Conexão por WPA2 ou PPPoe?

Galera!
Boa tarde!

Em meu antigo provedor (WR-254 + antena omnidirecional 15 Dbi para um total de 10 clientes) usava WPA2-PSK com senha de 62 digitos, dentre eles varios caracteres especiais. O equipamento que era pra aguentar até 30 clientes, não aguentava os 10 clientes.

Agora a pouco tempo adquiri uma RB 433AH e por sugestão do fornecedor coloquei todos os clientes para se conectarem em minha rede via PPPoe, segundo o fornecedor fica muito mais leve assim e por este tipo de conexão um tunel criptografado entre o cliente e o provedor é criado, mantendo assim a segurança em minha rede.

Minhas duvidas:

- Isto realmente está certo?
- Minha senha contém apenas numeros e letras totalizando 8 digitos, sem caracteres especias, diante disto gostaria de saber se minha rede está sucetivel a invasão?
- Com estes programas de invasão de rede disponiveis na internet eu ou outra pessoa conseguiria invadir minha rede?
- Qual seria a melhor configuração, ou seja, uma configuração que não sobrecarregasse a RB mas ao mesmo tempo fosse extremamente segura.


Desde já agradeço a todos.

Atenciosamente

ElizeuHenry

Eu usaria WPA2 e Hotspot.

Não se deve usar criptografia em APs (minha opnião), a não ser em PTP.

wpa2 com chave individual...

PPPoE com toda certeza, pra mim criptografia em wireless é mais para proteger a rede, para controle de acesso é bem melhor usar PPPoE ....

O loguin em ppoe é notável ser mais rapido alé de outros benefícios.... Quanto as colegas que defendem uma rede sem cripitografia, imaginem um concorrente que acessou sua rede... não navega porque nao tá cadastrado, mas acessou a rede. ae o esperto faz o seguinte: " ping xxx.xxx.xxx -l 5000 -t (xxx é seu ip) e deixa pingando por horas..... me diga ae qual vai ser o resultado disso ? eu digo de forma bem simples. " Teus clientes vao tudo pro concorrente porque a net dele é mais rápida, não trava os radios e não vive caindo"
CONSELHO: Usem wpa2-aes , nao precisa ser grande...qualquer coisa com 6 digitos é o bastante para 1 em 10 milhoes quebrar.

Postado originalmente por dellink

mas acessou a rede. ae o esperto faz o seguinte: " ping xxx.xxx.xxx -l 5000 -t (xxx é seu ip) e deixa pingando por horas.....

Isso aí é facil de resolver, com uma simples regra no Filter da RB.

Nunca usei PPOE mas aparentemente é a forma mais seguraça de autenticação.

Eu utilizo os 2 WPA2 + PPPoE, e ao contrário do que muitos dizem o PPPoE não cria um túnel criptografado se você não configurar assim, então utilizo o WPA2 para proteger os dados wireless e PPPoE para controle de usuário, fora que ainda tem o access list onde o usuário só conecta na interface cadastrada, tudo via radius, e ao contrário do que muitos dizem não afetou o desempenho de forma considerável.

Postado originalmente por netosdr

Isso aí é facil de resolver, com uma simples regra no Filter da RB.

Nunca usei PPOE mas aparentemente é a forma mais seguraça de autenticação.

tb da para resolver sem colocar ip na placa em que o cliente se conecta já que é pppoe, ai ele nem tem no que pingar.

cara mete bronca no pppoe, bem simples de configurar, é razoavelmente seguro, e evita broadcast na sua rede...

Postado originalmente por lipeiori

Eu usaria WPA2 e Hotspot.

Não se deve usar criptografia em APs (minha opnião), a não ser em PTP.

Lipe, não entendi a recomendação.
Como assim, não se deve usar cripto em APs? voce deixa aberta a rede?

Eu usava WPA2+Hotspot e era feliz e não sabia.
O fato do colega citar que só suportava 10 usuários on line, não deve ser atribuido a WPA, mas deve ser outro motivo.
Apesar que 30 é considerado um número limite até mesmo para mini-pci. Então AP com rtl 8186 não vai muito mesmo.

Acho que o chip 8186 não processa criptografia tao bem como os Atheros...

Se for Nano, Bullet ou AP com chips Atheros nao deve ter perda de desempenho.

Eu deixo o AP sem criptografia, mas não quer dizer que está a Deus dará ehehe, eu bloqueio tráfego entre clientes, ou seja, se o esperto se conectar ao AP, não poderá fazer nada de nada. Criptografia é relativo, wep, wpa, wpa2... tudo existe maneira de burlar, é só questão de tempo, sem falar que basta o cara pegar o PC de um cliente e vai ter acesso a chave. Mas pense na comodidade, como é bem mais simples não precisar ir no cliente configurar tudo novamente só porque ele formatou.

Trabalhar com o AP aberto (e block relay) usando pppoe é excelente, basta criar ou instalar um discador e pronto, o clientes já navega com user e pass.

Muitos podem dizer: E o que tem de mais ir no cliente? --- Bom, você já teve mais de 1000??? é nego formatando pc o tempo inteiro, apagando configuraćão... é a maior canceira.
Sem falar que o cliente se sente muito mais livre, já que não precisa chamar você só porque apertou uma tecla ou clicou.

Sem falar que usando pppoe a mascara no cliente fica fechada (255.255.255.255) e você pode remover até o TCP/IP da placa wireless que o pppoe ainda funciona. Isso é que é seguranća ehehehe.

Postado originalmente por cytron

Muitos podem dizer: E o que tem de mais ir no cliente? --- Bom, você já teve mais de 1000??? é nego formatando pc o tempo inteiro, apagando configuraćão... é a maior canceira.

Sempre fico com receio de implementar qualquer alteraçao deste sentido aqui pois com uma rede de médio porte dá muita dor de cabeça.
Antes eu usava criptografia wep nos mk, depois tirei devido a problemas de processamento.

Postado originalmente por cytron

Eu deixo o AP sem criptografia, mas não quer dizer que está a Deus dará ehehe, eu bloqueio tráfego entre clientes, ou seja, se o esperto se conectar ao AP, não poderá fazer nada de nada. Criptografia é relativo, wep, wpa, wpa2... tudo existe maneira de burlar, é só questão de tempo, sem falar que basta o cara pegar o PC de um cliente e vai ter acesso a chave. Mas pense na comodidade, como é bem mais simples não precisar ir no cliente configurar tudo novamente só porque ele formatou.

Trabalhar com o AP aberto (e block relay) usando pppoe é excelente, basta criar ou instalar um discador e pronto, o clientes já navega com user e pass.

Muitos podem dizer: E o que tem de mais ir no cliente? --- Bom, você já teve mais de 1000??? é nego formatando pc o tempo inteiro, apagando configuraćão... é a maior canceira.
Sem falar que o cliente se sente muito mais livre, já que não precisa chamar você só porque apertou uma tecla ou clicou.

Sem falar que usando pppoe a mascara no cliente fica fechada (255.255.255.255) e você pode remover até o TCP/IP da placa wireless que o pppoe ainda funciona. Isso é que é seguranća ehehehe.

Deixa o Sérgio ler isso.

Quanto a ir no cliente, não é necessário.
Configuro o AP cliente, nada no PC do cliente. A chave WPA2 está no AP.
AP cliente ISP que dá um Ip local para o pc. Pode formatar a vontade que também nem tomo conhecimento.
Além disso, WPA2 com 63 caracteres, incluido caracteres estranhos como por ex.

Cm^gk'4z|.<3C;A/4`,b_P]?|#?}KM^?M2:\[L#d}v#TGW!pE7na^e!h?/54a_y

Não é qualquer coisinha que vai quebrar isso. Amanhã ou depois vai surgir alguma coisa para facilitar a vida dos intrusos, mas enquanto isso...
E eu não tenho muito medo de usuários invadir por invadir. Tenho mais medo é de concorrentes querendo invadir para derrubar tudo. Não posso deixar a minha vida na mão do concorrente.

Que bom que vc entendeu a questão 1929. Voce entendeu e aplicou, o que é melhor ainda, pois mostra o seu comprometimento em prestar um serviço de qualidade e proteger a privacidade dos seus clientes.

Eu já nem leio mais esses tópicos, porque cansa ficar falando a mesma coisa e afinal cada um sabe o que faz com seu negócio.

Eu só quero ver um dia, um cidadão ser processado, porque através da rede do mesmo, alguém teve a privacidade ou algo do gênero, invadida.

Mas deixa pra lá, o brasileiro só se preocupa mesmo quando a casa cai.

e vamo que vamo.

Postado originalmente por 1929

Deixa o Sérgio ler isso.

Quanto a ir no cliente, não é necessário.
Configuro o AP cliente, nada no PC do cliente. A chave WPA2 está no AP.
AP cliente ISP que dá um Ip local para o pc. Pode formatar a vontade que também nem tomo conhecimento.
Além disso, WPA2 com 63 caracteres, incluido caracteres estranhos como por ex.

Cm^gk'4z|.<3C;A/4`,b_P]?|#?}KM^?M2:\[L#d}v#TGW!pE7na^e!h?/54a_y

Não é qualquer coisinha que vai quebrar isso. Amanhã ou depois vai surgir alguma coisa para facilitar a vida dos intrusos, mas enquanto isso...
E eu não tenho muito medo de usuários invadir por invadir. Tenho mais medo é de concorrentes querendo invadir para derrubar tudo. Não posso deixar a minha vida na mão do concorrente.

Nossa Galera.....quantas opniões.....vejo que este tópico realmente causou um certa "discussão pacifica" que é de extrema importância para revermos nossos conceitos e aplicarmos um plano de melhoria continua em nossos conhecimentos e em nossas redes, pois, mesmo funcionando perfeitamente sempre a algo a se melhorar para que se forneça um serviço SEGURO e COM QUALIDADE, pois na falta de um destes nossa rede com certeza não estaria entre as melhores e só estando entre os melhores para haver concorrência. As redes "ruins" não tem como competir em nada.

Sobre o comentário do colega sobre as vezes ficar desaminado em ler os tópicos e sempre falar a mesma coisa acredito que estes conhecimentos que estas pessoas possuem não podem ficar estacionados, nós leigos e os não leigos também precisam destas contribuições e pras pessoas que passam estes conhecimentos também apredem muito, muitas vezes nem percebem.....gostaria de agradecer a todos pois neste forum estou encontrando varios amigos que realmente me ajudam pra valer ..... até mesmo quando faço aquelas perguntas básicas.....

Mas mantendo a discução sadia......continuo com a Routerboard como AP sem criptografia e utilizando a conexão através do PPPoe. Pro cara conectar na minha rede o MAC tem que estar cadastrado....após conectado ele precisará da senha que segue um padrão, porém é individual pra cada usuário e além da senha ainda tem o endereço IP.......como utilizo antena + AP cadastro todas estas informações lá, ou seja, nem o cliente tem acesso a elas, e lógico o Ap também fica com uma senha que eu coloco e não divulgo pro cliente.

Ainda continuo sem saber se este método é seguro. Será que com estes programinhas de invasão alguém consegue invadir, pois, tenho preocupação caso algum cliente esteja usando a net pra bancos, como pagamentos de contas, transferencias bancárias......como eu faço.....e faço parte desta rede.......então segurança pra eles e pra mim também e claro sem perder a qualidade.

Agradeço a todos que estã colaborando e ainda vão colaborar.

Elizeu, é exatamente isso que o Sérgio tem levantado inumeras vêzes no forum. Segurança nunca é demais.
Ele não desanima, mas fica de lado só para ver o que vai acontecer. hehehe!!
Depois do estrago feito, não adianta chorar. É só correr atrás do prejuízo.
E como eu disse antes, não tenho tanto medo de usuários não autorizados desfrutarem da rede.
Tenho medo é de mal intencionados invadirem para complicar a rede e até tirar tudo do ar.
Concorrente é concorrente. Tem gente boa mas tem alguns que dá o que pensar.

Te sugiro um exercício para fazer em casa, como nos velhos tempos de bancos escolares.
Procura na internet uma maneira de tu mesmo invadir a tua rede. Mas vai fundo como se a rede não fosse tua. Seja criativo, pense, quebre a cabeça até descobrir um meio.
Esta acho eu é a melhor maneira de testar a própria rede. Estou falando aqui de redes abertas ou com wep. Se for WPA2 aí nem vale a pena tentar, apesar de que já se noticiou que tem como também quebrar. Com a rede quebrada, daí então vai partir para uma solução melhor e assim nós não paramos nunca de melhorar nossas redes.
E depois me conta.

Eu nem faço ideia de como invadir minha rede rsrs...

Uso Hotspot e IPxMAC com DHCP e IP fixo, não sei de nenhuma maneira a nao ser tentar descobrir o usuário e senha do cliente e clonar o MAC, mas pra isso eu teria que ir na casa dele obter essas informações, por ondas de rádio nem faço ideia de como capturar.