suporte aos clientes HostCERT. com alguns clientes listados.

HostCERT - A Solução efetiva contra o uso não autorizado da infraestrutura de rede.
O site com os beneficios diretos, há varios outros, mas dependem da topologia da rede.

O Hc é um projeto nacional, e ajuda em muitos aspectos da segurança, por exemplo, usando HC gateway, consegue-se a condição de identificar de forma inequivoca de onde saiu determinada requisição, então se um dia o provedor precisar informar judicialmente a origem de determinada conexão, consegue facilmente, nos sistema atuais consegue-se rastrear o ip, mas você não tem certeza se é seu cliente realmente naquele ip, com HC tem.


Abraços para todos.


Atenciosamente
Lauro Cesar
Hack to learn, not learn to hack.

----------


## alexandrecorrea

voce tera alguma soluções:

1- usar pppoe
2- usar o software HOSTCERT
3- uma chave wpa para cada cliente (isso aqui eh mais complexo)

... eu aconselho migrar para ppppoe OU usar o HostCert !! HostCERT - A Solução efetiva contra o uso não autorizado da infraestrutura de rede.

----------


## underwanderson

> voce tera alguma soluções:
> 
> 1- usar pppoe
> 2- usar o software HOSTCERT
> 3- uma chave wpa para cada cliente (isso aqui eh mais complexo)
> 
> ... eu aconselho migrar para ppppoe OU usar o HostCert !! HostCERT - A Solução efetiva contra o uso não autorizado da infraestrutura de rede.


 
alexandrecorrea,
como foi eu quem abriu o topico e fui pedir ajuda a vocês, da mesma forma que fiz com o sergio quero tambem te agradecer em nome da galera aqui interessada na questão, por ter entrado no tópico, fica aqui meu agredecimento por aparecer por aqui e tentar nos ajudar.
obrigado

----------


## aleksei

> ola aleksei,
> permitir um usuario por mac eu ja uso mas explica ai como se instala este certificado, e os clientes tem que esta com ip fixo ne?
> manda ai talves seja a soluçao e todos vao te agradecer.
> obrigado



solucao postada!
Segurança em HOTSPOT com certificado SSL

----------


## JHONNE

> solucao postada!
> Segurança em HOTSPOT com certificado SSL


 
desculpe minha ignorância, mas:

como isso pode resolver o problema? Não vejo nada que garanta que o computador que solicitou é realmente aquele que queremos autenticar

----------


## aleksei

> desculpe minha ignorância, mas:
> 
> como isso pode resolver o problema? Não vejo nada que garanta que o computador que solicitou é realmente aquele que queremos autenticar


Amigo essa solucao eh para o certificado.

quanto ao funcionario da farmacia, vc ja pensou em ir la e explicar o que ele anda fazendo?

----------


## JHONNE

Esse cara ai é o conheço, e os clonadores que eu não conheço, outra coisa, não se acusa sem provas, pode dar danos morais, e infelizmente não há como provar

----------


## JHONNE

Seguinte pessoal,

a unica coisa que me encomoda no hostcert é a utilização de um programa na maquina do cliente, que pode gerar mais manutenção e alguns problemas quando se trata de redes empresarias pelo fato que ter que haver uma maquina central autenticadora.

A solução ideal para o meu caso seria o hotspot com a seguinte implentação:


1 - cliente conecta e recebe um cookie informado a hora da última conexão,
2 - no proximo login o cookie é verficado e se os dados baterem o acesso é autorizado e um novo cookie é enviado para que seja atualizado

infelizmente hotspot não suporta php e não sei como implementar isso.

----------


## aleksei

> Esse cara ai é o conheço, e os clonadores que eu não conheço, outra coisa, não se acusa sem provas, pode dar danos morais, e infelizmente não há como provar



tudo bem, mas se o clone for somente de IP e MAC ainda se faz necessario o uso de login e senha, que eh de responsabilidade do cliente.

quanto aos outros clonadores, com o uso de certificado de 1024 bits fica muito mais dificil sniffar pra conseguir os dados.

----------


## mgn5005

Parceiros do Forum bom dia

Sei que isto é discussao para horas de conversa, afinal a criatividade do ser humano nao tem limites.

Estamos falando de redes sem fio, e como o nosso companheiro falou la no inicio do post, nada é 100% seguro, sempre havera uma falha nao importa se voce ta usando o sistema mais caro do mundo, sempre ira ter alguem para tentar burla-lo.

Porem podemos tentar dificultar ao maximo a vida do cara que esta tentando invadir nossa rede, e gostaria muito de deixar aqui a experiencia (apesar de simploria) que tivemos em nosso provedor.

Aqui desde que integramos o radius ao mikrotik diminuimos muito as tentativas de invasoes, nos usamos Login + Senha + Mac + IP + SSid ou nome da torre por onde o cara se conecta, alem de dispormos da possibilidade de bloquear o horario de acesso do cliente, sem contar tambem a verificação se o cara ta em dia com os pagamentos ou nao;

Sei que a solução é bem simples, mas ajuda muito a dificultar a vida do cara;

É logico criptografia, chaves, tudo isso ajuda muito mas como administradores temos que ter em mente que sempre ira ter alguem com criatividade suficiente para de alguma maneira procurar falhas. O que nao devemos é perder nossos cabelos (prezo muito o pouco que ainda me resta) com estes caras.

E realmente o topico é de muita valia, com ideias das mais variadas, e com certeza vao me ajudar a enriquecer meu conhecimento.

Agradeço a todos


Abraços



Marcelo

----------


## laurocesar

Fazer isso é bem simples, mas não com MK.

Myauth poderia fazer talvez.

Porém, não iria adiantar nada contra a clonagem.

Veja bem, esse sistema manteria o ip/mac liberado para navegar apenas.

Serviria apenas para saber que um cliente que sabe login/senha conectou.

E mesmo assim, depois de autenticado, como Não liberar para um possivel clone? Pois após o cookie ser validado o ip/mac fica liberado, por um tempo.

Como atualizar o cookie? Fazendo o cliente acessar o hotspot de tempos em tempos? E se o cliente deixar o pc ligado para baixar um documento muito importante de 350mega a respeito de uma ilha, onde um avião caiu, partindo da Austrália, como fica? 

: )

O Hostcert resolve o problema e oferece comodidade para o cliente, na minha opinião, devemos pensar sempre em primeiro lugar em deixar o cliente satisfeito, com medidas restritivas que dão trabalho para o cliente acabamos perdendo-o.

Abraços.

Atenciosamente
Lauro Cesar
Hack to learn, not learn to hack.

----------


## 1929

Lauro, tem que colocar o soft também no cliente, né?
E lá não dá muita manutenção? Não desconfigura?
Na eventual troca de algum hardware, ele se configura sozinho?

Esta foi uma dúvida lançada a pouco.

----------


## 14735

infelismente o sistema pelo hotspot esta cada vez pior .
ja testei clona mac x ip navega tranquilo se o cliente dono do mac e ip nao estiver logado 
vai pedir usuario e senha ai o cara que clonou o mac clona outro se estiver logado ele passa direto 

o negocio e mudar para PPOE .

----------


## 1929

> infelismente o sistema pelo hotspot esta cada vez pior .
> ja testei clona mac x ip navega tranquilo se o cliente dono do mac e ip nao estiver logado 
> vai pedir usuario e senha ai o cara que clonou o mac clona outro se estiver logado ele passa direto 
> 
> o negocio e mudar para PPOE .


Tu está usando criptografia também. Qual?

----------


## laurocesar

> Lauro, tem que colocar o soft também no cliente, né?
> E lá não dá muita manutenção? Não desconfigura?
> Na eventual troca de algum hardware, ele se configura sozinho?
> 
> Esta foi uma dúvida lançada a pouco.


Sim deve-se instalar em todos que deseja criar o tunel.

Entendo toda a preocupação com a manutenção que é a maior causa de custos para provedores.

Mas o sistema foi desenvolvido pensando nisso, o sucesso do Hc depende disso.

Então o software não se desconfigura, não existem arquivos para serem mexidos que possam comprometer a conectividade.

Agora, é perfeitamente compreensivel que no periodo de implementação encontre-se obstaculos, tais como:

Firewall no servidor, ou bridges no meio do caminho dropando os pacotes do Tunnel.
Rede wireless muito instáveis, exigindo que o tunel se reconecte frequentemente.
Sistema anti-virus do cliente, não permitindo que o software cliente acesse a rede, impedindo que ele receba os dados para o tunnel.
Sistemas de recuperação do windows que voltam a um estagio antigo, sem o sistema.
Usuário que mata os processos, ou sistemas de proteção que matam os processos.

Se o sistema for reinstalado, ele vai enviar ao servidor os mesmos dados para autenticação, a não ser que o cliente tenha trocado a MB, dai um novo hash é gerado...

A troca de qualquer peça removivel (como HD, memoria,placa de video externa) não gera um novo hash. Em versões antigas gerava. (Alguns demos estão por ai com esse comportamento ainda).

Outro detalhe importante, o quando de processador do cliente ele consome?

: )

Você nem percebe que o software esta trabalhando.

Então, recomendo que os amigos testem, o sistema é todo um FrameWork permitindo realizar inifinitas ações, de acordo como o perfil dos clientes.

Por exemplo, a respeito da interface minimalista do Hc Manager, Alguns contatos que estão testando questionaram sobre os relatórios de conexões, que no Manager não tem algo "Completo", porém, uma analize mais profunda do funcionamento do sistema percebe-se que pode-se executar qualquer ação no momento que o cliente conecta/desconecta ou valída seu certificado, inclusive gravar informações em banco de dados via bash/perl/php/python/c/c++, portanto cada cliente, com seus recursos humanos disponiveis pode personalizar e ou contratar um terceiro, o até a própria HC para fazer "O relatorio de conexões".

Varios sistemas de gerenciamento financeiro para provedores estão integrando.

Possuimos uma ótima API via xmlRPC para isso.

Abraços.

Atenciosamente
Lauro Cesar
Hack to learn, not learn to hack.

----------


## 14735

> Tu está usando criptografia também. Qual?


ñ uso criptografia justamente por usar hotspot e ativado a trial que permite a pessoa esperimentar o serviço ..
se coloca criptografia nao teria logica usar hotspot e ativar a trial..

----------


## osmano807

> Sim deve-se instalar em todos que deseja criar o tunel.
> 
> Entendo toda a preocupação com a manutenção que é a maior causa de custos para provedores.
> 
> Mas o sistema foi desenvolvido pensando nisso, o sucesso do Hc depende disso.
> 
> Então o software não se desconfigura, não existem arquivos para serem mexidos que possam comprometer a conectividade.
> 
> Agora, é perfeitamente compreensivel que no periodo de implementação encontre-se obstaculos, tais como:
> ...


Existe alguma alternativa open source, pois ficar pagando todo programa que vejo pela frente dará o maior prejuízo :Help: .

----------


## JHONNE

> Fazer isso é bem simples, mas não com MK.
> 
> Myauth poderia fazer talvez.
> 
> Porém, não iria adiantar nada contra a clonagem.
> 
> Veja bem, esse sistema manteria o ip/mac liberado para navegar apenas.
> 
> Serviria apenas para saber que um cliente que sabe login/senha conectou.
> ...


 
Cocordo com vc Lauro, eu como já te disse pelo msn, vou mudar para o hostcert, preciso apenas achar a melhor maneira de trabalhar com as redes empesariais, afinal é um tunel pra cada máquina

----------


## JHONNE

Pessoal,



sei que é reduntância, mais acham que seria muita loucura utilizar ppoe e hotspot ao mesmo tempo?



cliente <---> servidor ppoe < --- > hotspot (por ip, sem mac)



outra coisa:

pppoe só resolveria o problema de compartilhar a conexão quando conectado (como acontece com hotspot e ip x mac), mas não resolveria o problema de clonar o mac e usar quando o cliente não estivesse usando. Estou certo?

----------


## lipeiori

Hotspot nunca foi e nunca será uma medida de segurança.

----------


## alexandrecorrea

na verdade hotspot eh uma gambiarra que faz no firewall manipulando pacotes.. etc etc..

prefiro pppoe que nao da margem de clonagem se configurado corretamente ... podendo ainda ter MPPPE 128bits negociado na conexao do cliente...

----------


## 1929

> ñ uso criptografia justamente por usar hotspot e ativado a trial que permite a pessoa esperimentar o serviço ..
> se coloca criptografia nao teria logica usar hotspot e ativar a trial..



Normalmente se pensa em hotspot para isso.
Mas hotspot permite também uma linha de comunicação com seus clientes da rede de uma forma mais fáci.

E daí a importância de usar criptografia.
O Sérgio publicou ontem ou anteontem uma apresentação aula do Eng. Maia sobre segurança de rede.
Eu baixei aqui mas não vou postar de novo para não estar sendo redundante.
Mas o Sérgio ainda disse, leiam e releiam....
Se o cara é um cabeção da Mikrotik no Brasil, quem sou eu para contestar. E como já usava wpa2 só fiquei saboreando as informações.
Eu procurei o post de novo mas não achei.
Mas tá aí no forum.

Editando: encontrei, está na pag 5 deste mesmo tópico.

----------


## 14735

> Normalmente se pensa em hotspot para isso.
> Mas hotspot permite também uma linha de comunicação com seus clientes da rede de uma forma mais fáci.
> 
> E daí a importância de usar criptografia.
> O Sérgio publicou ontem ou anteontem uma apresentação aula do Eng. Maia sobre segurança de rede.
> Eu baixei aqui mas não vou postar de novo para não estar sendo redundante.
> Mas o Sérgio ainda disse, leiam e releiam....
> Se o cara é um cabeção da Mikrotik no Brasil, quem sou eu para contestar. E como já usava wpa2 só fiquei saboreando as informações.
> Eu procurei o post de novo mas não achei.
> ...


eu li o material que o sergio posto do maia ja avia visto antes tbm.
nao estou contestando sem duvida wpa2 ira melhorar e muito a segurança ..
o problema que postei he como vou disponibilizar o trial se implementar algum tipo de cripitografia para se conectar no radio ou rb .
aki uso hotspot com o trial quero tentar manter o mesmo e se possivel arumar uma solução 
que me de hotspot + trial e bloquear o acesso indevido do tipo clonagem de mac + ip.
se nao for possivel isso opto pela wpa2 mais ai prefiro colocar PPoE .

----------


## 1929

> eu li o material que o sergio posto do maia ja avia visto antes tbm.
> nao estou contestando sem duvida wpa2 ira melhorar e muito a segurança ..
> o problema que postei he como vou disponibilizar o trial se implementar algum tipo de cripitografia para se conectar no radio ou rb .
> aki uso hotspot com o trial quero tentar manter o mesmo e se possivel arumar uma solução 
> que me de hotspot + trial e bloquear o acesso indevido do tipo clonagem de mac + ip.
> se nao for possivel isso opto pela wpa2 mais ai prefiro colocar PPoE .


Realmente, tem razão. Aí não dá.
Eu no início pensei também nisso, de usar o hotspot para angariar assinantes.
A única solução seria ter uma rede aberta, independente para isso, com um link pequeno, só para testar e limitar o visitante a um tempo determinado. E para evitar conectar todo dia como visitante, não sei se teria alguma opção para visitar por ex. 3 vêzes de 30 minutos. Nunca me detive muito no trial.
Seria uma saída. Mas incorre em mais investimento de rádios e antenas.
Acho que seria mais prático para angariar assinantes, uma panfletagem por bairro atendido.

----------


## sergio

> ...
> 
> o problema que postei he como vou disponibilizar o trial se implementar algum tipo de cripitografia para se conectar no radio ou rb .
> aki uso hotspot com o trial quero tentar manter o mesmo e se possivel arumar uma solução 
> que me de hotspot + trial e bloquear o acesso indevido do tipo clonagem de mac + ip.
> se nao for possivel isso opto pela wpa2 mais ai prefiro colocar PPoE .


Se usa Mikrotik, utilize AP virtual. A rede "oficial" ficará protegida, garantirá privacidade aos seus clientes, terá menos problemas.

----------


## Mr_Dom

kra...nao sei se ajuda, mas existe a possiblidade de usar o tal exec-program-wait, talves com algum script perl ou php, consiga interligar com o mikrotik...a idéia é boa, e se quizer podemos conversar melhor sobre isso...t+

desculpem ae...é para o post do Jhonne q fala sobre cookies...

https://under-linux.org/f122823-esta...-de-mc-e-ip-12

----------


## laurocesar

> Existe alguma alternativa open source, pois ficar pagando todo programa que vejo pela frente dará o maior prejuízo.


Faz um a vaquinha e compra os fontes... : )

Mas vai dizer que a idéia não é boa?

kkk

----------


## unibraz

Como é que da para saber se o individuo clonou o MAC e Ip do meu cliente, é esta usando a minha rede?
Eu uso hotspot tambem.
Seria mais ou menos assim: meu cliente: [joao] MAC: 00:01:45:A2:02:1S:5A
CLONADO: [joao] MAC: 00:01:45:A2:02:1S:5A
OU seja eu vejo o joao na minha rede e tó pensando que é meu cliente mesmo?

----------


## osmano807

> Como é que da para saber se o individuo clonou o MAC e Ip do meu cliente, é esta usando a minha rede?
> Eu uso hotspot tambem.
> Seria mais ou menos assim: meu cliente: [joao] MAC: 00:01:45:A2:02:1S:5A
> CLONADO: [joao] MAC: 00:01:45:A2:02:1S:5A
> OU seja eu vejo o joao na minha rede e tó pensando que é meu cliente mesmo?


Exatamente, só que o seu cliente verdadeiro não consegue conectar, e se tiver usando windows pode até ter que desabilitar e habilitar denovo a placa de rede (já aconteceu comigo :Puke: )

----------


## underwanderson

> Se usa Mikrotik, utilize AP virtual. A rede "oficial" ficará protegida, garantirá privacidade aos seus clientes, terá menos problemas.


Ola! Sergio,
Já havia visto você falar sobre AP virtual anteriormente, e como repetiu vou perguntar, como funciona isso teóricamente, esse AP virtual, li o tópico do amigo eugeniomarques Mikrotik + Virtual AP + WDS + Zinwell G220 e fiquei interessado no que isso pode nos ajudar? *será que podemos manter o hotspot?* no que pode ajudar ai para que possamos entendermais sobre isso, pelo que entendi conseguimos um túnel virtual ai né? ou não? será que pode inibir alguns macscan? oou navegação indesejada?
Obrigado!

----------


## unibraz

como é que fico sabendo que meus clientes estão se enchergando na rede MK.

----------


## sergio

> Ola! Sergio,
> Já havia visto você falar sobre AP virtual anteriormente, e como repetiu vou perguntar, como funciona isso teóricamente, esse AP virtual, li o tópico do amigo eugeniomarques Mikrotik + Virtual AP + WDS + Zinwell G220 e fiquei interessado no que isso pode nos ajudar? *será que podemos manter o hotspot?* no que pode ajudar ai para que possamos entendermais sobre isso, pelo que entendi conseguimos um túnel virtual ai né? ou não? será que pode inibir alguns macscan? oou navegação indesejada?
> Obrigado!


Não sei se sou eu que não me faço entender ou vocês que não leem o que eu escrevo... 

AP Virtual é apenas um AP que funciona na mesma interface que já está configurada como AP. Para que isto??? Apenas para poder usar um perfil diferente do AP que já está configurado. Não tem nada a ver com segurança, com túnel, com nada... é apenas um AP comum.

Sobre segurança já falei o que tinha que falar... O grande problema é que ninguém quer implementar segurança de verdade sem abandonar as "facilidades" do dhcp, do hostpot, da porcaria da bridge (olha o nome do sistema Mikrotik ROUTER os... esse router deve servir para alguma coisa, certo?) e das outras simplificações que o sistema oferece.

Não adianta ou se configura uma rede com segurança ou não. Não tentem tirar leite de pedra... por favor.

----------


## tiagomes

> Não sei se sou eu que não me faço entender ou vocês que não leem o que eu escrevo... 
> 
> AP Virtual é apenas um AP que funciona na mesma interface que já está configurada como AP. Para que isto??? Apenas para poder usar um perfil diferente do AP que já está configurado. Não tem nada a ver com segurança, com túnel, com nada... é apenas um AP comum.
> 
> Sobre segurança já falei o que tinha que falar... O grande problema é que ninguém quer implementar segurança de verdade sem abandonar as "facilidades" do dhcp, do hostpot, da porcaria da bridge (olha o nome do sistema Mikrotik ROUTER os... esse router deve servir para alguma coisa, certo?) e das outras simplificações que o sistema oferece.
> 
> Não adianta ou se configura uma rede com segurança ou não. Não tentem tirar leite de pedra... por favor.


 

Olá Sergio gostava de uma ajuda tua.
Pretendo iniciar na atividade mas pouco percebo.
Pretendo ter essa segurança de verdade que falas.
Gostaria que me indicasses que equipamentos e sistemas usar.
Abraço

----------


## Mr_Dom

> Já postei, nem uma nem duas, mas várias vezes... Não existe proteção para redes sem fio que não seja por criptografia, e criptografia que presta, ou seja, WPA2.
> 
> Abaixo uma apresentação do Maia da MD Brasil, realizada no MUM Brasil pela Mikrotik. Por favor leiam e se não entenderem leiam quantas vezes forem necessárias e a partir dai comecem a tomar atitudes quanto às suas redes.
> 
> *http://mum.mikrotik.com/presentation...ranca_Maia.pdf*


 
Bom dia amigo, primeiro obrigado pelo post...

Queria dizer q tentei fazer usando o radius, ele até busca no BD, porém sempre deixa autenticar, mesmo com senha errada, na apostila está usando arquivo, mudaria alguma coisa pra BD, estou testando na radreply do radius, se prescisar de mais detalhes posto a conf..

desde já agradeço

----------


## Josue Guedes

Testei o AP Virtual e funciona perfeitamente bem. O solução postada pelo Sérgio é perfeita. Aliás Sérgio, vou ficar te devendo o segundo churrasco! 

Agora gente, pelo amor de Deus, a coisa é simples demais, por favor leiam o tópico todo, antes de pergutarem o que já foi postado.

----------


## underwanderson

> Não sei se sou eu que não me faço entender ou vocês que não leem o que eu escrevo... 
> 
> AP Virtual é apenas um AP que funciona na mesma interface que já está configurada como AP. Para que isto??? Apenas para poder usar um perfil diferente do AP que já está configurado. Não tem nada a ver com segurança, com túnel, com nada... é apenas um AP comum.
> 
> Sobre segurança já falei o que tinha que falar... O grande problema é que ninguém quer implementar segurança de verdade sem abandonar as "facilidades" do dhcp, do hostpot, da porcaria da bridge (olha o nome do sistema Mikrotik ROUTER os... esse router deve servir para alguma coisa, certo?) e das outras simplificações que o sistema oferece.
> 
> Não adianta ou se configura uma rede com segurança ou não. Não tentem tirar leite de pedra... por favor.


Ta bom, foi mau!
mas e você faz uso de algo que poderia nos dar uma idéia, uma topologia diferente um recurso pra se implementar na unha como fazia anteriormente, fala ai, o que você implementaria para evitar clone de mac?
Pois eu usava linux debian v. 4.0.r3 com cbq e amarração de mac via comando arp, squid etc... eu até gosto de ver códigos fazendo milagres como o cbq shaper acho um recurso fantástico e logo me indicaram o mikrotik para este serviço e me iludi, com isso comecei usa-lo e claro gostei demais pois como você disse existe "facilidades" mas não imaginava o quanto e vulnerável sozinho, por isso a abertura deste tópico, arrecadar idéias e conhecimento diversos, você poderia nos dizer o que poderia implementar para que pudesse largar de vez este "router", seria configurar maquinas separadas, tipo um server dedicado só para firewall, outra só pra fazer dhcp, outra só para o bind dns, desculpe estou sem rumo quanto a isso. ja abri mão do hotspot quero é segurança como disse.
obrigado.

----------


## jbssi

O mikrotik tem a opção de amarrar o ip+mac+nomedocomputador do cliente. Mesmo que o cara consiga clonar o ip e o mac, mesmo assim vai ficar sem navegação.

----------


## Mr_Dom

> O mikrotik tem a opção de amarrar o ip+mac+nomedocomputador do cliente. Mesmo que o cara consiga clonar o ip e o mac, mesmo assim vai ficar sem navegação.


 
q interessante, poderia nos mostrar como, ou onde tem algum material sobre isso..

grato..

----------


## underwanderson

DESCULPAS AO LAURO DA HOSTCERT

----------


## underwanderson

> O mikrotik tem a opção de amarrar o ip+mac+nomedocomputador do cliente. Mesmo que o cara consiga clonar o ip e o mac, mesmo assim vai ficar sem navegação.


 Diga pra nos ai amigo, pois e deste tipo de solucao que muitos de nos precisamos com urgencia.
obrigado!

----------


## jbssi

Amarrar ip+mac+nomedocomputador

ip/ DHCP Server/ Leases

Por default está dinâmico, selecione e clique em Make Static.

----------


## osmano807

Por isso que achei estranho esse hostcert, a ideia (sem acento) é boa, mas se não for open source ou tiver uma equipe de vendas e suporte séria, não adianta.
Já pensou quantas pessoas comprar essa solução, o dinheiro que eles lucram por adaptar um xml-rpc.

----------


## fernandofiorentinn

> Amarrar ip+mac+nomedocomputador
> 
> ip/ DHCP Server/ Leases
> 
> Por default está dinâmico, selecione e clique em Make Static.


Eu mudei o nome do computador e nao houve diferença nenhuma...navegou normal e o lease fixo continuou com o nome antigo.

----------


## edielsonps

Olá Amigos não vim criticar ninguem é nem defender, vou falar sobre o lauro cesar do que eu conheço:

A muito tempo conheci o lauro pessoalmente quando ele veio em minha cidade ele é uma pessoa boa, sem maldades nem quer enganar, agora um pessoa super ocupada isto é verdade.

o erro ai deve ter sido so a falta de comunicação entre ele com o amigo ai que veio relatar o a sua ira sobre a negociação.

não conheço o hotscet o que sei do hostcet e a formar q trabalha, faz um forma de autenticação por Certificados 509.X, uma formar de travar a conexão do cliente nos hardware do seu computador 

desejo ai que no final dessa confução as coisas se resolva...

----------


## sergio

> Olá Sergio gostava de uma ajuda tua.
> Pretendo iniciar na atividade mas pouco percebo.
> Pretendo ter essa segurança de verdade que falas.
> Gostaria que me indicasses que equipamentos e sistemas usar.
> Abraço


Olá. Abra um novo tópico que eu e, principalmente, outros, poderemos ajudar com suas dúvidas.

----------


## sergio

> Bom dia amigo, primeiro obrigado pelo post...
> 
> Queria dizer q tentei fazer usando o radius, ele até busca no BD, porém sempre deixa autenticar, mesmo com senha errada, na apostila está usando arquivo, mudaria alguma coisa pra BD, estou testando na radreply do radius, se prescisar de mais detalhes posto a conf..
> 
> desde já agradeço


Faça o teste com os arquivos (clients) do radius, para ter certeza que sua configuração está correta. Caso funcione, use o radtest do radius e descubra onde está erro, que provavelmente está na forma que o radius está "enxergando" os dados recebidos para autenticação.

----------


## sergio

> Testei o AP Virtual e funciona perfeitamente bem. O solução postada pelo Sérgio é perfeita. Aliás Sérgio, vou ficar te devendo o segundo churrasco! 
> 
> Agora gente, pelo amor de Deus, a coisa é simples demais, por favor leiam o tópico todo, antes de pergutarem o que já foi postado.


hehehehe... o dia que passar na sua cidade será churrasco o dia inteiro.

----------


## sergio

> Ta bom, foi mau!
> mas e você faz uso de algo que poderia nos dar uma idéia, uma topologia diferente um recurso pra se implementar na unha como fazia anteriormente, fala ai, o que você implementaria para evitar clone de mac?


não existe, não existe, não existe... rede aberta é rede aberta... se está aberta basta o cidadão ter conhecimento que ele acessa.




> Pois eu usava linux debian v. 4.0.r3 com cbq e amarração de mac via comando arp, squid etc... eu até gosto de ver códigos fazendo milagres como o cbq shaper acho um recurso fantástico e logo me indicaram o mikrotik para este serviço e me iludi, com isso comecei usa-lo e claro gostei demais pois como você disse existe "facilidades" mas não imaginava o quanto e vulnerável sozinho


é tão vulnerável quanto quaquer outro OS que deixar aberto... configure sua rede, feche a mesma, e não terá problemas. O problema são as "facilidades"... como é que você quer usar hotspot com dhcp e não quer que ninguém use? tudo aberto... só clonar um MAC (coisa que minha filha com 5 anos já sabia fazer) e pronto.




> por isso a abertura deste tópico, arrecadar idéias e conhecimento diversos, você poderia nos dizer o que poderia implementar para que pudesse largar de vez este "router", seria configurar maquinas separadas, tipo um server dedicado só para firewall, outra só pra fazer dhcp, outra só para o bind dns, desculpe estou sem rumo quanto a isso. ja abri mão do hotspot quero é segurança como disse.
> obrigado.


Só uma pergunta: você leu o material que postei na página 5 deste tópico (brigado 1929)? Se leu lá está descrito como implementar WPA2, individualmente, e de quebra como configurar o radius para gerenciar isto... se usar essa solução garanto que não precisará de um servidor para cada tarefa e não terá os problemas mencionados em seu primeiro post.

----------


## sergio

quanto ao "puxa faca" entre o *underwanderson e o laurocesar,* por favor gente, vamos colaborar ... se continuar, o tópico será trancado e os responsáveis pelos flames, serão advertidos.

----------


## underwanderson

:Shakehands: GALERA, QUERO AQUI RELATAR QUE FUI ANALIZAR MINHA ATITUDE QUANTO A POSIÇÃO MINHA COM RELAÇÃO AO NOSSO COLEGA LAURO DA HOSTCERT, EU POSSO ATÉ ESTÁ ENGANADO MAS EU PREFIRO ASSIM, QUERO PEDIR SINCERAS DESCULPAS A VOCÊ LAURO, QUERO QUE TODOS QUE LERAM MEU MANIFESTO ESQUEÇA POIS ESTIVE ANALIZANDO, E PODE SER QUE FUI PRECIPITADO AO FAZER JUIZO DELE SEM CONHECER SEU SERVIÇO, COMO ESTAMOS EM UM MUNDO VIRTUAL UNDERLINUX EU FALAREI MUITO A PALAVRA "PROVAVELMENTE" POIS NÃO VEMOS A CARA DE CADA UM AQUI NA REAL E TUDO VIRTUAL COM EXCESSAO DE ALGUNS AQUI QUE DIZ CONHECE-LO.
ENTÃO QUERO QUE ESTE CLIMA CHATO QUE FICOU AQUI NO TOPICO SEJA APAZIGUADO E MAIS UMA VEZ, MESMO SABENDO QUE POR MINHA ATITUDE ANTECIPADA MESMO PORQUE ACHEI QUE NEM SE POSTASSE TUDO AQUILO E SE ELE QUIZESSE DA O CANO EM ALGUEM ELE NEM IRIA BOTAR OS DEDOS NO TECLADO PRA REPLICAR MINHA FALTA DE DECENCIA AQUI, VENHO COM TODA HUMILDADE PEDIR QUE ME DESCULPE MEU IMPETUO E QUE A GALERA NAO LEVE EM CONTA O QUE ACONTECEU AQUI POIS NAO TEM PORQUE EU QUERER PREJUDICAR ALGUEM QUE PROVAVELMENTE ESTUDOU BASTANTE E MUITO MAIS QUE EU PRA CHEGAR ONDE ELE CHEGOU E EU COM MINHA FALTA DE PACIENCIA TAVA JOGANDO O CARA NA LAMA, TENHO VOU REPETIR A HUMILDADE DE PEDIR-LHE DESCULPAS SINCERAS. SEI QUE NAO MERECO SER AMIGO NEM VIRTUAL DE UMA PESSOA A QUEM ESTOU CAUSANDO ESTRAGOS PROFISSIONAIS SOMENTE POR FALTA DE PACIENCIA, MAS SEM QUERER ME JUSTIFICAR E JA O FAZENDO E QUE JA NAO AGUENTAVA MAI SAIR PROCURANDO SOLUÇOES E NAO ENCONTRAR E VIRAM QUE ESTOU DISPOSTO A ADQUIRIR MESMO QUE TENHA QUE PAGAR, MAS ACHEI QUE O LAURO PODERIA TA COM OUTRA INTENÇAO MAS COMO JA DISSE EU E QUEM POSSO TER SIDO PRECIPITADO, ESTOU AQUI DE LIVRE E ESPONTANEA VONTADE, POIS MINHA CONSIENCIA MANDA, POIS ELE TENTOU FALAR COMIGO PELO SKYPE E MSN E NAO O QUIS ATENDE-LO PEDINDO MINHA CONTA PARA DEVOLUÇÃO DOS VALORES E ESTOU ATE COM VERGONHA DE TC COM ELE POIS SEI QUE O QUE FIZ E MUITO PIOR DO QUE ESTOU FAZENDO POIS UMA CAMISA BRANCA ONDE SE DERRAMA UMA TAÇA DE VINHO SEMPRE TERA UMA MACHA MAS ESTOU TENTANDO REVER MEU ERRO E PEÇO DESCULPAS A TODOS COLEGAS DO UNDERLINUX E MODERADORES E PRINCIPALMENTE O LAURO DA HOSTCERT.
DESCULPE MESMO DE CORAÇÃO.
SOU MUITO CATÓLICO E ISSO ME AJUDA ESTAR AQUI FAZENDO ESTA LIMPEZA NO NOME DE UMA PESSOA QUE PROVAVELMENTE E UM CORREDOR E BATALHADOR COMO EU.
DESCULPE MAIS UMA VEZ E OBRIGADO A TODOS.
NAO SEI COMO FECHAR O TOPICO MAS SE OS MODERADORES ACHAREM NESCESSARIO FIQUE A VONTADE.
OBRIGADO. :Shakehands: 

a proposito Lauro o que o charles conversou contigo e verdade pode proceder com ele se for possivel, obrigado e desculpe mais uma vez.

----------


## underwanderson

> não existe, não existe, não existe... rede aberta é rede aberta... se está aberta basta o cidadão ter conhecimento que ele acessa.
> 
> 
> 
> é tão vulnerável quanto quaquer outro OS que deixar aberto... configure sua rede, feche a mesma, e não terá problemas. O problema são as "facilidades"... como é que você quer usar hotspot com dhcp e não quer que ninguém use? tudo aberto... só clonar um MAC (coisa que minha filha com 5 anos já sabia fazer) e pronto.
> 
> 
> 
> Só uma pergunta: você leu o material que postei na página 5 deste tópico (brigado 1929)? Se leu lá está descrito como implementar WPA2, individualmente, e de quebra como configurar o radius para gerenciar isto... se usar essa solução garanto que não precisará de um servidor para cada tarefa e não terá os problemas mencionados em seu primeiro post.


Muito obrigado sergio vou usar as recomendações e ver no que da, valeu!

----------


## underwanderson

pra nao constar nas tags de pesquisas de qualquer ferramenta de busca peço que delete tambem estas citações feitas por ti pois consta todo texto do manifesto lembrando que eu deletei os mesmo, me desculpe de coração e ate alguma oportunidade.

----------


## underwanderson

> Amarrar ip+mac+nomedocomputador
> 
> ip/ DHCP Server/ Leases
> 
> Por default está dinâmico, selecione e clique em Make Static.


 
ola! jbssi, fiz aluguns testes aqui e nao consegue navegar mesmo depois de clonar o mac ele nao gerou o mesmo ip como antes fazia e clonei o ip depois igual ao do mac que estava navegando e nao deu nem tela de hotspot, agora vou testar clonando MAC-IP-NOME DA MAQUINA pra ver se navega de ante-mao obrigado ai pela dica foi muito produtiva, entao vou fazer os teste e posto novamente.
obrigado
eh! no deu tem falhas e se pode navegar ainda, mas valu! vamos continuar tentando.
obrigado

----------


## pedrovigia

pergunto se eu uso hotspot com ssl + login + senha + mac + ip como alguem pode usar minha rede sem ser com o meu proprio infeliz cliente passando os seus dados a outros.....

----------


## alexandrecorrea

pode.. basta clonar o ip e o mac

----------


## pedrovigia

> pode.. basta clonar o ip e o mac


é mais ai o cara tem que saber o login e senha, e só tem dois meios de saber ou cliente passa ou ele com um sniffer descobre, mais se estiver sendo usado ssl acho dificil ele descobrir já que ssl é um protocolo considerado seguro, por prova alguns bancos, grandes lojas virtuais e etc utilizam somente ele como proteção....

----------


## sergio

> é mais ai o cara tem que saber o login e senha, e só tem dois meios de saber ou cliente passa ou ele com um sniffer descobre, mais se estiver sendo usado ssl acho dificil ele descobrir já que ssl é um protocolo considerado seguro, por prova alguns bancos, grandes lojas virtuais e etc utilizam somente ele como proteção....







> pergunto se eu uso hotspot com ssl + login + senha + mac + ip como alguem pode usar minha rede sem ser com o meu proprio infeliz cliente passando os seus dados a outros.....



Meu caro, como o Alexandre postou, se o usuário já realizou sua autenticação, já era! só clonar MAC+IP... simples assim. Não tem mais conversa.

Se usar SSL, o que irá autenticar? O cliente? ou o cliente que autenticará seu hotspot? Normalmente se utiliza certificados para trocar as chaves de autenticação e prover WPA2.

----------


## alexandrecorrea

nao precisa saber login e senha nao.. basta o seu cliente ter logado.. e a sessao estabelecida.. ai o atacante clona mac e ip.. e consegue navegar.. porque para o servidor (seja linux ou mikrotik ou qualquer outro sistema) vai estar chegando ip com mac iguais...

qualquer sistema que nao tenha um tunelamento tipo vpn, pppoe, pptp, eoip.. esta sujeito a isso.. 

se nao fosse este problema.. eu estaria com hotspot na rede aqui ateh hoje.. migrei tudo para pppoe.. nao arrependo... controle eh mais facil.. tudo centralizado.. configuracao eh bem minima.. no cliente basta estar conectado no wireless e mandar discar.. nao precisa colocar ip.. etc etc...

----------


## pedrovigia

certo com o cliente autenticado, mais ai o pirata precisa usar o mesmo ip que o cliente esta usando, pergunto pode dois ip's iguais na mesma rede ao mesmo tempo?

----------


## alexandrecorrea

poder nao pode.. mas funciona...

nao vai dar conflito pq o mac e ip sao os mesmos... o que acontece eh nao ficar boa a navegação.. mas dai.. o seu cliente provavelmente desliga o pc.. dai o atacante fica online :P

----------


## sergio

> certo com o cliente autenticado, mais ai o pirata precisa usar o mesmo ip que o cliente esta usando, pergunto pode dois ip's iguais na mesma rede ao mesmo tempo?



Agora chegou no ponto... esse é o conceito do hotspot... o tal de Universal Client... uma "gambi" que fizeram para que tudo funcione, independente da configuração do cliente.

----------


## 1929

> Agora chegou no ponto... esse é o conceito do hotspot... o tal de Universal Client... uma "gambi" que fizeram para que tudo funcione, independente da configuração do cliente.



Sergão, quem sou eu para duvidar. Estou aqui aprendendo com vocês.

Mas me lembrei de uma coisa escrita naquela apresentação do Maia que você postou, sobre segurança.
Analisa os pontos fracos de cada sistema, seja ppoe ou hotspot

Lá na pag 66 ele tira algumas conclusões.
E conclui que os dois sistemas tem suas vantagens como administração e controle da rede.
Mas que não dispensam uma boa criptografia.
Como eu pessoalmente gosto do hotspot, estou lendo e relendo aquela matéria para colocar em prática.

Nesta apresentação fala também disso que você e o Alexandre estão dizendo, que navega sim e explica porque.
É como voces dizem e o Maia confirma: Controle de mac x ip x usuário x senha não garante
segurança. Mas é o que a maioria faz, pensando que está seguro.

----------


## edielsonps

> Nesta apresentação fala também disso que você e o Alexandre estão dizendo, que navega sim e explica porque.
> .


 
amigo uma vez que um cliente seu se conectou via hotspot exemplo:
IP 192.168.0.2
mac: 00:01:02:03:04:05:06
usuario: joao
senha: mk

entao ele esta conectado com as informaçoes acima 

A outra pessoa que quer conectar de graça a sua internet, é simples ele pega e clonar o mac da placa de rede do seu cliente ex.: "00:01:02:03:04:05:06" e coloca o mesmo ip do cliente conectado na placa de rede dele ex.: "192.168.0.2" ai pronto já esta funcionando.

e para clonar mac não precisa de programa nenhum você pode fazer isto no proprio windows veja como fazer a imagen em anexo

----------


## lipeiori

E depois que o cookie do cara expirar? O atacando vai ter que esperar o cara logar denovo?

----------


## sergio

> Sergão, quem sou eu para duvidar. Estou aqui aprendendo com vocês.
> 
> Mas me lembrei de uma coisa escrita naquela apresentação do Maia que você postou, sobre segurança.
> Analisa os pontos fracos de cada sistema, seja ppoe ou hotspot
> 
> Lá na pag 66 ele tira algumas conclusões.
> E conclui que os dois sistemas tem suas vantagens como administração e controle da rede.
> Mas que não dispensam uma boa criptografia.
> Como eu pessoalmente gosto do hotspot, estou lendo e relendo aquela matéria para colocar em prática.
> ...


é isso 1929. Entendeu o espírito da coisa. Tanto que venho dizendo isso aqui no forum e em outros que participo há muitoooo tempo.

Não adianta... segurança é segurança, não tem meio termo. O grande problema é largar mão das "facilidades".

Agora um detalhe, que ocorreu na rede de um conhecido: não adianta configurar WPA2, pppoe, e tudo o mais e deixar o básico do básico padrão... Configuraram WPA2, autenticação, sistema para gerar a cripto e senha automaticamente (os operadores nem precisam conhece-las) e esqueceram todos os clientes (transceptores Ovislink/Zinwell) com a senha padrão do root e do usuário web.

ai lasca...

hehehheheehe

----------


## sergio

> E depois que o cookie do cara expirar? O atacando vai ter que esperar o cara logar denovo?



Sim, ou pegar outro mac ativo e clonar...hehehehe

----------


## lipeiori

> Sim, ou pegar outro mac ativo e clonar...hehehehe


hehehe, pra quem ja capturou um, pegar outro fica facil.

----------


## 1929

> amigo uma vez que um cliente seu se conectou via hotspot exemplo:
> IP 192.168.0.2
> mac: 00:01:02:03:04:05:06
> usuario: joao
> senha: mk
> 
> entao ele esta conectado com as informaçoes acima 
> 
> A outra pessoa que quer conectar de graça a sua internet, é simples ele pega e clonar o mac da placa de rede do seu cliente ex.: "00:01:02:03:04:05:06" e coloca o mesmo ip do cliente conectado na placa de rede dele ex.: "192.168.0.2" ai pronto já esta funcionando.
> ...


Exatamente, e é isso que na apresentação do Maia, que o Sérgio postou, também confirma. E como disse o Sérgio , o Maia é uma das autoridades em MK.
E esta questão de segurança hoje é mais importante ainda pelos aspectos legais. Tu já imaginou um pedófilo invadindo a rede e colocando em xeque a identidade de um assinante do provedor? Se for rastreado e aí, como fica a coisa?
Realmente segurança nunca é demais.

----------


## kfdigital

ola amigos acho que aqui esta a soluçao desse plobema de mac clonados...
Certificado SSL no hotspot  :Hello:

----------


## alexandrecorrea

nao resolve !! mesmo usando SSL.. o ssl somente vai evitar que capturem a senha de autenticação..

dps que alguem logar.. qq pessoa q clonar o mac e o ip.. vai conseguir navegar..

----------


## bjaraujo

> nao resolve !! mesmo usando SSL.. o ssl somente vai evitar que capturem a senha de autenticação..
> 
> _dps que alguem logar.. qq pessoa q clonar o mac e o ip.. vai conseguir navegar.._


PPPoE resolve esse problema?
Pretendo usar portal cativo para divulgação numa rede (duas redes numa placa) e pppoe conectado em outra rede.

Grato.

----------


## bjaraujo

Página 41 do material que Sérgio postou tem o método que eu pensei em usar aqui, só não sabia ser possível e prático (ou então tô muito enganado). Seria o uso de pppoe + usuário e senha + certificado para fechar a conexão. Talvez isso com uso de concessão dinâmica de ip numa faixa grande (mascara/16) pelo pppoe-server + radius torne miserável a vida dos invasores.

----------


## alexandrecorrea

entre o cliente e o gateway deve ser fechado um tunel.. pppoe com mpppe ... fica seguro..

----------


## bjaraujo

> entre o cliente e o gateway deve ser fechado um tunel.. _pppoe com mpppe_ ... fica seguro..


Você poderia me indicar algum material sobre como implementar isso no Linux? Tenho pppoe funcionando já.

----------


## underwanderson

> nao resolve !! mesmo usando SSL.. o ssl somente vai evitar que capturem a senha de autenticação..
> 
> dps que alguem logar.. qq pessoa q clonar o mac e o ip.. vai conseguir navegar..


poderia comentar este topico pra mim alexandre, 
*o que é o correto quanto acesso com certificado ssl* 
no link: Certificado SSL no hotspot - Página 10
obrigado.

----------


## sergio

o Alexandre comentou sobre MPPE pessoal. Sim, é bom, simples, não "pesa" tanto no lado servidor, massss....

quem usa por exemplo os radinhos de plástico (azul, branco ou prata), seja com firm original ou Linux adaptado terá problemas, pois normalmente não estão com suporte a MPPE ativo.

----------


## kfdigital

ola amigos, recente coloquei uma radio em um cliente! estava eu fazendo um teste de clonagem de mac e nao consegui navegar, se eu clonar o mac de um cliente com placa pci ou usb consigo navegar beleza, por que com radio nao passa alguem tem um explicaçao logica? alguem ja fez esse teste? firmware do radio do cliente e wap pro.

----------


## fernandofiorentinn

vc nao clonou o mac errado? o radio geralmente tem 3 macs diferentes..

----------


## kfdigital

> vc nao clonou o mac errado? o radio geralmente tem 3 macs diferentes..


fiquei na duvida quando voce me perguntou, mas acabei de conferir agora com aquele progama chager mac, e isso mesmo. clonei o mac certo!!! versao do meu mikrotik 2.9.27.

----------


## pedrosoassessoria

Não amigo, clona mac + ip é como falsidade ideológica. É como se o gatonet fosse o próprio cliente. Independente de cripto pra login/senha.

Abraços

----------


## JHONNE

Bem gente pra resolver o problema da navegação sem autenticação é wap2, testei e posso garantir que funciona bem, aquele negócio de clonar, mac e ip e navegar sem saber a senha não dá;

Também estão dizendo que na versão 3.XX dois macs não conseguem se associar simultaneamente ao ap (ou seja o original ou entaum o clone, nunca os dois);


agora o de clonar e navegar quando o cliente não está navegando, acho que só com ap no cliente;

Li toda a apresentação do Maya que o Ségio postou, mas sempre depara com o mesmo problema:

*as chaves pré estão disponíveis no registro do windows.*


Entaum penso que a solução mais plausível seriamos achar uma forma de criar um software que interagisse com o servidor, como um serviço que rodaria no windows e de tempos em tempos confirmasse a autenticidade do usuário, caso essa não fosse validada o sistema derrubaria a conexão;

Também andei pensando.... E aquela autenticação que os bancos usam, só computador identificado consegue ter acesso a conta, como funciona? Me parece que talvez seja interessante criar um captive portal onde um sistema em java consiga enviar informacoes do computador para que esse possa logar.

----------


## fernandofiorentinn

o Zeroshell tem um sistema parecido, usa um certificado ssl com base no hardware do cliente, porem é um firewall bem limitado..

----------


## osmano807

E se o cliente tiver o java desatualizado (como muitos, nem sabem o que é isso)? E se ele desabilitar o java com medo de que você saiba que placa de vídeo, memória, processador ele tem?

Sobre o programa, alguma coisa tipo vpn, que conectaria só com uma senha no cliente (gerada automaticamente pelo serial do hd+processador)

----------


## JHONNE

> E se o cliente tiver o java desatualizado (como muitos, nem sabem o que é isso)? E se ele desabilitar o java com medo de que você saiba que placa de vídeo, memória, processador ele tem?
> 
> Sobre o programa, alguma coisa tipo vpn, que conectaria só com uma senha no cliente (gerada automaticamente pelo serial do hd+processador)


algo tipo vpn, acho ruim, já existe esse tipo de solucão, mas quando o cliente tem uma rede necessita de servidor windows, com é o caso do hostcert.

----------


## JHONNE

> o Zeroshell tem um sistema parecido, usa um certificado ssl com base no hardware do cliente, porem é um firewall bem limitado..


tava vendo aki, sobre o zeroshell, achei interessante, se testou, dê mais detalhes fernando.

----------


## bjaraujo

> [...]
> Também andei pensando.... *E aquela autenticação que os bancos usam*, só computador identificado consegue ter acesso a conta, como funciona? Me parece que talvez seja interessante criar um captive portal onde um sistema em java consiga enviar informacoes do computador para que esse possa logar.


Acredito que EAP resolve, infelizmente não testei ainda.

----------


## weslly21

cara existe uma forma de dificultar clonagem de mac e ip

e vc colocar controle de mac nos aps

tipo assim cliente ki ta na setorial A nao conecta na B nen na C e assim por diante


se fisser isso com certeza vai diminuir e muito

aki quase todos os problema foram sanados usando controle de mac reduçao de 95%

----------


## fernandofiorentinn

> tava vendo aki, sobre o zeroshell, achei interessante, se testou, dê mais detalhes fernando.


já testei sim, porém é muito cheio de bugs tem muito que evoluir ainda, ele roda direto do cd, mas tem uma forma de instalar no hd, as configurações ele só segura se salvar em um pendrive, o captive portal dele tmb é cheio de bugs, uma hora funciona outras nao, mas no caso do certificado é bem interessante, quando o cliente conecta a primeira vez ele gera o certificado que fica salvo no servidor e atrelado ao ip e mac do cliente, caso o mac seja clonado é gerado outro certificado , porém nao navega prq o primeiro certificado tem que ser revogado no servidor.

----------


## JHONNE

> já testei sim, porém é muito cheio de bugs tem muito que evoluir ainda, ele roda direto do cd, mas tem uma forma de instalar no hd, as configurações ele só segura se salvar em um pendrive, o captive portal dele tmb é cheio de bugs, uma hora funciona outras nao, mas no caso do certificado é bem interessante, quando o cliente conecta a primeira vez ele gera o certificado que fica salvo no servidor e atrelado ao ip e mac do cliente, caso o mac seja clonado é gerado outro certificado , porém nao navega prq o primeiro certificado tem que ser revogado no servidor.


cara essa do certificado seria uma mão na roda, vou fazer testes com essa distro.

----------


## alexandrecorrea

colocar software na maquina do cliente eh complicado.. alem de dar manutenção em excesso.. cliente formata computador direto... e em uma rede com N computadores ? e se o servidor do cara for um UNIX... hehe tem isso tambem..

o lauro da hostcert tem isso funcionando.. o software dele eh show.. seguro...

----------


## JHONNE

> colocar software na maquina do cliente eh complicado.. alem de dar manutenção em excesso.. cliente formata computador direto... e em uma rede com N computadores ? e se o servidor do cara for um UNIX... hehe tem isso tambem..
> 
> o lauro da hostcert tem isso funcionando.. o software dele eh show.. seguro...


Eh, Alexandre conheço o hostcert, mas o problema dele são as redes, vc precisar ter um gateway windows para sua rede interna, aí realmente é complicado.

Essa do certificado é maneiro porque imagino eu ele seja instaldo via browser como acontece com os dos bancos

----------


## alexandrecorrea

gateway eh linux

----------


## rogeriosims

Amigos,

Creio que isso não seja um bicho de sete cabeças, alguem ai conhece de programação?

Penso no seguinte, um software que o cliente instalasse na maquina dele esse software iria coletar os dados da maquina e gerar um serial (baseado em hd, mb essas coisas). esse mesmo software conectaria em uma base de dados no servidor por ssh ou telnet que validaria ou não esse serial.

É preciso melhorar a ideia e consultar alquem que saiba programar pra ver a viabilidade do sistema.

Abraço

----------


## jeanfrank

> eu ja vi esse video, o administrador da rede hackeada colocou autenticacao do hotspot apenas por MAC.
> 
> sendo assim nao precisa nem clonar o ip, basta apenas o mac.
> 
> para coibir isso basta permitir apenas 1 usuario por MAC e instalar certificado.
> 
> aqui ainda nao tive esses problemas e eu mesmo ja tentei adentrar na minha rede usando backtrack, clone de mac, clone de ip e outros, mas nao obtive sucesso.



O problema é que tem clientes que precisam rodar varias maquinas tenho aqui clientes com 6 micros outros com 4 e varios clientes residenciais com 2 micros em casa ai distribuir varios users pra eles e barra.

abraços

----------


## rogeriosims

> O problema é que tem clientes que precisam rodar varias maquinas tenho aqui clientes com 6 micros outros com 4 e varios clientes residenciais com 2 micros em casa ai distribuir varios users pra eles e barra.
> 
> abraços


Mas ai você usa AP certo?

Creio que no caso de utilizar Ap não entraria o problema.
Pois o Ap você tem acesso direto e pode configurar a criptografia como quiser.

Talvez ate dé pra fazer alguma coisa no ap, mas ai já complica.

Vamos pensar mais um pouco e gerar ideias, depois procuramos saber da viabilidade. Quem sabe conseguimos algo bom.

----------


## osmano807

> Mas ai você usa AP certo?
> 
> Creio que no caso de utilizar Ap não entraria o problema.
> Pois o Ap você tem acesso direto e pode configurar a criptografia como quiser.
> 
> Talvez ate dé pra fazer alguma coisa no ap, mas ai já complica.
> 
> Vamos pensar mais um pouco e gerar ideias, depois procuramos saber da viabilidade. Quem sabe conseguimos algo bom.


Sobre a rede, o pc-servidor dela vai fazer nat, então não precisa de instalar o programa em todos os pc's.

Esse negócia de autenticação seria muito bom, tipo, se não for válida a chave, com iptables, bloquear o pc. Tem que ser solução baseada em C/C++ (nada de C#), pois ainda existem pessoas que não usam windows.

Vamos ver, precisaríamos de fazer conexão via ssh com o servidor, enviaria a chave do cliente via um comando (tipo validar_cliente ID-CLIENTE HARDWARE-ID), e depois se não batesse a informação, desconectasse o pc. Se tudo estiver certo, adicionasse uma regra no iptables para adicionar o pc a rede.

Acho que é fácil  :Stickyman: ...
SSH da linha de comando (putty)
http://e-articles.info/e/a/title/Cre...e-using-PuTTY/

Pegando o serial do HD (VC++)
http://www.codeguru.com/Cpp/W-P/syst...icle.php/c2815

Pegando todas as informações do PC (Processador, etc)
http://www.codeproject.com/KB/system...formation.aspx

(eu não tenho o VC++, por isso não testo, mas depois vou ver se baixo a versão express [eu uso cygwin + gcc])

----------


## stevens144

Creio que pppoe seja mais seguro, porque nele vc pode usar MSCHAPv2 (da microsoft, nao sei se possui para linux) com criptografia MPPE, criptografia MPPE de chave de 128 bits (alta segurança) e de chave de 40 bits (padrão). Mas se o computador do cliente nao for mto bom vai sentir uma certa lentidao e vai pesar no servidor tbm (pois como o alexandre me disse para os radios sao pacotes normais, quem tem mais trabalho é o servidor e o pc do cliente)... bom, pelo menos foi o que eu notei aki com testes no servidor FreeRADIUS. nao sei se vou implementar mas ta ai a dica.
Alias achei o HostCERT mto interessante, agora temos q ver o desempenho
abraços

----------


## underwanderson

> Amigos,
> 
> Creio que isso não seja um bicho de sete cabeças, alguem ai conhece de programação?
> 
> Penso no seguinte, um software que o cliente instalasse na maquina dele esse software iria coletar os dados da maquina e gerar um serial (baseado em hd, mb essas coisas). esse mesmo software conectaria em uma base de dados no servidor por ssh ou telnet que validaria ou não esse serial.
> 
> É preciso melhorar a ideia e consultar alquem que saiba programar pra ver a viabilidade do sistema.
> 
> Abraço


amigo, isso o hostcert ja faz, mas tem essa de ter que instalar programa extra no cliente como nosso amigo alexandre disse "e se o cliente formata a maquina?" e se o cliente que usar um notebook alem do pc ja conectado? entao eu imagino que a solução pode ser feita diretamente em um conjunto de configurações no proprio mikrotik mas como? e quais combinações de configurações sem a nescessidade de uma instalação direta no cliente o que poderia ocasionar dor de cabeça para as redes, manutenção e até chateação do cliente ao ponto dele se dispersar para o concorrente por ter que ficar abrindo chamado, pois o cliente so quer ligar o pc e no maximo logar para navegar e mais nada se ele sentir que esta muito dificil ele desiste logo, isso é a realidade.
obrigado

----------


## underwanderson

este foi um topico em um outro post meu aqui leiam e tentem nos ajudar.
obrigado!
===================================================
Boa noite unders de plantao!
eh o seguinte, apesar das configurações colocadas atraves de ideia minha aqui em um post, ainda continuo usando e com certificado ssl implementado, e ao refazer os testes aqui notei que consegui abrir paginas mas com mac que por ventura eu ja tinha em maos e navegando com alguma dificuldade (eu nao queria se fosse um clonador de mac ficar quebrando cabeça em uma rede com dificuldade de navegação!), blz, entao fiz uma avaliação e vi que quem nao possui mão de mac's da minha rede e vai aventurar levantar um mac scan pela primeira vez nesta rede, como foi dito o safado so recebera o mac dele mesmo e o do gateway da rede (o que teriamos de camufla-lo ou ate mesmo esconde-lo quem souber posta ai seja regra firewall ou outro meio), entao, ai continuando minhas ideias malucas.
configurei um ap edimax em bridge com wap2 e chave extensa onde o ap so ficaria ali pra autenticar a passagem pra internet apos cliente logar no hotspot em vez de colocar a tal chave wap2 no ponto de acesso externo o que bloquearia o hotspot para o publico e nao seria o ideal aqui. este ap edimax implementei ele entre o modem que esta em bridge e o mk (quem disca ppp0e é o mk), entao a rede tava ficando assim:
o cliente ligaria o pc, antes de logar pediria confirmação do certificado ja instalado na maquina sim ou nao (quem fez o teste sabe do que estou falando) entao ele logaria no hotspot com seu user e senha (o intuito aqui e manter o hotspot hein!) e antes do mk liberar ele pra fora na internet ele passaria por dentro do ap edimax com wap2 que esta ali so pra barrar-lo com autenticação wap2, ele iria digitar a chave somente uma vez a nao se que venha formatar a maquina um dia ai teria que digitar tal chave novamente (ou nos iriamos digitar para que ele nao tentasse passar para alguem) apesar que se explicassemos que ele e quem correria riscos passando tal chave pra alguem ele ate nem o faria.
mas ai que vem o problema, vi que o ap em bridge a conexao passa direto pra internet e nem pede a tal chave o que poderia ter feito? sera que o ap tem que ser um gateway? e como fariamos para redirecionar no firewall do mk para a criptografia do ap? como ficaria a regra?
entao so precisamos juntar e ver como fica isso e ai o malandro so chegaria ate o hotspot pois na hora boa de navegar ele teria que passar uns bons dias da vida dele tentando quebrar a chave pra ver a telinha do google.
ajudemo-nos e verás o quanto somos fortes!
obrigado e boa madrugada!
==================================================
o link: JUNTANDO FORÇAS PARA DESCOBERTA INEDITA CONTRA NAVEGAÇÃO A BASE DE CLONAGEM DE IP - Página 7

----------


## kfdigital

cheguei a indentificar dois clonadores de mac na minha rede com hotspot, resolvi o problema ativando a chave wep 128bits do ap router, apesar de nao ser tao boa quanto a wpa2, mas por causa de umas placa pci nao ter o progama para a wpa2, e escondi a faixa de ip da rede, so sendo visivel para os clientes cadastrados no dhcp,ficou muito bom. :Dancing2:

----------


## underwanderson

> cheguei a indentificar dois clonadores de mac na minha rede com hotspot, resolvi o problema ativando a chave wep 128bits do ap router, apesar de nao ser tao boa quanto a wpa2, mas por causa de umas placa pci nao ter o progama para a wpa2, e escondi a faixa de ip da rede, so sendo visivel para os clientes cadastrados no dhcp,ficou muito bom.


como escondeu a faixa de ip da rede desativou o dhcp? se nao como foi que fez para esconder tal faixa para o publico sem eles deixar de acessar a tela do seu hotspot? ou vc nao usa hotspot?
obrigado

----------


## stevens144

O bom do pppoe que uso, é que na interface de rede do mk que sai para os clientes nem coloco ip.. pois pppoe trabalha na camada de enlace para se conectar!  :Big Grin: 

intao alem do cara ter q quebrar a wep... ele tem q clonar o mac e o usuario e senha que trafega em _MS-Chap_ v1 com _MD5... 


_

----------


## fsoaress76

Fiz um captive portal que checa no BD qual é o login, senha, ip, mac em seguida confere com o ip+mac do PC do clientes, se não conferir, o cliente não navega.

Tudo na porta 80 é redirecionado para uma pagina da empresa, so libera depois de coferido o ip e mac.
usando PHP e MYSQL

Também temos um sisteminha que (bloqueia, libera) clientes só com simples clicks.

Ótimo para o atendente liberar o cliente quando paga. 

Usando PHP.

----------


## mdcsp

> O mikrotik tem a opção de amarrar o ip+mac+nomedocomputador do cliente. Mesmo que o cara consiga clonar o ip e o mac, mesmo assim vai ficar sem navegação.


quero testar isso aí(se der certo ja mato 99% dos ladroes aqui)
Uso ip-fixo(na queue) + MAC(amarrado na arp) e tenho aps em todos os clientes!
Mesmo assim consigo usar o ip_mac_nomedomicro-do_cliente) ???
Como extamente(com detalhe spor favor..rs) ???

----------


## pedrovigia

> Fiz um captive portal que checa no BD qual é o login, senha, ip, mac em seguida confere com o ip+mac do PC do clientes, se não conferir, o cliente não navega.
> 
> Tudo na porta 80 é redirecionado para uma pagina da empresa, so libera depois de coferido o ip e mac.
> usando PHP e MYSQL
> 
> Também temos um sisteminha que (bloqueia, libera) clientes só com simples clicks.
> 
> Ótimo para o atendente liberar o cliente quando paga. 
> 
> Usando PHP.


mais isso o próprio mikrotik faz tb e não adianta de nada ....

----------


## fsoaress76

> mais isso o próprio mikrotik faz tb e não adianta de nada ....


 

aqui usamos o mikrotik so como bridge.

todos os controles é em linux.

----------


## kfdigital

> como escondeu a faixa de ip da rede desativou o dhcp? se nao como foi que fez para esconder tal faixa para o publico sem eles deixar de acessar a tela do seu hotspot? ou vc nao usa hotspot?
> obrigado


simples, antes tudo voce vai em ip dhcp serve na opcao lease em todos os clientes voce cadastra em make static fazendo com que so os clientes cadastrado receba ip, depois vai em dhcp na sua interface de saida que pretende esconder o ip e colocar na aba adrees pool, deixa em static-only, aparti dai so os clientes cadastrado vai receber a pagina de login, e os entrusos receberam conexao nula ou limitada, hehehe...boa sorte!

----------


## agpnet

> nao precisa saber login e senha nao.. basta o seu cliente ter logado.. e a sessao estabelecida.. ai o atacante clona mac e ip.. e consegue navegar.. porque para o servidor (seja linux ou mikrotik ou qualquer outro sistema) vai estar chegando ip com mac iguais...
> 
> qualquer sistema que nao tenha um tunelamento tipo vpn, pppoe, pptp, eoip.. esta sujeito a isso.. 
> 
> se nao fosse este problema.. eu estaria com hotspot na rede aqui ateh hoje.. migrei tudo para pppoe.. nao arrependo... controle eh mais facil.. tudo centralizado.. configuracao eh bem minima.. no cliente basta estar conectado no wireless e mandar discar.. nao precisa colocar ip.. etc etc...


Alexandre, gostaria de aproveitar a sua excelente experiência com o PPPOE e gostaria de saber se você poderia me ajudar  :Bawling:  :Adore: , estou com alguns problemas com pppoe, em que a conexão fica "congelada" (nem ping funciona), ai o cliente reconecta e volta a navegar, o sinal deles ficam na faixa de -59 a -66, o rádio não cai, apenas o pppoe que "trava". O pppoe "pesa" na conexão? , ou o gargalo esta no processamento? (o processamento da rb fica bem baixo), faço o controle na rb, mas estou pensando em colocar um pc com mk para "core router", ja tenho tudo, mas a minha dúvida é se ele pode deixar a rede lenta, pois mac x ip a rede fica bem rápida... porém insegura.
Os tamanhos do do MTU e MRU podem influenciar este possível congelamento ? Trabalho com tudo em bridge, isto pode ser um problema? , pois esta bridge serve outros dois pops, e o pppoe server "serve" esta "big" bridge, estava pensando em fazer os pops terem seus próprios pppoe servers e rotearem para meu mk principal (a big bridge), utilizo o freeradius para autenticar.
Fico muito grato se você puder me ajudar !!! :Adore:

----------


## carlinhotocabrabo

> acho que a unica solução é o hostcert
> 
> quero implantar o sistema este mês


olá amigo, gostaria de saber se ja esta trabalhando com o Hostcert ?? cumpre o que promete ? da muita manutençao no cliente ? entrei em contato com eles e me agradou muito o sistema , esse mes vou tentar colocar aqui na minha rede ..

----------


## alexandrecorrea

> Alexandre, gostaria de aproveitar a sua excelente experiência com o PPPOE e gostaria de saber se você poderia me ajudar , estou com alguns problemas com pppoe, em que a conexão fica "congelada" (nem ping funciona), ai o cliente reconecta e volta a navegar, o sinal deles ficam na faixa de -59 a -66, o rádio não cai, apenas o pppoe que "trava". O pppoe "pesa" na conexão? , ou o gargalo esta no processamento? (o processamento da rb fica bem baixo), faço o controle na rb, mas estou pensando em colocar um pc com mk para "core router", ja tenho tudo, mas a minha dúvida é se ele pode deixar a rede lenta, pois mac x ip a rede fica bem rápida... porém insegura.
> Os tamanhos do do MTU e MRU podem influenciar este possível congelamento ? Trabalho com tudo em bridge, isto pode ser um problema? , pois esta bridge serve outros dois pops, e o pppoe server "serve" esta "big" bridge, estava pensando em fazer os pops terem seus próprios pppoe servers e rotearem para meu mk principal (a big bridge), utilizo o freeradius para autenticar.
> Fico muito grato se você puder me ajudar !!!


pode ser problema no MTU ... aqui eu deixo em 1492 ... e tenho a regra de alterar o MSS para 1440 ... alguns sites/serviços (msn, yahoo, etc etc) dao problema com mtu maior que 1440, nao sei dizer exatamente o porque (talvez nao aceitam o pmtu discovery)...

----------


## agpnet

> pode ser problema no MTU ... aqui eu deixo em 1492 ... e tenho a regra de alterar o MSS para 1440 ... alguns sites/serviços (msn, yahoo, etc etc) dao problema com mtu maior que 1440, nao sei dizer exatamente o porque (talvez nao aceitam o pmtu discovery)...


Valeu Alexandre, batata, alterei o MTU para 1440 (tava 1488), além de colocar um mk dedicado para controle pppoe e banda e firewall, ta tudo show de bola agora !!! :Dancing2: 
PPPOE é muito bom mesmo !!!! Recomendo a Todos !!  :Party: 

Obrigado  :Adore: !!!

----------


## sharknet

> Coloca um certificado ssl no hotspot. Pode clonar o mac x ip mas a autenticação usuário x senha vai estar criptografada.


isso nao funciona pois o cliente ja esta logado (isso so finciona para mc e ip diferente ou se o verdadeiro cliente nao estiver logado (pois clonando o mac e ip eles navegam juntos)

----------


## osmano807

Porque não fazem um "discador", que irá acessar a página do hotspot automaticamente, logando? O user e a senha poderiam como as chaves WPA, armazenados no programa, assim ninguém, nem mesmo o cliente saberiam a senha.

----------


## viunet

ola pessoa estou começando agora nesta briga contra clonagem , tabem gosto muito do hostpost..teria agunha regra de segurança para apena um ip nagevega e se aparece um segundo ip igual se direcionado para um pagina de aviso

----------


## 1929

> ola pessoa estou começando agora nesta briga contra clonagem , tabem gosto muito do hostpost..teria agunha regra de segurança para apena um ip nagevega e se aparece um segundo ip igual se direcionado para um pagina de aviso



Eu também tenho hotspot. Mas só login e senha do hotspot não previnem nada. Eles estão lá para organizar seu hotspot. Usar paginas de comunicação com a sua comunidade, etc. Nada além disso.
 
E configura no perfil para uma só conexão. Assim, mesmo que alguém quebre a chave, consiga login e senha, só vai navegar ele. O verdadeiro vai telefonar reclamando.

Mas em se falando de segurança, não devia aparecer outro ip.
Para previnir qualquer invasão, a primeira barreira está na cripto. Usando WPA2+AES, fica muito mais difícil de quebrar.

Agora, se quisermos usar hotspot para fazer propaganda do provedor, vai ter que deixar tudo aberto, ou fazer uma rede paralela para isso.
Veja esta apresentação sobre segurança;

----------


## sharknet

> Porque não fazem um "discador", que irá acessar a página do hotspot automaticamente, logando? O user e a senha poderiam como as chaves WPA, armazenados no programa, assim ninguém, nem mesmo o cliente saberiam a senha.


como seria possivel manda alguma coisa ai pra gente po um link um doc como fazer

----------


## osmano807

> como seria possivel manda alguma coisa ai pra gente po um link um doc como fazer


Trabalho com C/C++, mas acho que vai dar para entender:
Não trabalho com mikrotik, então: o hotspot passa o user e senha via GET ou POST?
Tirado dos exemplos da libcURL
Via GET:



```
#[B][COLOR=#5f9ea0]include[/COLOR][/B] [B][COLOR=#bc8f8f]<iostream>[/COLOR][/B]
#[B][COLOR=#5f9ea0]include[/COLOR][/B] [B][COLOR=#bc8f8f]<curl/curl.h>[/COLOR][/B]
#include <cstdio>
using namespace std;
 
[B][COLOR=#228b22]int[/COLOR][/B] [B][COLOR=#0000ff]main[/COLOR][/B]([B][COLOR=#228b22]void[/COLOR][/B])
{
  CURL *curl;
  CURLcode res;
 
  string url = "[B][COLOR=#bc8f8f][URL="http://curl.haxx.se/"]http://meuservidorhotspot/pagina_do_hotspot?user=[/URL][/COLOR][/B]USUARIO&password=SENHA";
  curl = curl_easy_init();
  [B][COLOR=#a020f0]if[/COLOR][/B](curl) {
    curl_easy_setopt(curl, CURLOPT_URL, [B][COLOR=#bc8f8f]url.c_str()[/COLOR][/B]);
    curl_easy_setopt(curl, CURLOPT_FOLLOWLOCATION, 1);
    curl_easy_setopt(curl, CURLOPT_MAXREDIRS, 500);
 
    res = curl_easy_perform(curl);
    if(res)
        {
                        cout << "Cannot access authentication server!\n";
                        logadd(sc_curl_errbuf);
                        cout << "Error:  " << sc_curl_errbuf << endl;
         }
 
 
    curl_easy_cleanup(curl);
  }
  [B][COLOR=#a020f0]return[/COLOR][/B] 0;
}
```

 Com POST é mais complicadinho um pouco:


```
#include <stdio.h>
#include <string.h>
 
#include <curl/curl.h>
#include <curl/types.h>
#include <curl/easy.h>
 
int main(int argc, char *argv[])
{
  CURL *curl;
  CURLcode res;
 
  struct curl_httppost *formpost=NULL;
  struct curl_httppost *lastptr=NULL;
  struct curl_slist *headerlist=NULL;
  static const char buf[] = "Expect:";
 
  curl_global_init(CURL_GLOBAL_ALL);
 
  /* Fill in the filename field */
  curl_formadd(&formpost,
               &lastptr,
               CURLFORM_COPYNAME, "user",
               CURLFORM_COPYCONTENTS, "USUARIO",
               CURLFORM_END);  /* Fill in the filename field */
 
curl_formadd(&formpost,
               &lastptr,
               CURLFORM_COPYNAME, "password",
               CURLFORM_COPYCONTENTS, "SENHA",
               CURLFORM_END);
 
 
  /* Fill in the submit field too, even if this is rarely needed */
  curl_formadd(&formpost,
               &lastptr,
               CURLFORM_COPYNAME, "submit",
               CURLFORM_COPYCONTENTS, "send",
               CURLFORM_END);
 
  curl = curl_easy_init();
  /* initalize custom header list (stating that Expect: 100-continue is not
     wanted */
  headerlist = curl_slist_append(headerlist, buf);
  if(curl) {
    /* what URL that receives this POST */
    curl_easy_setopt(curl, CURLOPT_URL, "[B][COLOR=#bc8f8f][URL="http://curl.haxx.se/"]http://meuservidorhotspot/pagina_do_hotspot[/URL][/COLOR][/B]");
    if ( (argc == 2) && (!strcmp(argv[1], "noexpectheader")) )
      /* only disable 100-continue header if explicitly requested */
      curl_easy_setopt(curl, CURLOPT_HTTPHEADER, headerlist);
    curl_easy_setopt(curl, CURLOPT_HTTPPOST, formpost);
    res = curl_easy_perform(curl);
 
    /* always cleanup */
    curl_easy_cleanup(curl);
 
    /* then cleanup the formpost chain */
    curl_formfree(formpost);
    /* free slist */
    curl_slist_free_all (headerlist);
  }
  return 0;
}
```

 Claro, vocês podem fazer isso com interface gráfica, com logo da empresa, tudo bonitinho.

----------


## viunet

> Trabalho com C/C++, mas acho que vai dar para entender:
> Não trabalho com mikrotik, então: o hotspot passa o user e senha via GET ou POST?
> Via GET:
> 
> 
> 
> ```
> #[B][COLOR=#5f9ea0]include[/COLOR][/B] [B][COLOR=#bc8f8f]<iostream>[/COLOR][/B]
> #[B][COLOR=#5f9ea0]include[/COLOR][/B] [B][COLOR=#bc8f8f]<curl/curl.h>[/COLOR][/B]
> ...



como pode ser mimprelementado esse configuraçao.,.. em outra maquina .. vc poderia ser + detalhista ... por favor. :Girlshit:

----------


## osmano807

> como pode ser mimprelementado esse configuraçao.,.. em outra maquina .. vc poderia ser + detalhista ... por favor.


Ok. Fariam um programa que rodaria em "background" no pc do cliente, ou seja, rodaria sem que o usuário percebesse. Esse programa constantemente iria dar ping em um servidor remoto ou iria fazer o download de uma página que falaria se ele estava autenticado ou não (usando a API do mikrotik?).

Se ele detectasse que não tinha internet no cliente, ele iria acessar a página do form do hotspot, colocando o usuário e a senha, e assim autenticando.

Esse usuário e senha seriam armazenados com alguma criptografia no programa, só desencriptando em run-time, algo como um md5 ou bash64 já serviria, evitando assim um editor hexadecimal de descobrir a senha. Como o mikrotik usa md5, era só pegar a senha já encriptada, ou se pode encriptar a senha já encriptada, desencriptando em run-time, liberando o md5 feito pelo mikrotik (viajei na segurança!)
Há como se fazer isto com SSL também, e com certificado "embutido" no programa.

Há outras alternativas, como usar a API do mikrotik para só liberar o cliente no firewall quando o "discador" do computador dele se autenticar em uma página no servidor ou até mesmo usando sockets.

Há um mundo de soluções, é só parar para pensar.

----------


## sharknet

o problema e que eu e muitos nao sacam de programaçao eu entendo um pouco de mikrotik 

mas c++ ja ouvi falar kkkkkkkk



esses codigos e para pagina de loguin ou isso ai cria um discador que tem que ser instalado na maquina de cliente 



por essa soluçao podemos começar a falar em remuneraçao 

[email protected]

----------


## osmano807

> o problema e que eu e muitos nao sacam de programaçao eu entendo um pouco de mikrotik 
> 
> mas c++ ja ouvi falar kkkkkkkk
> 
> 
> 
> esses codigos e para pagina de loguin ou isso ai cria um discador que tem que ser instalado na maquina de cliente 
> 
> 
> ...


Esses códigos são C++, é o "discador", eles se conectam ao servidor e mandam um usuario e senha, o primeiro via GET e o segundo via POST. Usando a libcURL.
Não sei se posso fazer algo amigável ao cliente, pois não trabalho com o Visual C++ da Microsoft, só GCC. Mas se for para poder instalar em clientes Linux também, tem que ser GCC mesmo, com uma interface bonitinha, tipo QT ou wxWidgets.

Uma pergunta: a API do mikrotik oferece a informação se o usuario X está logado no Hotspot?
Pergunta 2: O Hotspot manda o login via GET ou POST?

----------


## viunet

> Esses códigos são C++, é o "discador", eles se conectam ao servidor e mandam um usuario e senha, o primeiro via GET e o segundo via POST. Usando a libcURL.
> Não sei se posso fazer algo amigável ao cliente, pois não trabalho com o Visual C++ da Microsoft, só GCC. Mas se for para poder instalar em clientes Linux também, tem que ser GCC mesmo, com uma interface bonitinha, tipo QT ou wxWidgets.
> 
> Uma pergunta: a API do mikrotik oferece a informação se o usuario X está logado no Hotspot?
> Pergunta 2: O Hotspot manda o login via GET ou POST?



bom ... vc teria um tutorial, deixa mais claro... acredito q todos aqui tem interrese em colocar no seu hostpost algo parecido... :Girlshit:

----------


## sharknet

sera que isso bloqueia mesmo os clones de mac ou voce nao sabe

----------


## osmano807

> sera que isso bloqueia mesmo os clones de mac ou voce nao sabe


Olha só, o cliente nem vai saber que está acessando via hotspot, ou seja, não vai saber usuário nem senha. Se alguém conseguir entrar na rede wireless, não vai saber conectar, pois não possui usuário nem senha.
Nesse momento, para a maioria, já acaba com os problemas de clones, pois ninguém vai saber o user e a senha.

Agora, se o "hacker" for mais esperto, vai rodar um sniffer. Ele vai capturar a senha, mas encriptada, não adiantando nada...

Se ele pegar o programa no cliente, é só trocar o user e a senha no hotspot, e mandar outro programa para o cliente.

Se voltar a ocorrer, você avisa o cliente, vê o qu está acontecendo.

Se o "hacker" tentar pegar a senha diretamente do programa, com algum programa hexadecimal ou assembly, não vai coseguir, pois a senha no próprio programa já estará encriptada duas vezes, desencriptando em run-time e mandando no nivel de criptografia que o mikrotik aceita.

Pode-se aumentar ainda mais as funcionalidades, como checar números de série, usar isso sem ser hotspot, com o programa liberando o cliente via API do mikrotik.

Ah, por favor, se alguém resolver fazer isto, coloquem sobre GPL, não tentem vender isto. Pode-se fazer algo mais personalizado, com o programador gerenciando tudo e vendendo o pacote, mas os fontes deverão ser disponibilizados. É ruim quando vemos uma coisa que seria bom para todo mundo, mas que todos tem que pagar porque querem lucrar em cima de idéias e programas GPL, como muitos firmwares por aí.

----------


## sharknet

mas o problema e o seguinte amigo quando um cliente ja esta logado o clone passa direto pelo hotspot sem fazer logim cara ai e que ta a peleja ********

----------


## rubensk

> mas o problema e o seguinte amigo quando um cliente ja esta logado o clone passa direto pelo hotspot sem fazer logim cara ai e que ta a peleja ********


É por isso que tunelamento com criptografia é o canal para se livrar dos clonadores de MAC/IP.

----------


## sharknet

> É por isso que tunelamento com criptografia é o canal para se livrar dos clonadores de MAC/IP.


 




como assim tunel como fazer isso tem um tuto porai ? se tiver me manda ae li bastante aqui e meu mk e o 2.9.27 e ajo que nao tem isso tem??







muito obrigado a todos que me ajudam e ajudam ao proximo isso será recompensado nao por mim mas por uma pessoa que pode te oferecer muito mais que nos humanos tenha serteza"""""""!!!!

----------


## rubensk

> como assim tunel como fazer isso tem um tuto porai ? se tiver me manda ae li bastante aqui e meu mk e o 2.9.27 e ajo que nao tem isso tem??
> 
> 
> 
> 
> 
> 
> 
> muito obrigado a todos que me ajudam e ajudam ao proximo isso será recompensado nao por mim mas por uma pessoa que pode te oferecer muito mais que nos humanos tenha serteza"""""""!!!!


Vídeo:


```
ftp://ftp.registro.br/pub/gter/gter26/videos/mp4/gter-09-autenticacao-wifi-l2tp-ipsec_256.mp4
```

 
Slides:


```
ftp://ftp.registro.br/pub/gter/gter26/09-autenticacao-wifi-l2tp-ipsec.pdf
```

 
O concentrador de túneis da apresentação não é Mikrotik, mas tem um artigo na Mikrotik Wiki explicando como fazer em Mikrotik:


```
http://wiki.mikrotik.com/wiki/MikroTik_RouterOS_and_Windows_XP_IPSec/L2TP
```

 
Se isso funciona em Mikrotik 2.x eu não sei.



Em tempo: O Rubens que fez a apresentação não sou eu não.

----------


## sharknet

muito bom isso vou dar uma olhada e reporto a voce muito obrigado que deus te abençoe

----------


## sharknet

Achei em um artigo um teste de segurança totalmente gratuito muito fod****** o ruim e que e em ingles fora isso e o bicho 

ele te fala qual porta esta aberta em seu mikrotik oque esta faltando e muito mais cara muito bom 

assim aconomizando regras que nao servem para nada e um monte de coisa 

vou deixar o link aqui quem quizer :


https://www.grc.com/x/ne.dll?rh1dkyd2

o nome do teste e *ShieldsUP!! Services* 

dai e so voce fazer os texte como as porta abertas e vulneraveis "common ports"

a evoluçao de pessoas interesadas e inevitavel !!!!!!!!!!!!!!!!!!!

----------


## Mr_Dom

bom dia amigos, sobre hostspot ser POST ou GET ta ae a resposta...é POST




```
<form name="login" action="$(link-login-only)" method="post" onsubmit="$(if chap-id) return doLogin(); // $(endif)savePassCookie();" style="margin:0; padding:0;">
```

 

eu estava pensando a algum tempo em alguma coisa pra validar os dados da maquina do cliente, vi q e possivel com activeX, mas dae o problema do firefox, nao sei se existe algo equivalente pra ele ?...sobre esse esquema de C++, posso dar uma ajuda em outras coisas (PHP, Hotspot, Mikrotik), menos em C..eheheh

abraços

----------


## TheHawk

> Vídeo:
> 
> 
> ```
> ftp://ftp.registro.br/pub/gter/gter26/videos/mp4/gter-09-autenticacao-wifi-l2tp-ipsec_256.mp4
> ```
> 
>  Slides:
> 
> ...


Brisanet...... nosso concorrente aqui na região..... e funciona até bem esse L2TP deles.... já trabalhei com eles a muito tempo atras.....

----------


## gulinhaster

Estou acompanhando o post desde o começo, se a gente colocasse em dhcp server-networks-netmask/32,não seria mais dificil o "clonador" rastrear na rede ip e mac?
Voces acham que ajudaria em alguma coisa?

----------


## wps

Caso seus switches nao sejam gerenciaveis:
Tente segmentar a rede em diversos roteadores, queira centralizar a rede vc pode usar pppoe, ou vpn mppe nos dois casos esses tipos de vpn se utilizam de algoritimos de seguranca que ja forma comprometidos.

Caso seu switch seja gerenciavel port-security resolve o problema.
Tente criar uma politica de acesso em seus switches limitando cada uma das portas de acesso de clientes em 1 mac e as portas de trunk em 100 macs, tente diminuir ao maximo o tamanho das vlans para que vc possa isolar quem esta snifando a rede. 

Uma alternativa bem profissional:
Voces pode se utilizem de 802.1x que é uma tecnologia de critpografia entre cliente e gateway, de forma alternativa podem usar vpn para autenticar seus clientes.

Sinceramente esse é um problema tipico e que deve ser resolvido de forma definitiva seja qual for o metodo que voce adotar.

----------


## underwanderson

É o seguinte, hoje consegui entender uma função que tem no controle do mikrotik que é a funçao que fica em / ip hotspot servers, selecionando com dois cliques o nome do meu servidor de hotspot abrirá uma caixa onde tem a função addresses per MAC, onde por padrão vem designado o número 2 como sendo autorizado até 2 endereços por mac então ai que fazendo uns testes descobri que este controle é da limitação de endereço IP em cima de um único MAC, agora a dúvida:
Como e onde poderia fazer este mesmo controle mas com limite de conexões baseado no MAC?, ou seja, limitar a autenticação e navegação de apenas uma maquina utilizando um único MAC se alguém clonasse esse MAC o mikrotik já identificaria que já havendo um MAC com aquelas caracteristicas ele não permitiria o acesso de um segundo, existe algum script que possa ser colocado nos profiles de controle de velocidade em / ip hotspot users profile ou mesmo na sessão dos script? pois etive verificando que na 3ª aba dos profile é especifico para algum script.
RESUMINDO: precisamos de um controle de limite de conexão por mac e não por addresses.
Obrigado

----------


## fsoaress76

*PPTP (LAN-to-LAN)*

Essa foi a solução que encontremos aqui na empresa.

1. Servidor_de_dados dos cliente (Radius+mysql).
2. Servidor_Gatware (freeradius+Radiuscliete+pptp)
3. Mikrotik (modo-bridge)

Exemplo:
Servidor_de_dados: recebe as solicitação dos outros servidores 

Servidor_Gatware: recebe as solicitações dos clietes(login+seha+ip) e pergunta ao Servidor_de_dados se existe, confere..., libera login+senha+mac+banda+ip(tunel) para o Servidor_Gatware. depois de tudo isso o Servidor_Gatware autentica o cliente. 

Auteticação é Instantâneo;
1 cliente por autenticação.

----------


## luizarturmoura

complicado demais isso ai... to com o mesmo problema, e a cidade aki é interiorzão, todo mundo conhece todo mundo isso permite q um cara passe mac e ip pra outro cara q ele considera amigo... depois o proprio amigo começa a usar a internet no mesmo horário, derrubando assim o verdadeiro cliente, to usando agora 4 APs virtuais pra cada interface wireless, pra cada ap virtual eu criei uma criptografia diferente, coloquei um nome de AP esquisito, e ocultei o SSID... vi que tem como colocar senha por mac no access list do microtik, mas nao consegui fazer isso. Alguem já fez isso ai?

----------


## luizarturmoura

o problema do VPN em conexoes de rede sem fio é pq o ping tem q estar perfeito, e quando o sinal cai, o cliente ainda fica logado no servidor, e demora cerca de 3 min. pra cair no servidor, nesse período de queda o cliente nao consegue logar o vpn novamente, fica dando erro... muitos cliente reclamam pela demora pra conectar, devido ao problema optamos por deixar somente com criptografia e controle de mac, o controle de banda a gente faz no servidor... creio q se eu conseguir colocar criptografia por mac, vai ficar como se fosse o vpn, só q depois de salvar o profile na casa do cliente na vai ter mais o problema da senha salva na conexao vpn.

----------


## luizarturmoura

tem uma coisa q fiz aki q amenizou um pouco a pirataria: coloquei a SSID oculta e coloquei um nome nela q possuia caracteres invisíveis, a olho nu o cara pensa q é um espaço:

AP_01

Substitui o underline ( ___) por um caractere invisível, daqueles q vc precisa segurar alt+255, a olho nu sai como se fosse um espaço, mas é um caractere invisível, é uma pegadinha q ajuda bastante a complicar a pirataria.

----------


## lienkarf

Pra quem leu o post todo viu algumas soluções legais, pppoe ajuda mais tem que ter criptografia, hotspot não é para servir como um serviço de segurança, wpa e wpa2 são essenciais e é legal a implementação do maia com wpa gerada pelo radius, e pelo que ele mostrou é bem leve também.

Mais fica uma duvida, e a função passthrough da guia eap??? Pelo que eu li ela permite que o radius gerencie as chaves, ai o mk serviria apenas de um relay para as chaves, está correto isso?

Meu medo com as conexões do tipo pppoe e l2tp e a tolerancia delas com a latencia, que em wireless as vezes acontece, dificil manter uma rede com latencia baixa, e se vc fica sussetivel a alguma fonte de interferencia e sua latencia sobe um pouco como fica? Gostaria de ter um feedback de quem trabalha com essas tecnologias. Meu medo nesse sentido é a conexão do cliente ficar caindo, caindo e caindo.

E vpn será que tem o mesmo problema que pppoe com latencia? Por que gerenciar um openvpn é fácinho.

Uma coisa, eu não vejo problema nenhum em trabalhar com bridge, desde que vc também tabralhe com vlan, bridge sem vlan igual zona na rede hehehehehee, e idem para dhcp, totalmente valido. Vlan é caro? Talvez, porém acho que vale o seu sono tranquilo a noite ehehehe

O interessante de ter uma rede bridge com vlans bem configuradas é que se alguém conseguir passar pela sua wpa e escanear sua rede ele vai ver apenas a porta do servidor, e ai ele não vai pegar nem macs nem ips nem nada. Estou correto? Se eu estiver falando alguma bobagem me corrijam. Fora que é mais fácil trabalhar com bridge e vlan, vc não vai precisar ficar fazendo relay dos serviços que quer disponibilizar para os clientes como tem que fazer numa rede toda roteada.

No meu ver o caminho mais simples é esse, wpa2 + radius, um hotspot para autenticar e gerenciar o controle de banda e outros serviços, brigde com vlans para isolar os clientes um dos outros, e um dhcp com mascara /32 só para dar uma redundancia na coisa e simplificar a configuração nos clientes, por que meu gerenciar ip fixo é um porre. O que vcs acham?

Ps. No radius vc pode fechar o cartão/antena que cada cliente pode conectar, assim minimiza bem o problema de alguém roubar login+senha+criptografia de um cliente. Porém para o problema do roubo da senha só certificando a maquina do cliente mesmo, que o maia disse e eu também acredito que se torna meio caro e inviavel.

----------


## gulinhaster

No caso de hotspot, se colocarmos para que cada mac pegue 2 ips na hora que o kra que clonar o mac do outro e entrar, será que ele pegara outro ip ou o mesmo do mac clonado já que é para o hotspot gerar 2 ips?
Porque se ele pegar outo ip pedirá senha certo, dai o kra terá que saber a senha tbm.
Será que funciona?
Vou testar aqui amanha depois falo se funcionou.

----------


## mdcsp

> por qq um q acesse o Mikrotik, certo? Até aquele user read only que criar para a secretaria verá a cripto de cada cliente.


Hummm.
e se a mkt fizer um up na parte de user...
tipo: colocar uma opção de qual item/menu liberar pro "read only" ja vi diversos softwares assim.. e issu ajudaria em outras situações tb.

----------


## elymaiads

Caro Roberto vc estar certo em suas conotaçoes de falhas no hotspot, so q vc ta totalmente equifocado em usar chamar de "preguiçoso" os admin de usam , eu particulamente não uso pq não e minha necessidade , mais cada caso e um caso , pq tem provedores q tiram ate um $ extra por fazer certas propagadas em sua rede interna e usam tb para sua comunicação entre provedor x cliente e sem falar q , qual e o usuario q não quer uma pagina de acesso q alem de bonita e bem facil de logar pq nem todo mundo tem a obrigação de saber como se cria um discador pppoe???

----------


## Não Registrado

Vi no concorrente que mesmo clonando o mac dele peguei um outro ip e ai pediu usuario e senha.
Como fazer isso, para não navegarem de graça no hotspot?

----------


## alexandrecorrea

vc deve ter usado outro hotspot ou cartao.. o mikrotik nao deixa 2 macs na mesma interface !!

----------


## Não Registrado

Posso te garantir que foi na mesma interface e que ele usa hotspot.
Só não sei como ele faz isso.

----------


## JHONNE

> Caro Roberto vc estar certo em suas conotaçoes de falhas no hotspot, so q vc ta totalmente equifocado em usar chamar de "preguiçoso" os admin de usam , eu particulamente não uso pq não e minha necessidade , mais cada caso e um caso , pq tem provedores q tiram ate um $ extra por fazer certas propagadas em sua rede interna e usam tb para sua comunicação entre provedor x cliente e sem falar q , qual e o usuario q não quer uma pagina de acesso q alem de bonita e bem facil de logar pq nem todo mundo tem a obrigação de saber como se cria um discador pppoe???


 
Concordo plenamente,


e mais, uso hotspot em função da qualidade da comunicação, pppoe é menos estável, o protocolo ip trabalha sobre outro protocolo que isso diminui a qualidade, e não é debate técnico apenas, testei várias vezes de tudo quanto é forma

----------


## gulinhaster

> vc deve ter usado outro hotspot ou cartao.. o mikrotik nao deixa 2 macs na mesma interface !!


Aqui na minha rede tenho um nano na casa do cliente que tem 2 computadores, e os 2 cada um tem um usuario e uma senha, os dois users tem o mesmo mac que é o do nano e gera 2 ips para o mac do nano.
Só que eu testei aqui clonando uma placa usb e ai em vez de gerar outro ip ele gera o ip do mac clonado.

----------


## nonoque

Tem um programinha chamado netcut que é um abraço pra quem só usa ip x mac. O cara só entra no programa e ele mostra todos ips e macs.. Não uso, mas hoje pppoe eu acredito ser mais seguro, porém exige que as condições de sinal estejam muito boas.

----------

