LEAP + Mikrotik

Bom dia galera,

Estou pensando em reestrurar minha rede, mas ainda estou com muitas duvidas de como fazer a autentição com WPA2 + LEAP + FREERADIUS. Estou em duvida de como implementar essa estrutura, quando for

Cliente-------->Torre---------->Freeradius ----> Blz

mas e quando for

Clientes(varios, esses conectados ao ap por cabo)---->AP(Ovislink, Zinwell)---->Torre----->Freeradius
E ai????

No primeiro caso o que aconteceria, eu iria configurar a placa wireles do cliente como "LEAP" fornecendo usuario e senha e mais a chave criptografica.
Mas no segundo caso onde eu configuraria o usuario e senha (claro que tem que ser no cliente) mas como? O radius e o mikrotik vão enchega os clientes atras do AP. Até onde conseguir entender iria acontecer o seguinte o AP faria a criptografia entre a torre e ele enquanto a autenticação seria feita pela maquina do cliente fornecendo usuario e senha. E ja no primeiro caso a autenticação e criptografia seria feita tudo na maquina do cliente.

Será que é isso mesmo? Alguém usa este tipo de estrutura?

Sera que ninguem pode me ajudar??????????

Citação:

Postado originalmente por renatopissinati

Bom dia galera,

Estou pensando em reestrurar minha rede, mas ainda estou com muitas duvidas de como fazer a autentição com WPA2 + LEAP + FREERADIUS. Estou em duvida de como implementar essa estrutura, quando for

Cliente-------->Torre---------->Freeradius ----> Blz

mas e quando for

Clientes(varios, esses conectados ao ap por cabo)---->AP(Ovislink, Zinwell)---->Torre----->Freeradius
E ai????

No primeiro caso o que aconteceria, eu iria configurar a placa wireles do cliente como "LEAP" fornecendo usuario e senha e mais a chave criptografica.
Mas no segundo caso onde eu configuraria o usuario e senha (claro que tem que ser no cliente) mas como? O radius e o mikrotik vão enchega os clientes atras do AP. Até onde conseguir entender iria acontecer o seguinte o AP faria a criptografia entre a torre e ele enquanto a autenticação seria feita pela maquina do cliente fornecendo usuario e senha. E ja no primeiro caso a autenticação e criptografia seria feita tudo na maquina do cliente.

Será que é isso mesmo? Alguém usa este tipo de estrutura?

Nesta segunda Opçao o radio estaria em bridge ou cliente isp, pois estando em cliente isp, o radio faz a criptografia, ate ae blz, e quando um cliente autenticar, ja libera acesso aos outros clientes, tranquilamente, agora a rede estando em bridge, cada cliente tem q ter seu nome de usuario e senha, e provavelmente, este radio nao repassa os mac dos clientes, a nao ser q seja um wds... veja se era +- esta a tua duvida...

O radio vai estar bridge e atras dele varios clientes conectado pelo cabo de rede, ainda não entedi como que o cliente (o q esta atras do ap, e conectado por cabo) vai se autencar ( é por usuario e senha ) mas como que configuro isso no windows?????

Citação:

Postado originalmente por renatopissinati

O radio vai estar bridge e atras dele varios clientes conectado pelo cabo de rede, ainda não entedi como que o cliente (o q esta atras do ap, e conectado por cabo) vai se autencar ( é por usuario e senha ) mas como que configuro isso no windows?????

qual tipo de autenticação vai utilizar?
cada cliente tera sua senha
se for ppoe, cada cliente tera seu discador.
se for hotspot, cada cliente ao abrir teu navegador, so terá liberado o acesso a internet depois q logar no sistema... nao tem q configurar nada no windows nao...

:nurse:

O que eu quero fazer (se tiver como é claro) é o seguinte:

Usar criptografia WPA2 com autenticação LEAP, não usaria nem pppoe nem hotspot, só mesmo WPA2 + LEAP, quando o cliente tiver uma antena mais uma placa wireless blz, mas nao sei como fazer quando tiver por exemplo 4 clientes atras de AP configurado como bridge, como que irei configurar o LEAP? Porque quando é Antena+placa wireless faço a configuração do LEAP na placa Wireless.

Citação:

Postado originalmente por renatopissinati

O que eu quero fazer (se tiver como é claro) é o seguinte:

Usar criptografia WPA2 com autenticação LEAP, não usaria nem pppoe nem hotspot, só mesmo WPA2 + LEAP, quando o cliente tiver uma antena mais uma placa wireless blz, mas nao sei como fazer quando tiver por exemplo 4 clientes atras de AP configurado como bridge, como que irei configurar o LEAP? Porque quando é Antena+placa wireless faço a configuração do LEAP na placa Wireless.

Certo, intao sendo assim, creio q pode ser feito por placa, pois o radio esta em bridge, e vc configura em cada placa de rede, como se fosse mesmo uma placa wireless, nao intendo muito do LEAP, mais creio, quase certeza q funciona sim.

Então mas até agora não achei onde posso configurar isso na placa de rede. Você sabe onde posso achar isso?

Citação:

Postado originalmente por renatopissinati

Então mas até agora não achei onde posso configurar isso na placa de rede. Você sabe onde posso achar isso?

LEAP (Lightweight EAP)

O LEAP é um método EAP proprietário desenvolvido pela Cisco System que usa senhas para autenticar apenas o usuário à WLAN, não ao computador. O fato de não haver essa autenticação gera alguns problemas, como a execução incorreta das diretivas de grupo da máquina, falhas de configurações de instalação de softwares, perfis móveis e scripts de logon além dos usuários não poderem alterar suas senhas que foram expiradas.

O LEAP também possui algumas vulnerabilidades de segurança, como a suscetibilidade a ataques por intercepção e a ataques de dicionário off-line, permitindo que invasores consigam senhas de usuários válidos. Outro problema do LEAP está relacionado à interoperabilidade, já que ele só funciona em hardwares e softwares da Cisco e de alguns outros fornecedores.

Logo, intao nao ira funcionar, por que nao trabalha com outro tipo de autenticaçao?

Bom eu tinha pensado em usar isso ai.

Mas meu objetivo é o seguinte:

Que para cada cliente seja necessario um "usuario" e "senha" (ou algo parecido, uma idenficação unica para cada usuario), mas que isso seja transparente para o usuario, não quero que o cliente fique digitando o nome dele e sanha dele no hotspot ou pppoe (queria que nao aparecese nada pra ele), queria que ele simplesmente ligasse o pc dele e ja estava conectado.
Será que você tem alguma ideia de como posso fazer isso?

Citação:

Postado originalmente por renatopissinati

Bom eu tinha pensado em usar isso ai.

Mas meu objetivo é o seguinte:

Que para cada cliente seja necessario um "usuario" e "senha" (ou algo parecido, uma idenficação unica para cada usuario), mas que isso seja transparente para o usuario, não quero que o cliente fique digitando o nome dele e sanha dele no hotspot ou pppoe (queria que nao aparecese nada pra ele), queria que ele simplesmente ligasse o pc dele e ja estava conectado.
Será que você tem alguma ideia de como posso fazer isso?

a unica maneira e colocando ip fixo em cada cliente, e fazendo o comentario em teu servidor, assim a unica maneira q tenho em mente de deixar td passar sem senha...

Então eu ja uso ip fixo nos clientes, hoje o cliente fica configurado da seguinte maneira:

ip fixo X wpa2 X MAC ==>> o mac fica amarrado no ip e também é feito o controde macs, mas na verdade considero essa estrutura fraca queria implementar mais uma camada de seguraça. E outra a chave wp2 é a mesma para todos os cliente, entao se alguem quebrar minha chave ai fudeu, hehe. Entao queria por mais alguma segurança (uma senha, um usuario, qualquer coisa, mas que fosse diferente pra cada usuario e transparente pra eles).
Será que há alguma coisa que de pra fazer isso?

Citação:

Postado originalmente por renatopissinati

Então eu ja uso ip fixo nos clientes, hoje o cliente fica configurado da seguinte maneira:

ip fixo X wpa2 X MAC ==>> o mac fica amarrado no ip e também é feito o controde macs, mas na verdade considero essa estrutura fraca queria implementar mais uma camada de seguraça. E outra a chave wp2 é a mesma para todos os cliente, entao se alguem quebrar minha chave ai fudeu, hehe. Entao queria por mais alguma segurança (uma senha, um usuario, qualquer coisa, mas que fosse diferente pra cada usuario e transparente pra eles).
Será que há alguma coisa que de pra fazer isso?

sim sim, se alguem descobrir ae ja era, so vejo um jeito de vc fazer isso, usar hotspot com data de espiraçao longa, tipo, hj uso cookie de 6 horas, se o cliente logar a primeira vez, e desligar o computador e voltar antes do prazo de 6 horas, usa normalmente sem pedir usuario e senha.vejo q vc pode usar um tempo de cookie maior, mais fora isso nem tenho ideia do q se pode ser feito.ou intao usar ip + mac com faixa /32.

Acho que vou implementar HotSpot, o que vcs acham? Ou prefere PPPoE? HotSpot é mais leve que PPPoE ?

Citação:

Postado originalmente por renatopissinati

Acho que vou implementar HotSpot, o que vcs acham? Ou prefere PPPoE? HotSpot é mais leve que PPPoE ?

cada caso e um caso, mais creio eu q Hotspot de menos trabalho com manutençao, aqui trabalho com hotspot, mais tem um outro provedor na qual configurei com ppoe, vai do gosto de cada um, vejo como vantagem hotspot, pois nem precisa ir no cliente instalar nada, qd abrir a pagina, ja autentica, sem a necessidade de instalar nenhum programa adicional.

É vou colocar HotSpot mesmo.

Muito obrigado por sue interesse em me ajudar!!!!