Versão Imprimível
Gostaria de tecer algumas considerações com quem tem mais experiencia em redes.
Qual o grau de segurança que o Hotspot tem?
Partindo do princípio que uma rede tem criptografia WPA2AES.
A ideia do tópico não é comparar com outros modos de autenticação, mas sim aprofundar mais o conhecimento de como o hotspot trabalha.
Se alguém puder contribuir, vamos conversar mais sobre isso.
Aqui utilizo hotspot sem criptografia, rede aberta, mas já estou pensando em associar hotspot com pppoe, pessoal começou a pegar as manhas de conexão ai até quem não é cliente fica tentando adivinhar senhas, conectam com sinal ruim, direto tenho que ficar procurando regras de bloqueios a intrusos e por ai vai. Então acho que hotspot é melhor por não dar visitas técnicas e ao mesmo tempo pouca segurança em todos os quesitos.
Para iniciantes acho que seja bom, mas na medida que aumenta os clientes já não se torna viável.
O problema maior do hotspot e a troca de senhas entre usuários .
Fora o broadcast maior .
Em sistema myauth 3 isto foi resolvido em partes você pode utilizar pppoe no radio .mas continuar utilizando hotspot também.
@1929 nao sei responder especificamente sobre a seguranca, mas o que o @naldo864 comentou é interessante.
Para me explicar melhor, preciso entender qual o contexto você vai usar o hotspot: no geral para os teus clientes fazerem autenticacao contra o teu provedor? ou em uso geral, como hotéis, eventos e afins?
Me esclarece isso que coloco minhas consideracoes.
Hotspot seguro seria mais ou menos assim
1 hotpost para cada cliente usando vlan porem difícil aplicação
2 certificado ssl para hotspot
3 rede /30
4 amarrar ip mac
5 filtro para descoberta de rede
6 bloqueio de ping
Aqui funciona assim:
Uso o hotspot o mais importante é travar o mac no login pois o pessoal passa a senha sem dó!, rede /30, filtros na bridge, descorberta etc.
Usuários com sistemas antigos como win xp poderiam fazer alguma coisa, mais os sistemas operacionais mais modernos como o win 7 win 8, está dificultando a clonagem de mac...
Para ter o mínimo de segurança em qualquer acesso wireless tem que criar uma regra onde só associa na antena os MACs cadastrados para aquela antena e que estejam com sinal bom. E como foi dito, o usuário só pode acessar com a senha dele usando aquele MAC. Dificulta, mas não impede os oportunistas, já que muitos Aps facilitam a clonagem. usar regra para bloquear o duplo acesso com a mesma senha, na qual a hora que faz uma conexão se houver outra do mesmo login derruba a mais antiga (ai se ele passar a senha vai ficar caindo toda hora e vai aparecer no log). Além das outras coisas que foram citadas acima. Impedir é muito difícil, mas temos que ao menos dificultar a ponto de não ser vantajoso.
Já uso hotspot faz 6 anos no provedor. Só quero entender mais um pouco e ver se há algo a melhorar;.Citação:
Postado originalmente por EribertoTorres
Esta troca de senhas é um dos problemas que resolvemos amarrando IpxMac. Assim espertinhos que estão bloqueados e tentam com senha e usuário dos amigos, ficam de fora. E configuramos para uma conexão só.Citação:
Postado originalmente por naldo864
O gerenciador que usamos permite cadastrar no cliente tanto ipxmac, hotspot e pppoe. Mas pelo que testei vai usar um ou outro e não dois juntos. É isso?
Posso remotamente trocar o usuário para pppoe e traze-lo de volta para o hotspot.
Mas a questão do broadcast eu gostaria de saber mais sobre isso.
Porque o hotspot dá mais broadcast do que outras formas de autenticação, mesmo usando rádio roteado no cliente?
Sem criptografia a coisa pode pegar mesmo... A meu ver a primeira barreira para estranhos é WPA2+AES.Citação:
Postado originalmente por Djaldair
Conectar com sinal ruim pode configurar no access lista para não permitir conexão com sinal ruim.
Destes recursos só utilizo o 2 - amarrar ipxmac.Citação:
Postado originalmente por deson00
Usar certificados, uma vez li que pode dar muito problema e visitas nos clientes. É verdade?
Como seriam os outros?
De modo geral vejo a falta de segurança quando um cliente usa roteador na casa dele e cede sinal para os vizinhos, seja via wireless , seja via cabo. Pois basta ele estar logado e todo mundo vai entrar pelo roteador dele.
Já vi um gerenciador que identifica que possivelmente existe mais de um usuário lá na ponta. Se não me engano é o RouterBox.
Mas acho que aí quando usar roteador interno, qualquer outro meio de autenticação vai gerar a mesma insegurança, ou não?
Usar certificado requer conhecimento sobre o assunto, ao usar certificado valido o usuário nem percebe esta funcionalidade pois o ssl nada mais é que aquela barra do navegador fica verde HTTPS:// a conexão fica criptografada ficando impossível de capturar login e senha e caso use certificado sem verificação da sim chamado pois ao entrar para logar ira aparecer uma tela vermelha falando que nao reconhece o certificado usado e pegunta se realmente quer prosseguir ao usuario.
Certificado pode ser comprado na http://globessl.com/ , comodo.com.br, verising e outros.
Validade apenas de 1 ano, sendo assim todo ano tem que renovar o certificado para que ele continue verde na barra do navegador e nao de chamado por conta disso.
Aproveitando o assunto pergunto: é viável/eficaz utilizar o hotspot somente no 2.4 sem criptografia nenhuma permitindo assim apenas o acesso a pagina de divulgação de servicos do provedor, mas utilizando conexao ppoe para a configuracao definitiva para o acesso a internet no cliente?
É que utilizo ppoe mas estou pensando em fazer do modo que citei. Para os mais experiente, quais sao as desvantagens deste modo?
É uma boa propaganda, pode setar para não aceitar sinal ruim e colocar m botão para dar 10min para o cara ver como é a sua internet (depois jogar o MAC dele numa lista para ele não abusar do teste gratuito) e, no final do tempo, direcionar para uma página de bloqueio com a propaganda e formulário para entrar em contato.Citação:
Postado originalmente por KevinMitnick
Tem como você setar o número de conexões cada usuário pode fazer simultaneamente, para tentar barrar o recompartilhamento da conexão. O provedor que eu comprei fazia isso, coloca um limite que fica bom para um usuário doméstico comum, se ele conectar muitos computadores vai rejeitar as conexões e não vai navegar, mesmo tendo velocidade sobrando. Mas a regra não valeria para clientes empresariais.
Para usar o hotspot somente como propaganda é só apagar os campos do formulário no arquivo "login.html" no hotspot do mikrotik e por fim colocar um script para derrubar os clientes quem não tiver um sinal aceitável.
Aqui uso hotspot em toda minha rede, autenticando no radius e os dados do cliente em mysql, amarrando o usuário no MAC.
Não é 100% segura mas tá funcionando sem problemas a quase 10 anos.
Ao meu ver a melhor parte do hotspot é a baixa assistência e a vantagem de disponibilizar informativos aos clientes e redireciona-los para onde quiser depois de login, no meu caso redireciono para o meu "painel do cliente" com alguns avisos e promoções.
Mas agora com o tempo algumas empresas estavam reclamando de ter que digitar login e senha, dai estou agora em casos extremamente necessário coloco no "ipbinding" mas estou pensando em usar pppoe somente para as empresas.
Em eventos que faço, disponibilizando wifi pra galera, coloco o hostpot com a minha publicidade e somente com o botão para "CONTINUAR NAVEGAÇÃO". (Deixo salvo um usuário e senha padrão no formulário).
Então sendo ou não seguro, pelos pontos negativos e positivos prefiro e continuarei preferindo hotspot do que qualquer outro meio de autenticação.
Legal as informações dos colegas! Então como disse, o que está em perfeito funcionamento é a conexão pppoe (5.8, e cabo), já esta pronto e logo estarei disponibilizando o acesso em 2.4 para hotspot com a pagina de Divulgação de serviços da empresa e também pagina de Cadastro para novos clientes que desejam utilizar a internet, a parti do cadastro do cliente agendaremos a instalação (5.8 ou cabo), agora fico pensando como que irá se comportar para clientes que detectarem o sinal nos seus smartphones, notbook e afins?! Neste modo penso em ter um critério de liberar o sinal para o cliente usufruir da internet somente se tiver com uma boa recepção do mesmo.
Gostaria que os colegas mais experientes me falasse como que fica a questão de segurança neste sentido (já que o tema do post é este!), e se implica em maior/muito processamento nos casos de autenticação do hotspot, já que a rede estará aberta a todo momento para quem quiser se conectar (somente até a pagina de Informações como citei), já que na mesma célula estará também pppoe.
Hotspot ja foi uma boa solução para provedor, ainda é valido para ambientes internos de empresas de variados seguimento.
Provedor deve usar pppoe autenticado em uma CPE.
Sobre propaganda e cadastro de novos clientes é otimo.
Mas então, resumindo, hotspot com criptografia WPA2 + AES e sem certificados não tem segurança?
Na questão de número de usuários nós configuramos para uma só conexão (Autenticação).
Não confundir com conexões simultâneas no tráfego de internet.
Assim só um MAC , só uma autenticação vai ser aceita.
Pelo que comentaram o único furo mais "genérico", vamos dizer assim, seria um usuário utilizar o login e senha de outro, o que pode ser contornado com amaração de mac.
Então onde fica o perigo? na segurança ou no desempenho, já que o @naldo864 se referiu ao aumento de broadcasting?
@naldo864 gostaria de entender melhor esta questão do broadcast. Explica aí porque é maior.Citação:
Postado originalmente por naldo864
em hotspot sempre tem trafego entre o servidor e o cliente mesmo ele não estando fazendo nada e as mensagem de brodcast continuam na rede ,para uma rede pequena isto não e problema ,mas quando se tem 1000 ou 2000 clientes este trafego pequeno pode gerar dor de cabeça.
ja com pppoe quando o cliente não esta fazendo nada ele fecha o tunel e so manda outra requisição para o servidor quando o cliente realmente pede .
fora o tunelamento entre cliente e servidor o que e bom .
ou seja hotspot e bom mas pppoe e bem melhor .
o problema do pppoe e que se a rede for uma porcaria e der muita latencia vai ficar desconectando seus clientes toda hora e te gerando chamados .
Agora você citou algo que eu já tinha observado. Tem clientes que não desconectam nunca mesmo com o keepalive Timeout configurado para determinado tempo.Citação:
Postado originalmente por naldo864
Uns 3 anos atrás, alguém descobriu que os roteadores da OIW estavam com um problema no firmware pois geravam tráfego mesmo sem uso. Ele foi rastreando e viu que remetia a um site chinês . Quando esta pessoa trouxe a tona o problema, a OIW em poucos dias providenciou uma nova versão do firmware e os roteadores que tinham este problema daí em diante passaram a obedecer o keepalive timeout.
https://under-linux.org/showthread.php?t=153212
Mas notei que com outras marcas também acontecia de clientes não desconectarem no tempo previsto.
RB centralizando os clientes era com a versão 5.25
Mês passado a RB deu pau e colocamos outra com a versão 6.15.
Coincidência ou não, mais da metade dos clientes não desconecta mais em obediência ao keepalive timeout. Antes era um número reduzido que permanecia inativo e conectado.
Como os clientes continuam com os mesmos equipamentos eu atribui isso a um bug da versão. Monitorei e em 3extos 30 segundos gera um tráfego entre o cliente e o servidor, nestes clientes que "estariam" inativos e por isso não desfaz a conexão.
Tudo sendo sido ouvido e pesquisado a conclusão que chego é que segurança não tem nada a ver com hostpot ou pppoe.
Estes são só formas de autenticar.
Segurança tem que ser implementada com criptografia.
Material explicativo:
http://www.bdibbs.com.br/mum/Brasil_Seguranca_Maia.pdf
Expecialmente no slide 71
http://www.mikrotikbrasil.com.br/art..._2009_Maia.pdf
Especialmente no slide 82
Se alguém discordar, discorde com o Maia...
Pra mim a "falha de segurança" está no modelo, não nos detalhes técnicos.
Quem vaza dados é o usuario, é o usuario que vai digitar usuario e senha do hotspot num notebook alheio quando este lhe visitar, usuario e senha que serão salvos pelo navegador ou será "visto" pelo dono do notebook que estará do lado...
Quando precisa usuario e senha seguidas vezes claro que o usuario faz aquela coisa bem segura que é anotar num papelzinho de deixar na mesa, pronto pra qualquer visitante ver.
Se você obriga o cliente a ter algum roteador no caminho, e põe pppoe e autenticação nesse roteador, ele não precisa anotar senha porque não precisa usa-la seguidamente, ele não vai precisar nunca. Se ele não anota não tem risco de vazar, se ele não precisa usar diariamente não tem risco de alguém ver digitar ou de pegar a que está salva (Navegador pode exportar profile, ontem a noite eu usava win7, hoje de manhã estava com XP, exportei profile do Seamonkey, Firefox e Chrome, não precisei me "relogar" em nada, um eventual login de hotspot salvo no navegador acompanharia o profile exportado, seria bem facil eu pegar a internet do vizinho assim, pluga um smartphone na porta USB e salva o profile, ele nem percebe, leva 20 segundos). Qualquer Snadboy's Revelation pega alguns dados armazenados no SO local, mas não o faz de setup de roteador, teria que exportar backup das config's e ter um roteador igual (Que é raro, enquanto profile de navegador é importavel em qualquer navegador de SO minimamente similar) ou desembaralhar os dados do backup, coisa complicada demais. Ou seja, dado armazenado localmente tem varias formas de roubar, hoje ninguem impede acesso de vizinho ao seu micro, mas pra pegar dado de setup de roteador é bem mais complicado, se tiver senha no roteador (admin:admin é piada) e esta for de ciencia apenas do provedor, fica impossível "roubar" autenticação pelos meios tradicionais (Engenharia social).
As vezes tem aquelas "pesquisas" da Secunia ou Kaspersky falando que "90% dos casos de falha na segurança envolveram falha humana", eu pelo menos vejo no comportamento de 100% dos meus usuarios falhas enormes, quando se preocupam em colocar senha no SO os arquivos não estão criptografados, quando estão "criptografados" a bios permite boot via USB pra usar software bobo tipo o Seagate File Recovery pra salvar ignorando proprietários, quando tem senha na bios é bem facil tirar a tampa traseira do note e tirar a bateria cr2032 pra zerar a bios (Ou jumpear se for desktop), coisa que se faz em 5 minutos (E vizinho gasta mais que isso em banheiro...).
Rubem, mas aí é outro caso e não dá para considerar invasão de rede. Está mais para patetice do assinante.
Aqui, mesmo roubando usuário do hotspot e senha o suposto amigo do assinante não vai navegar. Vai navegar se usar o serviço na casa do amigo, pois com a senha gravada no navegador vai tranquilo. Mas não na casa dele.
Primeiro ele vai ter que quebrar uma senha wpa2 AES de 63 caracteres impossível de ser decorada.
Depois sim, se passar por aí ele vai clonar mac, etc etc... mas até chegar aí já era.
Concordo com vocês na questão de ter login e senha do pppoe gravado na CPE é mais confortável. Mas se a segurança for só aí, isso também é facilmente burlado conforme explicado nas duas apresentações que postei.
A segurança vai ser dada pelo conjunto de medidas. Nem todas aquelas lá nós utilizamos mas devíamos.
Se não começar pela criptografia forte, nada está seguro, nem hotspot nem pppoe.
Usaria PPPoE + Hotspot (se fosse realmente vantajoso)!
- PPPoE com um /30 pra evitar o broadcast e bloqueio + filtro bloqueando descoberta de rede;
- evitaria interceptação de conteúdo protegido por https (SSL) por ser crime, segundo o Marco Civil da Internet;
- não permitir logins simultâneos;
- mesmo com PPPoE, amarrar MAC a IP só pra saber se o MAC do "Fulano" (que encontra-se bloqueado) está tentando usar o login/senha do Beltrano que, com isso, cairia por não permitir login simultâneo. Então saberíamos QUEM realmente está tentando burlar a rede (no caso, o Fulano). Sendo assim, pediria que Beltrano trocasse a senha e não a distribuísse a ninguém (DE NOVO!);
- bloqueio de ping para que evitemos vírus/spywares/malwares de ficarem tentando se propagar a todo o tempo, uma vez que as eles ficam tentando quando alguém responde a ping na rede interna;
(E por último, mas não menos importante...)
- usaria Hotspot em uma rede separada. Apenas para divulgação de formas de contato, promoções e informações gerais a respeito dos serviços disponibilizados, e ponto! E isso, é claro, usando todas as configurações já citadas acima. E nada de tornar essa rede roteável para a internet.
O problema do hotspot é que gera muito tráfego! Qualquer um vai se conectar e é aí que mora o problema. Hoje em dia, existem muitos vídeos e programas de invasão "for dummies". E qualquer "noob" pode se conectar à sua rede, rodar um sniffer, bruteforce ou algo do gênero, que a sua rede irá "sentar" e seus clientes na mesma hora irão te ligar (malditos bônus de operadora HAHAHA) a hora que for! Por isso que aconselho a deixa o hotspot numa rede separada e não-roteável.
Desculpem a extensão do post, mas só assim para expressar as ideias que vieram à minha mente! rs..
Abraços! ;)
Mas se a rede em hotspot estiver com uma boa chave de criptografia WAP2 + AES?Citação:
Postado originalmente por surfinhu
E se uma rede em PPPOE não tiver uma boa chave criptografada?
Aí o cara pode não conseguir quebrar senhas por causa da criptografia, mas o scan que ele usará, irá criar um broadcast e tráfego absurdos!Citação:
Mas se a rede em hotspot estiver com uma boa chave de criptografia WAP2 + AES?
Se não tiver criptografia(ou de baixa complexidade), o cara sniffa a rede e quebra as senhas dos clientes.Citação:
E se uma rede em PPPOE não tiver uma boa chave criptografada?
Mais com /30, ja gera broadcast, acho que voce se referia a um /32Citação:
Postado originalmente por surfinhu
Citação:
Postado originalmente por surfinhu
Vou postar novamente o link desta apresentação. Vejam a página 66
http://www.bdibbs.com.br/mum/Brasil_Seguranca_Maia.pdf
Opa, erro meu! Era um /32 mesmo. Valeu, crnet! ;)Citação:
Postado originalmente por crnet
Na página 66: "PPPoE e Hotspot ajudam muito, porém não podem ser encarados como plataformas de segurança como tem sido até então!"
Sim, é verdade! Acho que o conjunto de medidas é que formaria a segurança. O WPA2 já é "quebrável" através de tables e isso eu fazia muito no NTLM do Windows. Outro dia mesmo, peguei a hash equivalente à senha da wifi da minha vizinha. Só não quis quebrar porque podia demorar, dependendo da complexidade da senha. E porque é roubo!
Coisas assim fazem o atacante ter mais trabalho para invadir. Não quer dizer que não vão invadir, mas também que vão. Só que irão demorar bem mais tempo que o normal se a rede for bem configurada e seguir padrões rígidos de segurança.
Errado...Citação:
Postado originalmente por surfinhu
O Marco Civil não defini protocolos, não diz que interceptar HTTPs é crime.
O que o Marco Civil (lei 12.965/14) diz:
Art. 7º - O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:
(...)
II - inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei;
Ao pé da letra, até mesmo a interceptação do HTTP se torna crime perante esse item...
Errado de novo...Citação:
Postado originalmente por surfinhu
Nem o Hotspot, tão pouco o PPoE trazem segurança ao nivel de negar que terceiros se conectem.
Esse nível de segurança é aplicado no momento em que você configura criptografia nos seus APs.
Eu posso ter Hotspot e mesmo assim apenas meus clientes conseguirem se conectar...
basta usar Hotspot com SSL.Citação:
Postado originalmente por surfinhu
Custa em torno de R$ 60,00 anual um certificado digital valido.
Com ele, dificilmente um intruso irá conseguir quebrar a senha do cliente.
Minhas considerações:
Sim, torna. Mas a real intenção de algo criptografado não é o sigilo do conteúdo? Isso acentua (ainda mais) a gravidade de se interceptar algo. Você parou aquilo que ninguém (nenhum dos dois lados) quer que você saiba o que tem dentro. Mas por quê? Por que você pegou uma carta lacrada do carteiro que estava endereçada pra outra pessoa ? Presume-se que a sua intenção era abrí-la, unicamente. Por isso que o fluxo deve ser também respeitado.Citação:
Ao pé da letra, até mesmo a interceptação do HTTP se torna crime perante esse item...
Quando falei que é crime isso, é porque nenhum juiz especializado vai acreditar quando você falar que interceptou mas não leu. Ou vai? Então, achei que as pessoas correriam menos riscos pensando que isso não é certo de se fazer, do que fazendo e, quem sabem um dia, serem auditadas e não terem a mínima noção do risco que estava correndo fazendo cache de conteúdo criptografado.
Acho que você não leu minhas mensagens, ou as ignorou! rs..Citação:
Errado de novo...
Nem o Hotspot, tão pouco o PPoE trazem segurança ao nivel de negar que terceiros se conectem.
Eu disse segurança em algum momento? Não. Apenas ilustrei a forma que um atacante vai tentar entrar numa rede que tem hotspot (scan de BSSIDs, spoofing, beacons, etc.. não vem ao caso!).
Não adianta você usar o mais complexo algoritmo de criptografia se o cara não precisa mais ficar tentanto entrar na sua rede. Ele já entrou quando o administrador permitiu que todos chegassem, pelo menos, na tela do hotspot.Citação:
Esse nível de segurança é aplicado no momento em que você configura criptografia nos seus APs.
Sim, irão! Mas, junto com eles, estará o cara lá com suas "tools" tentando, tentando e tentando entrar na rede. E, mesmo não sendo cliente, ele estará estressando seus APs, tornando a navegação dos seus clientes um parto!Citação:
Eu posso ter Hotspot e mesmo assim apenas meus clientes conseguirem se conectar...
Abraços.
para chegar na tela do hotspot vai ter que primeiro quebrar a criptografia.
Não se acontecer em alguns lugares que já vi: o sinal fica aberto (sem senha mesmo kkk) e todo mundo chega na tela do hotspot. Pro dono, só quem vai acessar a internet são os clientes. Mas, na prática, talvez não seja assim. :PCitação:
Postado originalmente por 1929
Acho que você não entendeu ou não quis entender...Citação:
Postado originalmente por surfinhu
Você disse que já viu em alguns lugares o sinal ficar aberto, sem senha.
Sina aberto é hotspot? ou sinal aberto é PPoE?
Nenhum dos dois.
Não é o uso do Hotspot ou o uso do PPoE que trazem segurança.
Eu posso ter uma rede que usa PPoE, mas nada vai adiantar se deixar o AP sem senha (Você sabia que até o PPoE pode ser snifado se mal configurado?).
Do mesmo jeito é o Hotspot.
A segurança da rede não se encontra em apenas um meio: a autenticação do usuário.
A segurança da rede se encontra em vários fatores.
Te dei razão agora. Com rede aberta não existe segurança.Citação:
Postado originalmente por surfinhu
Mas pensei que estivessemos falando em obter um nível de segurança aceitável com WPA2 + AES
Pois é, amigo. Por isso que sempre aconselho a criar um BSSID separado e não roteado para internet quando tiver rede sem senha apenas para a divulgação de serviços.Citação:
Postado originalmente por 1929
WPA2 + AES é uma ótima configuração! ;)
AndrioPJ, sim, eu sei, amigo. Vale deixar a dica de nossas experiências para os amigos do fórum! Como eu sempre falo: "A segurança vai ser dada pelo conjunto de medidas."
Abraços a todos! ;)
Bom , depois de tudo que comentaram só venho reforçar meu posicionamento.
hotspot ou pppoe não tem nada a ver com segurança.
Fazem 6 anos que estamos com hotspot. E a única vez que tivemos problema foi exatamente aquela questão que o @rubem levantou. De um usuário usar o login e senha do outro.
Usuário estava bloqueado e outro que reclamava, quando chegava lá estava normal com tráfego chegando nos picos do plano.
Num monitoramento descobrimos que o bloqueado estava se fazendo passar pelo outro que era amigo dele.
A falha estava no hotspot? Naõ, ela estava na nossa configuração. Mesmo com wpa + AES.
Nós não fixávamos o MAC do rádio na época.
Veja, de pouco adiantaria fixar mac se fosse cliente bridge.
Com cliente roteado, ele teria que clonar o MAc do rádio e colocar na CPE o mac do rádio do amigo.
Pergunto então: ele poderia clonar o mac do rádio sem chegar nele partindo do princípio que este rádio também está com senha?
E mesmo depois destas medidas básicas poderia alguém ainda tentar invadir? Alguém vai dizer que sim. Mas e se encontrasse mais uma barreira com um servidor radius?
Porque tenho feito esta defesa do hotspot?
Porque uma pessoa me disse categoricamente: tira o hotspot e coloca pppoe. hotspot não tem a menor segurança.
Como eu já conhecia as apresentações do Maia sobre o assunto e também porque esta afirmação já li várias vezes na internet, resolvi trazer o assunto a tona.
E como diz o Maia, segurança não tem nada a ver com hostpot ou pppoe.
Eu não entendo nada de redes. O que vou aprendendo é com as postagens e o dia/dia.
Felizmente encontro aqui algumas pessoas como o @AndrioPJ que entenderam o que eu queria salientar.
Me parece que a mais forte alegação para não usar hotspot seria a questão do broadcast mas nunca por falta de segurança no modelo de autenticação.
E broadcast que pode ser resolvido com roteamento no POP.
Meu ponto de vista.
Algumas coisas que podemos fazer com hotspot e evitar problemas, usar /32 evitando clientes se enxergar, criptografia nos rádios, senhas nos rádios clientes, certificado se possível, filtro nas bridge, bloqueio de ping e tc.
Mas infelizmente isso não evita o broadcast que é evitado no pppoe.
Caso use radius para autenticar coloque roteamento ospf e cada pop uma rb com hotspot com tudo isso que foi dito acima.
Pode ser usado vlan dentro das bridge existente ou seja colocar em cada pop uma rb 450 com hostpot dentro da vlan.
Do resto só alegria