Versão Imprimível
Gostaria de tecer algumas considerações com quem tem mais experiencia em redes.
Qual o grau de segurança que o Hotspot tem?
Partindo do princípio que uma rede tem criptografia WPA2AES.
A ideia do tópico não é comparar com outros modos de autenticação, mas sim aprofundar mais o conhecimento de como o hotspot trabalha.
Se alguém puder contribuir, vamos conversar mais sobre isso.
Aqui utilizo hotspot sem criptografia, rede aberta, mas já estou pensando em associar hotspot com pppoe, pessoal começou a pegar as manhas de conexão ai até quem não é cliente fica tentando adivinhar senhas, conectam com sinal ruim, direto tenho que ficar procurando regras de bloqueios a intrusos e por ai vai. Então acho que hotspot é melhor por não dar visitas técnicas e ao mesmo tempo pouca segurança em todos os quesitos.
Para iniciantes acho que seja bom, mas na medida que aumenta os clientes já não se torna viável.
O problema maior do hotspot e a troca de senhas entre usuários .
Fora o broadcast maior .
Em sistema myauth 3 isto foi resolvido em partes você pode utilizar pppoe no radio .mas continuar utilizando hotspot também.
@1929 nao sei responder especificamente sobre a seguranca, mas o que o @naldo864 comentou é interessante.
Para me explicar melhor, preciso entender qual o contexto você vai usar o hotspot: no geral para os teus clientes fazerem autenticacao contra o teu provedor? ou em uso geral, como hotéis, eventos e afins?
Me esclarece isso que coloco minhas consideracoes.
Hotspot seguro seria mais ou menos assim
1 hotpost para cada cliente usando vlan porem difícil aplicação
2 certificado ssl para hotspot
3 rede /30
4 amarrar ip mac
5 filtro para descoberta de rede
6 bloqueio de ping
Aqui funciona assim:
Uso o hotspot o mais importante é travar o mac no login pois o pessoal passa a senha sem dó!, rede /30, filtros na bridge, descorberta etc.
Usuários com sistemas antigos como win xp poderiam fazer alguma coisa, mais os sistemas operacionais mais modernos como o win 7 win 8, está dificultando a clonagem de mac...
Para ter o mínimo de segurança em qualquer acesso wireless tem que criar uma regra onde só associa na antena os MACs cadastrados para aquela antena e que estejam com sinal bom. E como foi dito, o usuário só pode acessar com a senha dele usando aquele MAC. Dificulta, mas não impede os oportunistas, já que muitos Aps facilitam a clonagem. usar regra para bloquear o duplo acesso com a mesma senha, na qual a hora que faz uma conexão se houver outra do mesmo login derruba a mais antiga (ai se ele passar a senha vai ficar caindo toda hora e vai aparecer no log). Além das outras coisas que foram citadas acima. Impedir é muito difícil, mas temos que ao menos dificultar a ponto de não ser vantajoso.
Já uso hotspot faz 6 anos no provedor. Só quero entender mais um pouco e ver se há algo a melhorar;.Citação:
Postado originalmente por EribertoTorres
Esta troca de senhas é um dos problemas que resolvemos amarrando IpxMac. Assim espertinhos que estão bloqueados e tentam com senha e usuário dos amigos, ficam de fora. E configuramos para uma conexão só.Citação:
Postado originalmente por naldo864
O gerenciador que usamos permite cadastrar no cliente tanto ipxmac, hotspot e pppoe. Mas pelo que testei vai usar um ou outro e não dois juntos. É isso?
Posso remotamente trocar o usuário para pppoe e traze-lo de volta para o hotspot.
Mas a questão do broadcast eu gostaria de saber mais sobre isso.
Porque o hotspot dá mais broadcast do que outras formas de autenticação, mesmo usando rádio roteado no cliente?
Sem criptografia a coisa pode pegar mesmo... A meu ver a primeira barreira para estranhos é WPA2+AES.Citação:
Postado originalmente por Djaldair
Conectar com sinal ruim pode configurar no access lista para não permitir conexão com sinal ruim.
Destes recursos só utilizo o 2 - amarrar ipxmac.Citação:
Postado originalmente por deson00
Usar certificados, uma vez li que pode dar muito problema e visitas nos clientes. É verdade?
Como seriam os outros?
De modo geral vejo a falta de segurança quando um cliente usa roteador na casa dele e cede sinal para os vizinhos, seja via wireless , seja via cabo. Pois basta ele estar logado e todo mundo vai entrar pelo roteador dele.
Já vi um gerenciador que identifica que possivelmente existe mais de um usuário lá na ponta. Se não me engano é o RouterBox.
Mas acho que aí quando usar roteador interno, qualquer outro meio de autenticação vai gerar a mesma insegurança, ou não?
Usar certificado requer conhecimento sobre o assunto, ao usar certificado valido o usuário nem percebe esta funcionalidade pois o ssl nada mais é que aquela barra do navegador fica verde HTTPS:// a conexão fica criptografada ficando impossível de capturar login e senha e caso use certificado sem verificação da sim chamado pois ao entrar para logar ira aparecer uma tela vermelha falando que nao reconhece o certificado usado e pegunta se realmente quer prosseguir ao usuario.
Certificado pode ser comprado na http://globessl.com/ , comodo.com.br, verising e outros.
Validade apenas de 1 ano, sendo assim todo ano tem que renovar o certificado para que ele continue verde na barra do navegador e nao de chamado por conta disso.
Aproveitando o assunto pergunto: é viável/eficaz utilizar o hotspot somente no 2.4 sem criptografia nenhuma permitindo assim apenas o acesso a pagina de divulgação de servicos do provedor, mas utilizando conexao ppoe para a configuracao definitiva para o acesso a internet no cliente?
É que utilizo ppoe mas estou pensando em fazer do modo que citei. Para os mais experiente, quais sao as desvantagens deste modo?
É uma boa propaganda, pode setar para não aceitar sinal ruim e colocar m botão para dar 10min para o cara ver como é a sua internet (depois jogar o MAC dele numa lista para ele não abusar do teste gratuito) e, no final do tempo, direcionar para uma página de bloqueio com a propaganda e formulário para entrar em contato.Citação:
Postado originalmente por KevinMitnick
Tem como você setar o número de conexões cada usuário pode fazer simultaneamente, para tentar barrar o recompartilhamento da conexão. O provedor que eu comprei fazia isso, coloca um limite que fica bom para um usuário doméstico comum, se ele conectar muitos computadores vai rejeitar as conexões e não vai navegar, mesmo tendo velocidade sobrando. Mas a regra não valeria para clientes empresariais.
Para usar o hotspot somente como propaganda é só apagar os campos do formulário no arquivo "login.html" no hotspot do mikrotik e por fim colocar um script para derrubar os clientes quem não tiver um sinal aceitável.
Aqui uso hotspot em toda minha rede, autenticando no radius e os dados do cliente em mysql, amarrando o usuário no MAC.
Não é 100% segura mas tá funcionando sem problemas a quase 10 anos.
Ao meu ver a melhor parte do hotspot é a baixa assistência e a vantagem de disponibilizar informativos aos clientes e redireciona-los para onde quiser depois de login, no meu caso redireciono para o meu "painel do cliente" com alguns avisos e promoções.
Mas agora com o tempo algumas empresas estavam reclamando de ter que digitar login e senha, dai estou agora em casos extremamente necessário coloco no "ipbinding" mas estou pensando em usar pppoe somente para as empresas.
Em eventos que faço, disponibilizando wifi pra galera, coloco o hostpot com a minha publicidade e somente com o botão para "CONTINUAR NAVEGAÇÃO". (Deixo salvo um usuário e senha padrão no formulário).
Então sendo ou não seguro, pelos pontos negativos e positivos prefiro e continuarei preferindo hotspot do que qualquer outro meio de autenticação.
Legal as informações dos colegas! Então como disse, o que está em perfeito funcionamento é a conexão pppoe (5.8, e cabo), já esta pronto e logo estarei disponibilizando o acesso em 2.4 para hotspot com a pagina de Divulgação de serviços da empresa e também pagina de Cadastro para novos clientes que desejam utilizar a internet, a parti do cadastro do cliente agendaremos a instalação (5.8 ou cabo), agora fico pensando como que irá se comportar para clientes que detectarem o sinal nos seus smartphones, notbook e afins?! Neste modo penso em ter um critério de liberar o sinal para o cliente usufruir da internet somente se tiver com uma boa recepção do mesmo.
Gostaria que os colegas mais experientes me falasse como que fica a questão de segurança neste sentido (já que o tema do post é este!), e se implica em maior/muito processamento nos casos de autenticação do hotspot, já que a rede estará aberta a todo momento para quem quiser se conectar (somente até a pagina de Informações como citei), já que na mesma célula estará também pppoe.
Hotspot ja foi uma boa solução para provedor, ainda é valido para ambientes internos de empresas de variados seguimento.
Provedor deve usar pppoe autenticado em uma CPE.
Sobre propaganda e cadastro de novos clientes é otimo.
Mas então, resumindo, hotspot com criptografia WPA2 + AES e sem certificados não tem segurança?
Na questão de número de usuários nós configuramos para uma só conexão (Autenticação).
Não confundir com conexões simultâneas no tráfego de internet.
Assim só um MAC , só uma autenticação vai ser aceita.
Pelo que comentaram o único furo mais "genérico", vamos dizer assim, seria um usuário utilizar o login e senha de outro, o que pode ser contornado com amaração de mac.
Então onde fica o perigo? na segurança ou no desempenho, já que o @naldo864 se referiu ao aumento de broadcasting?
@naldo864 gostaria de entender melhor esta questão do broadcast. Explica aí porque é maior.Citação:
Postado originalmente por naldo864
em hotspot sempre tem trafego entre o servidor e o cliente mesmo ele não estando fazendo nada e as mensagem de brodcast continuam na rede ,para uma rede pequena isto não e problema ,mas quando se tem 1000 ou 2000 clientes este trafego pequeno pode gerar dor de cabeça.
ja com pppoe quando o cliente não esta fazendo nada ele fecha o tunel e so manda outra requisição para o servidor quando o cliente realmente pede .
fora o tunelamento entre cliente e servidor o que e bom .
ou seja hotspot e bom mas pppoe e bem melhor .
o problema do pppoe e que se a rede for uma porcaria e der muita latencia vai ficar desconectando seus clientes toda hora e te gerando chamados .
Agora você citou algo que eu já tinha observado. Tem clientes que não desconectam nunca mesmo com o keepalive Timeout configurado para determinado tempo.Citação:
Postado originalmente por naldo864
Uns 3 anos atrás, alguém descobriu que os roteadores da OIW estavam com um problema no firmware pois geravam tráfego mesmo sem uso. Ele foi rastreando e viu que remetia a um site chinês . Quando esta pessoa trouxe a tona o problema, a OIW em poucos dias providenciou uma nova versão do firmware e os roteadores que tinham este problema daí em diante passaram a obedecer o keepalive timeout.
https://under-linux.org/showthread.php?t=153212
Mas notei que com outras marcas também acontecia de clientes não desconectarem no tempo previsto.
RB centralizando os clientes era com a versão 5.25
Mês passado a RB deu pau e colocamos outra com a versão 6.15.
Coincidência ou não, mais da metade dos clientes não desconecta mais em obediência ao keepalive timeout. Antes era um número reduzido que permanecia inativo e conectado.
Como os clientes continuam com os mesmos equipamentos eu atribui isso a um bug da versão. Monitorei e em 3extos 30 segundos gera um tráfego entre o cliente e o servidor, nestes clientes que "estariam" inativos e por isso não desfaz a conexão.
Tudo sendo sido ouvido e pesquisado a conclusão que chego é que segurança não tem nada a ver com hostpot ou pppoe.
Estes são só formas de autenticar.
Segurança tem que ser implementada com criptografia.
Material explicativo:
http://www.bdibbs.com.br/mum/Brasil_Seguranca_Maia.pdf
Expecialmente no slide 71
http://www.mikrotikbrasil.com.br/art..._2009_Maia.pdf
Especialmente no slide 82
Se alguém discordar, discorde com o Maia...