Edielson e o cara, eu estava la na apresentacao dele e quando ele comecou a falar muitos levantaram e foram embora, q pena pois foi a ultima e a mlhor apresentacao no so do dia no MUM mas foi a melhor aprentacao do MUM 2009.
Parebens Edielson!
-
06-12-2009, 21:56 #61
-
07-12-2009, 10:06 #62
- Ingresso
- Aug 2007
- Posts
- 168
vi o pdf e achei a ideia interessante mais uma duvida crio o certificado e coloco no mikrotik, e como crio os dos clientes e instalo neles, e quando o cliente for um ap em modo cliente, pelo que vi no pdf tb todos usuario seriam feita aconexão via vpn com ipsec e certificado.
-
08-12-2009, 22:44 #63Moderador
- Ingresso
- Aug 2006
- Localização
- Pres. Venceslau - SP | Pres. Prudente - SP
- Posts
- 1.412
- Posts de Blog
- 10
Sistema Anti-Clone
Prezado colega, primeiro quero parabeniza-lo por sua palestra.
Mas gostaria de lembrar a todos que simplesmente pelo protocolo o cliente já tem 10% da banda perdida, se utilizarem a solução apresentada o cliente terá + ou - 20% da banda afetada.
Não vou entrar em detalhes de como funciona a coisa conceito de protocolo e tal, mas gostaria de lembrar a todos que a idéia é ótima e merece o reconhecimento de todos, porém cautela no uso.
Lembrando tb que se pode aplicar isso a inúmeras coisas.
-
08-12-2009, 23:32 #64
vi o pessoal falando aqui sobre o hotspot nao ser totalmente seguro...
me digam.
se deixarmos a interface com arp REPLY-ONLY, logo, manter uma tabela arp
ativar o dhcp somente para os cadastrados
ativar hotspot+ssl(usuario+senha+ip+mac)
sei que ainda seria inseguro...
mas, dessa forma nao ameniza a inseguranca?
tendo em vista q se clonarem ipXmac, terao problema com ip duplicado
se esperarem o cliente desconectar, nao conseguirao mais conectar, tendo em vista que precisaram de usuario e senha.
ou sera q estou enganado
mas essa perca de banda é somente entre cliente e servidor
Postado originalmente por minelli
do servidor para a internet, ja nao tem a perca de banda..
em resumo:
cliente 300 k - > chega ao servidor com 280k - > sai para a internet com 280k
-
09-12-2009, 01:38 #65Expert MikoTik e Linux
- Ingresso
- Jan 2006
- Localização
- Brasilia
- Posts
- 299
Postado originalmente por minelli
esta lance de perder 20% de banda, tem um porem, vai depender do hardware ou Routerboard que voce pode esta usando como servidor e a ate mesmo como AP, tem gente que quer compra RB133 para fazer AP ai nao tem geito . a qualidade de sua rede wireless tambem conta muito , pois no teste que ja esta em produção em alguns provedores a banda contratada chegar em seu 100% , agora é logico se sua rede wireless estiver ruim, ping e outras coisas , se voce usar qualquer altenticação que use tunnel Ex. PPPoE PPTP L2TP e etc.. voce não terar um bom desempenho na navegação no lado do cliente...
desde já quero agradecer o apoio de todos...
-
10-12-2009, 00:39 #66
- Ingresso
- May 2008
- Posts
- 254
Será que funciona, tentei amarrar ip mas mesmo assim não funcionou, agora esse lance ai do arp ainda não testei. Postado originalmente por mascaraapj
-
10-12-2009, 01:26 #67
Ja trabalho com servidores linux a algum tempo, mas, Eu ainda sou iniciante no mikrotik... entao, nao sou a melhor pessoa para falar se alguma funcao/regra no mirkotik sera segura. Postado originalmente por gulinhaster
Mas, em uma breve analise aqui
coloquei uma pequena rede de testes (7pc) para rodar, seguranca restritiva para IPxMAC, amarrado na tabela arp, dhcp somente para cadastrados, etc e tal.
Logo apos, adicionei o hotspot, e para completar, configurei cada usuario do hotspot com o seu respectivo ip e mac...
Tentei navegar com clone de mac/ip nao deu certo, dava erro.
Tentei passar um sniffer na rede, sem sucesso
consegui implementar algumas coisas no mikrotik seguindo alguns tutoriais e completando com a experiencia q tenho em redes e linux... mas como disse: sou iniciante no mikrotik, entao, algumas coisas ainda nao sei a fundo como funciona..
-
10-12-2009, 01:29 #68
- Ingresso
- May 2008
- Posts
- 254
Como vc amarrou no arp? Postado originalmente por mascaraapj
-
10-12-2009, 02:44 #69
Interface=reply-only
add ip e mac na arp list.
Pronto, está amarrado.
-
17-12-2009, 15:23 #70
- Ingresso
- Aug 2007
- Posts
- 168
edielson eu criando o certificado e usando ele pra classe toda em peer no ipsec, quando esse certificado vencer eu precisarei criar um novo certo e precisarei tb ir em todos os clientes, vc pode disponibilizar o programa pra instalação do certificado em maqunas windows.
-
17-12-2009, 17:37 #71Expert MikoTik e Linux
- Ingresso
- Jan 2006
- Localização
- Brasilia
- Posts
- 299
Postado originalmente por apnet
entao dentro do linux ou windows 2003 server onde voce vai criar os a entidade certificadora e os certificados para os cliente poder criar eles com validade de 1 até 5 anos
e quanto vencer o certificador voce terá q instalar outro certificado, mais como eu espliquei la no MUM nunca vi um usuario windows ficar sem formata sua maquina pelo menos 2 vezes no ano pois os virus nao deixa kkkkkkkkkkkkk.
mais assim eu aconcelho voce criar 1 certificador para cada cliente assim vc terar uma melhor qualidade na administração de sua rede.
em entao de instalar o certificador o windows faz isnto nao precisa de programa não o programa e so para facilida minha vida.
-
18-12-2009, 09:05 #72
- Ingresso
- Aug 2007
- Posts
- 168
a unidade certificadora ela tb tem prazo, tipo eu crio a unidade certificadora e depois crios os certificados certo, sei que os certificados toda vez que o cliente formatar o micro eu preciso criar um novo no linux ou no windows pra instalar no micro dele certo, seria assim o funcionamento, enquatoo ao programa pra facilitar a instalação no cliente no certificado vc tem ou sabe onde posso baixar.
-
18-12-2009, 14:11 #73
- Ingresso
- Jul 2008
- Posts
- 394
Guardadinho
Bom no meu caso utilizo hotspot com SSL para cada cliente, o que eu faço é dar um cd para o cliente com o certificado dele, e claro fica com migo também.
Se formatar a máquina coloca o cdzinho e da dois cliques em cima do certificado, quando o mesmo esta com a extenção .crt.
Mas se quer segurança no hotspot vai trabalhar com WPA2 EAP-TLS, rss acabo.
Obs. Nunca testei com outras extenções, por exemplo .pem
Abraços
Bruno QueirozÚltima edição por caicarabruno; 18-12-2009 às 14:15.
-
19-12-2009, 09:09 #74
- Ingresso
- Sep 2008
- Posts
- 338
alguem ja testou l2tp+ ipsec na versao 2.x ?
percebi que na 2.9.61 ipsec nao tem a opção de colocar o certificado ou se tem esta em outro lugar ?
-
19-12-2009, 11:56 #75Expert MikoTik e Linux
- Ingresso
- Jan 2006
- Localização
- Brasilia
- Posts
- 299
se voce quer trabalhar com ipsec tem que usar a versao 3.x ou 4.x pois na versao 2.9.x nao funcionar o ipsec direto Postado originalmente por 14735
-
04-01-2010, 23:33 #76
eu mesmo instalo o certificado nos clientes mas na hora de escolher a pasta de instalação que a segunda da lista "autoridades de certificação raiz confiaveis" se colocar nesta pasta ele não gera mais o erro, mas acho que todos ja sabem disso né?
-
04-01-2010, 23:48 #77
Dessa eu não sabia!!! Se puder, passe mais alguns detalhes para nós.
Vlww
-
16-01-2010, 15:36 #78
- Ingresso
- Oct 2009
- Posts
- 31
Caro Amigo Edielson, Postado originalmente por edielsonps
Achei magistral sua palestra referente a L2TP/IPsec e certificação digital, parabéns mesmo.
Só que fiquei com algumas duvidas.
1) Pelo que entendi a L2TP/IPsec é mais seguro que Hotspot e PPPoE, porém não teria como eu utilizar minhas paginas personalizadas (login, sessão de downloads, etc). Ou eu utilizo Hotspot ou PPPoe ou L2TP/IPsec, o meu entendimento está correto?
2) Optando por manter meu Hotspot (WPA2 AES+(amarração de IP+MAC+Login+Senha) + apenas um login por mac) e acrescentando a certificação digital, ainda assim minha rede ficaria vulneravel?
3) Em relação ao Radius haveria a necessidade de usa-lo, uma vez que estaria utilizando a certificação digital?
4) Não entendi muito bem sobre o WPA2 - AES "TLS"????
4) Não tenho nem ideia de como criar uma Entidade certificadora e consequentemente criar um certificado digital no linux ou em qualquer outro lugar. Vc menciona que pode-se criar no linux, vc teria algum tutorial explicando passo a passo como criar? me ajude......
A navegação gratuita em meu provedor é o que menos me preocupa, minha maior preocupação é a invasão ao sistema, ou seja concorrentes ou "hackers" invadindo pra efetuar captura de senhas de bancos (como fizeram com a minha), com o proposito de desconfigurar meu provedor, etc.... esta é a minha maior preocupação hoje. O problema com os "espertinhos" que querem navegar de graça eu resolvo depois, até mesmo porque quando resolver o problema de segurança acredito que resolvera este também.
Aguardo ancioso os seus comentarios.Última edição por ElizeuHenry; 17-01-2010 às 09:26.
-
18-01-2010, 16:29 #79Expert MikoTik e Linux
- Ingresso
- Jan 2006
- Localização
- Brasilia
- Posts
- 299
olá amigo primeiro L2tp não tem nada aver com hotspot ou pppoe , l2tp e uma vpn que quanto usando l2tp+ipsec conseguimos feixar um vpn vamos dizer quer super segura, entao dessa forma voce pode usar em seu provedor l2tp+ipsec e tambem certificador digital junto com ipsec para tornar ainda muito mais seguro e impossivel de ter clone na sua rede.
-
18-01-2010, 18:22 #80
- Ingresso
- Oct 2009
- Posts
- 31
Caro Edielson, Postado originalmente por edielsonps
Muito obrigado por sua explicação, peço desculpas pela minha ignorancia, pois, estou aprendendo e apanhando muito sobre o assunto wireless, já efetuei varias configurações sozinho e também paguei algumas, porém neste emaranhado de informações percebi que está ea que mais se encaixa e é a mais segura. Estou montando ou pelo menos tentando montar esta configuração, porém estou apanhando para criar a Entidade certificadora e os certificados digitais.
Gostaria de saber se vc poderia me enviar um tutorial explicando como fazer esta certificação.
Mais uma vez gostaria de agradecer a vc e a todos que vem me ajudando nesta caminha.......um dia eu chego lá.....valeu
Citação
