Temos que usar um filter para amenizar isto, por isto que é necessário bloquear o restante, liberando apenas o necessário.
Eu sei....
NÃO EXISTE SISTEMA 100% SEGURO!
Versão Imprimível
Temos que usar um filter para amenizar isto, por isto que é necessário bloquear o restante, liberando apenas o necessário.
Eu sei....
NÃO EXISTE SISTEMA 100% SEGURO!
muito interessnte
a pergunta é apos a palestra será postado aki no forum um wiki ensinando ?
vc poderia disponibilizar o script aki no forum ?Citação:
Postado originalmente por Raniel
Alguem sabe se vai sair tutorial ou wiki sobre o assunto?
ja está postado do wiki
MUM 2009 BR - MikroTik Wiki
Poderia dar mais detalhes pois não sou tão bom em scripts e não imagina como estou sofrendo aqui com clonagem de mac.Citação:
Postado originalmente por Raniel
Já vi tambem em um outro provedor que quando o cara clona o mac em vez de o hotspot dar o mesmo ip para o cara que clonou ele gera um outro ip pedindo usuario e senha de novo, mas tentei aqui e não consegui fazer.
Meu script funciona da seguinte forma:
*como explicado acima.
Toda vez que um usuário loga no hotspot, ele executa o script de verificação.
Dá um print em todos os active, verifica o hostname de um por um, se há algo errado, no hostname, ele remove o usuário do active do hotspot, desativa ele na lease por 5 segundos, muda o profile dele para outro, tipo o que mostrei acima.
Enquanto tiver com o nome errado, ele faz sempre esta alteração.
Edielson,
Acabei de ler seu pdf explicativo de como fazer o l2tp com certificados!
É mais uam forma de usarmos para que nossos clientes se conectem de forma segura.
Obrigado
Abraços
Bruno Queiroz
Edielson, muito bom trabalho, inclusive assisti sua palestra, achei fantastica a ideia. Mas so depois me veio uma duvida, como eu faria com meus clientes que possuem servidores linux como gerenciadores de internet e na maioria sem modo gráfico.
Abracos
Citação:
Postado originalmente por edielsonps
Citação:
Postado originalmente por standart
No linux voce poder configura um discador l2tp+ ipsec sem problema algum, tanto em desktop quanto em modo console.
Edielson e o cara, eu estava la na apresentacao dele e quando ele comecou a falar muitos levantaram e foram embora, q pena pois foi a ultima e a mlhor apresentacao no so do dia no MUM mas foi a melhor aprentacao do MUM 2009.
Parebens Edielson!:rock:
vi o pdf e achei a ideia interessante mais uma duvida crio o certificado e coloco no mikrotik, e como crio os dos clientes e instalo neles, e quando o cliente for um ap em modo cliente, pelo que vi no pdf tb todos usuario seriam feita aconexão via vpn com ipsec e certificado.
Prezado colega, primeiro quero parabeniza-lo por sua palestra.
Mas gostaria de lembrar a todos que simplesmente pelo protocolo o cliente já tem 10% da banda perdida, se utilizarem a solução apresentada o cliente terá + ou - 20% da banda afetada.
Não vou entrar em detalhes de como funciona a coisa conceito de protocolo e tal, mas gostaria de lembrar a todos que a idéia é ótima e merece o reconhecimento de todos, porém cautela no uso.
Lembrando tb que se pode aplicar isso a inúmeras coisas.
vi o pessoal falando aqui sobre o hotspot nao ser totalmente seguro...
me digam.
se deixarmos a interface com arp REPLY-ONLY, logo, manter uma tabela arp
ativar o dhcp somente para os cadastrados
ativar hotspot+ssl(usuario+senha+ip+mac)
sei que ainda seria inseguro...
mas, dessa forma nao ameniza a inseguranca?
tendo em vista q se clonarem ipXmac, terao problema com ip duplicado
se esperarem o cliente desconectar, nao conseguirao mais conectar, tendo em vista que precisaram de usuario e senha.
ou sera q estou enganado
mas essa perca de banda é somente entre cliente e servidorCitação:
Postado originalmente por minelli
do servidor para a internet, ja nao tem a perca de banda..
em resumo:
cliente 300 k - > chega ao servidor com 280k - > sai para a internet com 280k
Citação:
Postado originalmente por minelli
esta lance de perder 20% de banda, tem um porem, vai depender do hardware ou Routerboard que voce pode esta usando como servidor e a ate mesmo como AP, tem gente que quer compra RB133 para fazer AP ai nao tem geito . a qualidade de sua rede wireless tambem conta muito , pois no teste que ja esta em produção em alguns provedores a banda contratada chegar em seu 100% , agora é logico se sua rede wireless estiver ruim, ping e outras coisas , se voce usar qualquer altenticação que use tunnel Ex. PPPoE PPTP L2TP e etc.. voce não terar um bom desempenho na navegação no lado do cliente...
desde já quero agradecer o apoio de todos...
Será que funciona, tentei amarrar ip mas mesmo assim não funcionou, agora esse lance ai do arp ainda não testei.Citação:
Postado originalmente por mascaraapj
Ja trabalho com servidores linux a algum tempo, mas, Eu ainda sou iniciante no mikrotik... entao, nao sou a melhor pessoa para falar se alguma funcao/regra no mirkotik sera segura.Citação:
Postado originalmente por gulinhaster
Mas, em uma breve analise aqui
coloquei uma pequena rede de testes (7pc) para rodar, seguranca restritiva para IPxMAC, amarrado na tabela arp, dhcp somente para cadastrados, etc e tal.
Logo apos, adicionei o hotspot, e para completar, configurei cada usuario do hotspot com o seu respectivo ip e mac...
Tentei navegar com clone de mac/ip nao deu certo, dava erro.
Tentei passar um sniffer na rede, sem sucesso
consegui implementar algumas coisas no mikrotik seguindo alguns tutoriais e completando com a experiencia q tenho em redes e linux... mas como disse: sou iniciante no mikrotik, entao, algumas coisas ainda nao sei a fundo como funciona..
Como vc amarrou no arp?Citação:
Postado originalmente por mascaraapj
Interface=reply-only
add ip e mac na arp list.
Pronto, está amarrado.
edielson eu criando o certificado e usando ele pra classe toda em peer no ipsec, quando esse certificado vencer eu precisarei criar um novo certo e precisarei tb ir em todos os clientes, vc pode disponibilizar o programa pra instalação do certificado em maqunas windows.
Citação:
Postado originalmente por apnet
entao dentro do linux ou windows 2003 server onde voce vai criar os a entidade certificadora e os certificados para os cliente poder criar eles com validade de 1 até 5 anos
e quanto vencer o certificador voce terá q instalar outro certificado, mais como eu espliquei la no MUM nunca vi um usuario windows ficar sem formata sua maquina pelo menos 2 vezes no ano pois os virus nao deixa kkkkkkkkkkkkk.
mais assim eu aconcelho voce criar 1 certificador para cada cliente assim vc terar uma melhor qualidade na administração de sua rede.
em entao de instalar o certificador o windows faz isnto nao precisa de programa não o programa e so para facilida minha vida.
a unidade certificadora ela tb tem prazo, tipo eu crio a unidade certificadora e depois crios os certificados certo, sei que os certificados toda vez que o cliente formatar o micro eu preciso criar um novo no linux ou no windows pra instalar no micro dele certo, seria assim o funcionamento, enquatoo ao programa pra facilitar a instalação no cliente no certificado vc tem ou sabe onde posso baixar.
Bom no meu caso utilizo hotspot com SSL para cada cliente, o que eu faço é dar um cd para o cliente com o certificado dele, e claro fica com migo também.
Se formatar a máquina coloca o cdzinho e da dois cliques em cima do certificado, quando o mesmo esta com a extenção .crt.
Mas se quer segurança no hotspot vai trabalhar com WPA2 EAP-TLS, rss acabo.
Obs. Nunca testei com outras extenções, por exemplo .pem
Abraços
Bruno Queiroz
alguem ja testou l2tp+ ipsec na versao 2.x ?
percebi que na 2.9.61 ipsec nao tem a opção de colocar o certificado ou se tem esta em outro lugar ?
se voce quer trabalhar com ipsec tem que usar a versao 3.x ou 4.x pois na versao 2.9.x nao funcionar o ipsec diretoCitação:
Postado originalmente por 14735
eu mesmo instalo o certificado nos clientes mas na hora de escolher a pasta de instalação que a segunda da lista "autoridades de certificação raiz confiaveis" se colocar nesta pasta ele não gera mais o erro, mas acho que todos ja sabem disso né?
Dessa eu não sabia!!! Se puder, passe mais alguns detalhes para nós.
Vlww
Caro Amigo Edielson,Citação:
Postado originalmente por edielsonps
Achei magistral sua palestra referente a L2TP/IPsec e certificação digital, parabéns mesmo.
Só que fiquei com algumas duvidas.
1) Pelo que entendi a L2TP/IPsec é mais seguro que Hotspot e PPPoE, porém não teria como eu utilizar minhas paginas personalizadas (login, sessão de downloads, etc). Ou eu utilizo Hotspot ou PPPoe ou L2TP/IPsec, o meu entendimento está correto?
2) Optando por manter meu Hotspot (WPA2 AES+(amarração de IP+MAC+Login+Senha) + apenas um login por mac) e acrescentando a certificação digital, ainda assim minha rede ficaria vulneravel?
3) Em relação ao Radius haveria a necessidade de usa-lo, uma vez que estaria utilizando a certificação digital?
4) Não entendi muito bem sobre o WPA2 - AES "TLS"????
4) Não tenho nem ideia de como criar uma Entidade certificadora e consequentemente criar um certificado digital no linux ou em qualquer outro lugar. Vc menciona que pode-se criar no linux, vc teria algum tutorial explicando passo a passo como criar? me ajude......
A navegação gratuita em meu provedor é o que menos me preocupa, minha maior preocupação é a invasão ao sistema, ou seja concorrentes ou "hackers" invadindo pra efetuar captura de senhas de bancos (como fizeram com a minha), com o proposito de desconfigurar meu provedor, etc.... esta é a minha maior preocupação hoje. O problema com os "espertinhos" que querem navegar de graça eu resolvo depois, até mesmo porque quando resolver o problema de segurança acredito que resolvera este também.
Aguardo ancioso os seus comentarios.
olá amigo primeiro L2tp não tem nada aver com hotspot ou pppoe , l2tp e uma vpn que quanto usando l2tp+ipsec conseguimos feixar um vpn vamos dizer quer super segura, entao dessa forma voce pode usar em seu provedor l2tp+ipsec e tambem certificador digital junto com ipsec para tornar ainda muito mais seguro e impossivel de ter clone na sua rede.
Caro Edielson,Citação:
Postado originalmente por edielsonps
Muito obrigado por sua explicação, peço desculpas pela minha ignorancia, pois, estou aprendendo e apanhando muito sobre o assunto wireless, já efetuei varias configurações sozinho e também paguei algumas, porém neste emaranhado de informações percebi que está ea que mais se encaixa e é a mais segura. Estou montando ou pelo menos tentando montar esta configuração, porém estou apanhando para criar a Entidade certificadora e os certificados digitais.
Gostaria de saber se vc poderia me enviar um tutorial explicando como fazer esta certificação.
Mais uma vez gostaria de agradecer a vc e a todos que vem me ajudando nesta caminha.......um dia eu chego lá.....valeu
creio q isso possa ajudar na criação dos certificados, está bem no final do texto (vale a pena ler todo ele, bem interessante):
User Manager/User payments - MikroTik Wiki
e esse em especial mostra como criar certificador e certificado no linux (free):
http://www.vivaolinux.com.br/artigo/...Linux?pagina=4
abraços a todos...
Achei a ideia do Raniel mais eficaz, criei um script baseado a ideia dele e esta show de bola, menos trampo e eficiente.
Mas valeu, pena que o MUM foi tão pobre.
É isto aí. Pode-se fazer muita coisa usando script, só usar o que Deus deu.
:rofl:
Relaxa que ainda vou fazer parte da equipe para incrementar o mum brasil... kkkkkCitação:
Postado originalmente por int21
Amigo, poderia dar uma palhinha a respeito do script. Exemplo de um controle feito para podermos colocar nos outros. Abcs.Citação:
Postado originalmente por int21
Tem que APRENDER e não colar po, soluções de caixinha não servem pre todos, a ideia ja foi explicada pelo Raniel mas respeito o direto dele não ter colocado, não serei eu que vou sacanear o cara né. O pai da criança ai que pode te dar uma luz, "o nome dele é RANEIL gente boa!"
Blz, muito obr assim mesmo. Eu sei que quando as pessoas me pedem ajuda eu os ajudo. Pensei q essa fosse a finalidade do forum. Mas valeu pela AJUDA.Citação:
Postado originalmente por int21
Como você mesmo falou amigo, o forum é para dúvidas e não para postar solucoes prontas.
Faça sua solução e informe as dúvidas que, os outros colegas e eu, fazemos questão de ajudar.
Caro Raniel, não sei os demais integrantes do forum, mas estou desapontado com sua postura, acredito que o forum também sirva para postar soluções prontas sim, pois, através destas soluções prontas que muitas vezes não nos servem mas podemos extrair delas o conceito e a ideia de como foi feita e assim transporta-las para nossa realidade. Acredito que um pouco mais de humildade não fara mal.Citação:
Postado originalmente por Raniel
Sou leigo em muitos assuntos, como sou extremamente bom em outros e este compartilhamento de conhecimentos é o que nos faz crescer juntos, quem ensina e quem esta aprendendo também, todos aprendem.
Pois é. Mas minha postura é esta. E sempre tento alertar para isto. Este lance de copy e paste... prefiro não comentar.
Mas fazer o quê? Cada um pensa da forma que entende.
Caro Raniel,Citação:
Postado originalmente por Raniel
Obrigado por responder minha critica, pois ela foi feita de maneira construtiva, a intenção e faze-lo refletir sobre suas ações, pois este forum é referencia nacional para os expert, os intermediarios e os leigos neste assunto. O que mantem este forum nesta posição hoje é a UNIÃO DE TODOS em pró de todos da comunidade, portanto naum podemos perder isto ou o que admiramos e respeitamos tanto será perdido.
Lembre-se você naum nasceu sabendo e nem aprendeu sozinho.....um dia vc já esteve no lugar do nosso amigo...nunca esqueça disto.
Desde já agradeço por sua atenção e torço pelo sucesso de todos.
Pois é amigo, não nasci sabendo e nem tive quem me ensinasse, exceto o google. Onde moro não há empresas com tais cursos, então eu meti a cara e fui pesquisar, testar... quebrar a cara, tornar tentar e assim por diante. Hoje tento fazer com que as pessoas procurem pesquisar, testar... quebrar a cara que sempre acontece e seguir em frente ao sucesso. Mas como eu vejo, espero que todos não sejam assim, você não está tentando isto. Quer que eu poste a solução através destas rajadas psicológicas? Não adianta, eu não vou postar solução alguma, já falei o que tem que ser feito.
Espero que tenha me compreendido... dúvidas... estarei aqui para ajudá-lo.
pq todo topico bom acaba fugindo do assunto no seu fim... aff
Também concordo, Quem quiser ensinar, "ensina", quem não quer paciencia. Eu fui o pivor da discursão e nao mais tanto interesse no assunto. A todos abraços, mas lembrando, descobrindo como fazer eu mesmo irei postar para todos a solução.
Citação:
Postado originalmente por tiagomatias
Achei que você já estava postando a solução.
Ainda não amigo, como te falei nao sou nenhum expert em MK, mas irei pesquisar e, se conseguir postarei sim. Mas não irei prolongar a discursão mais. por mim tópico finalizado.
Citação:
Postado originalmente por Raniel
Agradeço pela boa ação. Também acho que tá na hora de finalizar este tópico.
ensinar é uma coisa, tornar público o que é um diferencial competitivo é outra. Nunca nos negamos a ensinar mas o caminho foi dado. O problema é que "ninguem" gosta de perder noites, finais de semana etc em sites gringos procurando soluções para problemas que temos em geral. O que aprendemos vira nosso sustento e isso deve ser respeitado. Eu uso thunder-cache que eu mesmo codo nele por terem fechado o código e nem por isso eu comercializo a solução que não foi ideia minha, embora o meu esteja bem estável! Mas o que quero dizer no grosso é ESTUDEM, APRENDAM e ensinem o caminho mas não saia dando peixe. Obrigado ao amigo Raniel que me deu A DICA e nunca trocamos nada a não ser caminhos.
A todos o meu cordial abraço.
Senhores,
Peço desculpas pela discussão, mas tem coisas que me parecem que naum iram mudar nunca, se naum abrirmos nossas mentes e aumentarmos nossos angulos de visão, estaremos cada vez mais distantes um do outro.
Só a titulo de informação, naum estou precisando de nenhum codigo, explicação, modelo, dica, etc... do raniel no momento, o que me deixou desapontado foi justamente a atitude e o pensamento dele e dos demais. Não é porque vc sofreu, perdeu noites em claro, ficou sem dormir ou dormiu na frente de um pc que os outros tem q fazer a mesma coisa, volto a dizer que hoje vc pode estar em poder da informação, mas como tudo na vida muda, algum dia alguem podera estar em poder da informação e te dar a mesma resposta, minha critica é construtiva e independe do assunto q seja tratado, isto se aplica em tudo na vida.
Também não sou idiota e naum ficar debatendo este assunto que esta se tornando até chato, portanto cada um decida como prosseguir e bola pra frente, por mim assunto encerrado.
Sem mais no momento,
Obrigado a todos pela atenção
Acabemos com isto. Vamos excluir nossos posts que não tem nada a ver com o título e deixar com o tópico prossiga, senão este será fechado a qualquer momento. Fazendo isto todos ganham...