segurança maxima na rede

bom como estou ficando meio velho e com paranoia de segurança as ultimas torres que montei agora são da seguinte forma e gostaria da opinião de voces quanto a segurança destes pontos de acesso .

na torres são rocket m5 com setorial base station ,configuradas como acess point ,segurança wpa2tkip ,airmax ligado em high ok.

nos aps do cliente usuario admin modificado do original para o cliente não fuçar no firmware,senha wpa2tkip claro,rede configurada em vlans /29 .

quando o cliente liga cai ainda no hotspot .para usuario e senha .

olha acredito que tenha uma boa segurança por pelo que sei não tem como escanear a rede em 5.8 com airmax ligado para roubar a criptografia não existe notebook ou antena com esta tecnologia ou estou errado

Aqui não utilizamos UBNT para distribuição, apenas para enlace, temos na central um único servidor radius e o restante é feito nas torres, as RB's nas torres consultam o servidor radius e liberam ou não o acesso ao cliente via PPPoE, nas torres usamos SSiD Oculto apenas. Achamos que é o suficiente para nossa realidade de mercado.

aqui eu uso o servidor myauth 3 que controla banda e autenticação hotspot tem a opção de radius mas uma duvida minha o radius so funciona com pppoe ou hotspot tambem

funciona muito bem com hotspot, uso e recomendo !

mas qual e a configuração que eu faço em nanostation m5 para logar no radius do myauth ja tentei de tudo e não achei esta configuração no radio cliente

Aqui usamos o MK-Auth como radius, as Rb's consultam ele para liberar o acesso ao cliente, já usamos hotspot e era o mesmo sistema, porém acho que na linha UBNT deve tudo estar em Bridge para dar certo, ai o cliente chega até o servidor para fazer o login...

certo everton am bridge a aba network esta agora na autenticação do ap qual o tipo de segurança tem que ser para o ap logar no radius

ai que mora o perigo, nunca fiz isso com UBNT, somente com mikrotik... mas acho assim, que se vc deixar as AP's em bridge e configurar o equipamento cliente em modo router e cadastrar a MAC do roteador cliente no hotspot o cliente vai cair na tela de login do hotspot normalmente...

Citação:

---

Postado originalmente por evertonsoares

ai que mora o perigo, nunca fiz isso com UBNT, somente com mikrotik... mas acho assim, que se vc deixar as AP's em bridge e configurar o equipamento cliente em modo router e cadastrar a MAC do roteador cliente no hotspot o cliente vai cair na tela de login do hotspot normalmente...

---

correto, aqui usamos assim, no mkauth, colocamos o MAC do Radio Cliente e os rockets que estão na torre, estão em bridge e todos com WAP2 habilitado

Era o que eu tinha imaginado mesmo, o cliente conectando na rede em bridge a requisição vai cair direto no servidor que vai liberar ou não, o meu aqui uso a RB na torre autenticando... se der pau unico trabalho que tenho é configurar a SSID e cadastrar o servidor mk-auth...

pera ai a segurança para o ap cliente logar ja e wpa2tkip mas e o radius aonde eu configuraria a senha universal do radius e como please

vejam o cenario os acess point ja são com criptografia wpa2tkip ok ,os clientes ja são station com segurança wpa2tkip configurados ,o servidor o radius ja esta configurado com ip e senha universal ......mas os nanos ou airgrid ou o que seja não tem opção de colocar a senha universal para o ap se conectar como cliente e checar a senha do radius ok...

Sim sua estrutura está 100% o que falta ai é uma RB1200 em paralelo com o RADIUS ai se tudo estiver em bridge e sua RB com hotspot ativo e configurado para fazer a pesquisa RADIUS no IP do Myauth eles vão trabalhar juntos e liberar o login apenas de quem estiver em dia com a mensalidade....

valeu everton vou tentar mas voce ficava mas bonito naquela foto de galã italiano huahuahauhauhauahua

sim voce me deu ate uma ideia melhor posso colocar um servidor maquina com mikrotik instalado para as torres entrarem nele para autenticação de mac por radius antes do servidor myauth 3 aumentando a seguranaça da rede da ate para criar algumas regras de firewall huhu muito obrigado

putz mas tambem aja segurança se o cara para o cara bular isso tem que ser um genio .

seguranga wpa2tkip do cliente ate a torre ,autenticação de mac por radius no mikrotik ,e ainda cai no hotspot para checar usuario e senha .....ufa

sim aqui foi mais simples por causa do pppoe por encapsulamento não precisamos de IP, mas pra quem trabalha com IP tem que dificultar mesmo as coisas...

Amigo, tu colocou tanta segurança que ate pode atrapalhar sua rede.
Uma coisa que sempre falo pros meus clientes, segurança nao e apenas senha...


Abraços.