+ Responder ao Tópico



  1. #1

    Padrão Cartão R52H + criptografia WPA2

    Amigos estou encontrando uma dificuldade muito grande na configuração da chave de criptografia neste cartão R52H.
    Quando coloco a chave não consigo acessar a rede pois dá mensagem que a chave é incompativel.
    Configurei como dinamic key pois foi o único modo que consegui fazer a gravação da chave.

    Eu já uso chave de criptografia WPA2 AES com 63 caracteres que é o número máximo aceito pelos Nano.
    Uso esta mesma chave nos RTL8186 também sem problemas.

  2. #2

    Padrão

    Onde mostra a mensagem de incompatibilidade? Já vi vários RBs com este cartão funcionando e com criptografia WPA, WPA2 e até WEP e nunca vi este tipo de problema ou algo semelhante. Faça um teste configure outra chave, como esta:

    G%YhbK^N56a4Ja%?pH&NjlHZi*$7$k&

    Essa tem apenas 32 caracteres, mas possui símbolos e seria uma opção para conferir se está funcionando.

    Detalhe: Dependendo da versão do sistema operacional não é aceito WPA2/AES, apenas WPA/TKIP.
    Última edição por Teluri; 03-04-2010 às 15:00.

  3. #3
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    1929, no Mikrotik para configurar WPA ou WPA2 realmente é Dynamic Keys, esse é o padrão. Quanto a informar que a chave é incompatível, onde foi exibido esta mensagem?

  4. #4

    Padrão

    Perdão, acho que me expressei mal, ou me passou algo desapercebido. A mensagem é no notebook.
    Eu ainda não subi a RB, está só em bancada.

    O que acontece é que uso uma chave semelhante a esta que o companheiro citou mais acima, só que com 63 caracteres.

    Esta chave ja está nos rádios dos clientes e não tem como trocar para menos caracteres. Mas fui configurar uma rb 433ah com cartão r52h em AP bridge e selecionei dinamic key. Gravou
    Mas quando fui testar a conexão pelo notebook com o ap, gravei a chave no notebook mas não reconheceu. Parece que no notebook ficou com menos caracteres.

    Daí como o Teluri falou, já estou me localizando que o problema parece ser no notebook com windows vista que não grava a chave completa. Pelo menos o número de asteriscos no local da chave fica bem menor que 63. Não me lembro agora mas coisa de 8 ou 10 asteriscos.

    Obrigado Sérgio, por me confirmar que é mesmo dinamic key, pelo menos neste ponto já não esquento mais a cabeça.

    Vou fazer um novo teste, desta vêz configurando um AP cliente para ver se conecta.

  5. #5

    Padrão

    Confirmado! Era mesmo o notebook que não tem suporte para WPA2, apesar de aparecer na configuração da rede a opção wpa2 AES, ele só grava uma chave de 8 caracteres.

    Configurei um AP cliente e conectou normalmente. Mas criou um problema com um Nano2 que já está na torre com WPA2 AES. As chaves no Nano e no cartão da RB são as mesmas.

    Mas apareceu na RB em dhcp um usuário que estava configurado para conectar no SSID do Nano2, com um IP que não era o do hotspot mas sim da classe de IP dos rádios.
    Todos os rádios estão em bridge e ip 192.XXX.0.XXX
    O Nano por exemplo está 192.XXX.0.200
    O cartão na RB está 192.XXX.0.205 .
    Os dois com a mesma chave de cripto e SSID diferentes e canais diferentes.

    Lá no cliente que era para conectar no Nano2 deu pau. Não conectou corretamente e apareceu um IP 192.XXX.0.191 e o login deste cliente em DHCP da RB. Ou seja, a RB deu um ip inválido para o cliente que não era nem para entrar nesta RB, pois o SSID é diferente.

    Como a RB está ainda em bancada, mas conectado no switch da rede, eu removi a RB da rede e tudo voltou ao normal, depois de derrubar o cookie do cliente no hotspot.
    Removi a chave de criptografia da RB e coloquei ela novamente no switch e daí não deu mais este problema.
    Agora fiquei com um pepino nas mãos. Se coloco a chave de criptografia no cartão, dá conflito. Se deixo sem chave fico desprotegido.

    Ah! e este problema de pegar um ip inválido não foi só neste cliente, mas também no AP cliente que estava na bancada para os testes. Não aconteceu em outros clientes, pois felizmente nesta torre não tinha no momento mais ninguém conectado neste nano2.

  6. #6

    Padrão

    Citação Postado originalmente por 1929 Ver Post
    Confirmado! Era mesmo o notebook que não tem suporte para WPA2, apesar de aparecer na configuração da rede a opção wpa2 AES, ele só grava uma chave de 8 caracteres.

    Configurei um AP cliente e conectou normalmente. Mas criou um problema com um Nano2 que já está na torre com WPA2 AES. As chaves no Nano e no cartão da RB são as mesmas.

    Mas apareceu na RB em dhcp um usuário que estava configurado para conectar no SSID do Nano2, com um IP que não era o do hotspot mas sim da classe de IP dos rádios.
    Todos os rádios estão em bridge e ip 192.XXX.0.XXX
    O Nano por exemplo está 192.XXX.0.200
    O cartão na RB está 192.XXX.0.205 .
    Os dois com a mesma chave de cripto e SSID diferentes e canais diferentes.

    Lá no cliente que era para conectar no Nano2 deu pau. Não conectou corretamente e apareceu um IP 192.XXX.0.191 e o login deste cliente em DHCP da RB. Ou seja, a RB deu um ip inválido para o cliente que não era nem para entrar nesta RB, pois o SSID é diferente.

    Como a RB está ainda em bancada, mas conectado no switch da rede, eu removi a RB da rede e tudo voltou ao normal, depois de derrubar o cookie do cliente no hotspot.
    Removi a chave de criptografia da RB e coloquei ela novamente no switch e daí não deu mais este problema.
    Agora fiquei com um pepino nas mãos. Se coloco a chave de criptografia no cartão, dá conflito. Se deixo sem chave fico desprotegido.

    Ah! e este problema de pegar um ip inválido não foi só neste cliente, mas também no AP cliente que estava na bancada para os testes. Não aconteceu em outros clientes, pois felizmente nesta torre não tinha no momento mais ninguém conectado neste nano2.

    Essa é legal...

    Na delegacia, após serem assaltadas por uma lesma, as tartarugas dizem para o delegado: "Não sabemos o que houve, foi tudo tão depressa!"

  7. #7

    Padrão

    Levantei a RB na torre reservada para ela.
    Está excelente.
    Só não deu para colocar a criptografia WPA2 AES. Senão volta a complicar.
    O que eu faço agora, sem criptografia? Onde eu posso estar errando para dar tanta complicação.
    Como pode este cartão estar setado para AP bridge e a RB acabar agindo como servidor DHCP e dando ip para clientes que estão em outro rádio, com SSID totalmente diferente? E ainda por cima IPs de classe diferente do hotspot, IPs da propria classe do IP da RB. E isso só com criptografia.
    Que coisa maluca.!!!

  8. #8
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Primeira coisa 1929, AP bridge é bridge, ou sejam um belo de "switch". Porque este DHCP está ativo em uma rede que não atende os clientes? Sua complicação é essa. Rede dos rádios normalmente usa-se outra classe de IPs e configurações estáticas (se for usar dinâmico use OSPF). Segundo, os "Windows" tem a tendência de conectarem-se nas redes que bem entendem, e não sei porque cargas d'água, esse que você comentou, está conseguindo criar um novo perfil com a mesma cripto, mas com ssid diferente (reveja isso, pois até onde sei não acontece).

    AP novo, cripto nova. Porque você precisa de dois APs com a mesma cripto?

    E por último, use criptografia individual para cada assinante. Pois desta forma a cripto dos APs não servirá para nada além de fechar sua rede.

  9. #9

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Primeira coisa 1929, AP bridge é bridge, ou sejam um belo de "switch". Porque este DHCP está ativo em uma rede que não atende os clientes? Sua complicação é essa. Rede dos rádios normalmente usa-se outra classe de IPs e configurações estáticas (se for usar dinâmico use OSPF). Segundo, os "Windows" tem a tendência de conectarem-se nas redes que bem entendem, e não sei porque cargas d'água, esse que você comentou, está conseguindo criar um novo perfil com a mesma cripto, mas com ssid diferente (reveja isso, pois até onde sei não acontece).

    AP novo, cripto nova. Porque você precisa de dois APs com a mesma cripto?

    E por último, use criptografia individual para cada assinante. Pois desta forma a cripto dos APs não servirá para nada além de fechar sua rede.
    é por isso que estou ficando maluco com isso.
    Veja bem:
    - todos clientes com AP cliente. Nada de placa pci e usb. Então não deveria sofrer influlência do windows. Só três que usam notebook direto sem ap cleinte.
    - Os Nanos nas torres estão como AP e bridge e em classe diferente da classe do hotspot.
    - O dhcp server desta rb não estava ativado, mas não sei porque apareceu ativado. Desativamos e ele volta a aparecer ativado.
    - E vou ter que estudar mais um pouco sobre chave individual. Eu não consegui ainda entender bem como isso funciona. É aí que entra o radius?

    Vamos achar um tempo para refazer tudo novamente, em outra RB igual para ver se achamos alguma coisa que está causando isso.

  10. #10

    Padrão

    Sérgio, venho em busca de auxílio para entender o texto abaixo que copiei de um material sobre segurança.

    Não entendi o final onde diz que a chave não precisa ser configurada. Foi neste trecho que passei a não entender.
    Pois se eu não coloco a chave no AP cliente, e só na base, não vai haver conexão.
    Está correto o que foi colocado neste texto?

    Criptografia WPA2
    De acordo com a publicação da Microsoft (2005) WPA2 é uma certificação de produto disponível por meio da Wi-Fi Alliance que certifica equipamentos sem fio como sendo compatíveis com o padrão 802.11i. O WPA2 oferece suporte aos recursos de segurança obrigatórios adicionais do padrão 802.11i que não estão incluídos em produtos que oferecem suporte ao WPA. Com o WPA2, a criptografia é realizada com o AES (Advanced Encryption Standard), que também substitui o WEP por um algoritmo de criptografia bem mais forte. Como o TKIP do WPA, o AES permite a descoberta de uma chave de criptografia de difusão ponto a ponto inicial exclusiva para cada autenticação, bem como a alteração sincronizada da chave de criptografia de difusão ponto a ponto para cada quadro. Como as chaves AES são descobertas automaticamente, não há necessidade de se configurar uma chave de criptografia para o WPA2. O WPA2 é a modalidade de segurança sem fio mais forte.
    Como talvez não seja possível agregar suporte AES por meio de uma atualização de firmware ao equipamento existente, o suporte a AES é opcional e depende do suporte ao driver do fornecedor. (MICROSOFT, 2005)

  11. #11

    Padrão

    Não perguntou diretamente a mim, mas gostaria de saber de onde retirou este texto.

    A chave que é trocada dinamicamente, e não é necessário nenhuma configuração, pois é gerada automaticamente entre os dispositivos, é a chave da sessão. A chave da estação e do AP é necessário configurar.

    Quanto a usar RADIUS para WPA2 individuais, não é necessário, apesar que o mesmo agregado a um sistema administrativo/financeiro facilita a vida, pois centraliza as configurações. No Mikrotik ROS em wireless/access-list, basta cadastrar o MAC Address da estação e em Provate Pre Shared Key, configurar a chave individual. A chave que utilizará no perfil (security profile) só servirá para fechar a rede, uma vez que a opção Default Authenticate da interface wireless ficará desabilitada.




    Citação Postado originalmente por 1929 Ver Post
    Sérgio, venho em busca de auxílio para entender o texto abaixo que copiei de um material sobre segurança.

    Não entendi o final onde diz que a chave não precisa ser configurada. Foi neste trecho que passei a não entender.
    Pois se eu não coloco a chave no AP cliente, e só na base, não vai haver conexão.
    Está correto o que foi colocado neste texto?

    Criptografia WPA2
    De acordo com a publicação da Microsoft (2005) WPA2 é uma certificação de produto disponível por meio da Wi-Fi Alliance que certifica equipamentos sem fio como sendo compatíveis com o padrão 802.11i. O WPA2 oferece suporte aos recursos de segurança obrigatórios adicionais do padrão 802.11i que não estão incluídos em produtos que oferecem suporte ao WPA. Com o WPA2, a criptografia é realizada com o AES (Advanced Encryption Standard), que também substitui o WEP por um algoritmo de criptografia bem mais forte. Como o TKIP do WPA, o AES permite a descoberta de uma chave de criptografia de difusão ponto a ponto inicial exclusiva para cada autenticação, bem como a alteração sincronizada da chave de criptografia de difusão ponto a ponto para cada quadro. Como as chaves AES são descobertas automaticamente, não há necessidade de se configurar uma chave de criptografia para o WPA2. O WPA2 é a modalidade de segurança sem fio mais forte.
    Como talvez não seja possível agregar suporte AES por meio de uma atualização de firmware ao equipamento existente, o suporte a AES é opcional e depende do suporte ao driver do fornecedor. (MICROSOFT, 2005)

  12. #12

    Padrão

    Citação Postado originalmente por Teluri Ver Post
    Não perguntou diretamente a mim, mas gostaria de saber de onde retirou este texto.

    A chave que é trocada dinamicamente, e não é necessário nenhuma configuração, pois é gerada automaticamente entre os dispositivos, é a chave da sessão. A chave da estação e do AP é necessário configurar.

    Tirei este texto do link: Segurança em Redes Wireless – Parte 05 – Criptografia

    Então são duas chaves? Uma é a que normalmente já configuro em WPA2 AES e PSK? Tanto na base como nos ap cliente. Deste modo fecha a rede.

    A outra é cadastrada no wireless/access list no mikrotik e está vinculada ao MAC do cliente?
    E daí precisa que o rádio cliente tenha suporte para reconhecer esta chave?
    Por exemplo eu uso Nano e também rtl 8186 para clientes, mas nunca vi onde tem este recurso.

  13. #13

    Padrão

    Citação Postado originalmente por 1929 Ver Post
    irei ler esse artigo detalhadamente.

    Citação Postado originalmente por 1929 Ver Post
    Então são duas chaves? Uma é a que normalmente já configuro em WPA2 AES e PSK? Tanto na base como nos ap cliente. Deste modo fecha a rede.
    A outra é cadastrada no wireless/access list no mikrotik e está vinculada ao MAC do cliente?
    No caso das chaves individuais sim. Uma chave apenas para fechar a rede, utilizando-se do perfil (security-profile) e uma para cada estação configurada em access-list, para cada estação (MAC Address).
    Esta chave do profile não servirá para nada, pode ser até uma chave tipo 123456789, pois nunca será usada, uma vez que o Default Authenticate não estará habilitado e a Access-List conterá todos os MAC Address das estações para serem autenticadas e terem a negociação da chave inerente a cada um.


    Citação Postado originalmente por 1929 Ver Post
    E daí precisa que o rádio cliente tenha suporte para reconhecer esta chave?
    Por exemplo eu uso Nano e também rtl 8186 para clientes, mas nunca vi onde tem este recurso.
    Os rtl8186 e os nano terão os seus MAC Address na access-list do Mikrotik e esta é a chave que será cadastrada em cada um deles. É a mesma coisa que usa atualmente só que cada estação poderá ter sua chave e não uma chave única para a rede toda.

  14. #14

    Padrão

    Citação Postado originalmente por Teluri Ver Post
    irei ler esse artigo detalhadamente.



    No caso das chaves individuais sim. Uma chave apenas para fechar a rede, utilizando-se do perfil (security-profile) e uma para cada estação configurada em access-list, para cada estação (MAC Address).
    Esta chave do profile não servirá para nada, pode ser até uma chave tipo 123456789, pois nunca será usada, uma vez que o Default Authenticate não estará habilitado e a Access-List conterá todos os MAC Address das estações para serem autenticadas e terem a negociação da chave inerente a cada um.




    Os rtl8186 e os nano terão os seus MAC Address na access-list do Mikrotik e esta é a chave que será cadastrada em cada um deles. É a mesma coisa que usa atualmente só que cada estação poderá ter sua chave e não uma chave única para a rede toda.
    Vamos ver se eu entendi.

    Eu uso hotspot e tenho cadastrado login senha ip e mac no hotspot
    Dai cadastro minha chave normal de 63 caracteres em WPA2AES nos APs clientes e nos rádios base.

    Daí em wireless access list cadastro os Mac correspondentes de cada um e usa chave diferente para cada um?

    Voce disse que a chave do profile não servirá para nada e poderá ser bem simples. Este profile que voce se refere é a de segurança da rede, ou seja a WPA2 que não servirá para nada? Porque ela nunca será usada?

  15. #15

    Padrão

    Citação Postado originalmente por 1929 Ver Post
    Vamos ver se eu entendi.

    Eu uso hotspot e tenho cadastrado login senha ip e mac no hotspot
    Dai cadastro minha chave normal de 63 caracteres em WPA2AES nos APs clientes e nos rádios base.
    Sim. No rádio base (acredito seria o Mikrotik) cadastre em wireless/access-list

    Citação Postado originalmente por 1929 Ver Post
    Daí em wireless access list cadastro os Mac correspondentes de cada um e usa chave diferente para cada um?
    Essa pergunta ainda faz parte da primeira??

    Citação Postado originalmente por 1929 Ver Post
    Voce disse que a chave do profile não servirá para nada e poderá ser bem simples. Este profile que voce se refere é a de segurança da rede, ou seja a WPA2 que não servirá para nada? Porque ela nunca será usada?
    Isso. Como a opção default authenticate estará desabilitada, esta chave nunca será usada. Apenas as chaves relacionadas na access-list com seus respectivos MAC Address serão autenticados. Imagine que use a chave 123456789, e alguém configure a mesma em seu super PC atacker haxor e tente acessar... será sempre consultado a access-list e o MAC Address dele não estará lá (ganhará um sent deauth). Digamos que ele clone o MAC Address de algum cliente; a chave não irá bater, pois está cadastrada para tal cliente outra chave e não esta do security profile.

  16. #16

    Padrão

    Entendi.

    Mesmo que alguém consiga passar pela chave de criptografia da rede, ainda não vai conseguir navegar pois não terá acesso a chave individual que está lá no access list.
    Então faz diferença usar criptografia para fechar a rede ou não?
    Penso que sim. pois senão poderia ter alguém pendurado na rede tentando autenticar no servidor. mas como não consegue pode ficar incomodando na rede?
    E neste caso não há o perigo desta chave individual ser snifada?

  17. #17

    Padrão

    Citação Postado originalmente por 1929 Ver Post
    Entendi.

    Mesmo que alguém consiga passar pela chave de criptografia da rede, ainda não vai conseguir navegar pois não terá acesso a chave individual que está lá no access list.
    Ele não passa, pois se default authenticate está inativo esta chave não serve para ele.

    Citação Postado originalmente por 1929 Ver Post
    Então faz diferença usar criptografia para fechar a rede ou não?
    Precisa dela para poder ativar a access-list.

    Citação Postado originalmente por 1929 Ver Post
    Penso que sim. pois senão poderia ter alguém pendurado na rede tentando autenticar no servidor. mas como não consegue pode ficar incomodando na rede?
    E neste caso não há o perigo desta chave individual ser snifada?
    Se a individual for sniffada, imagina apenas uma (geral)? De qualquer forma WPA2/AES ainda não foi quebrada.

  18. #18

    Padrão

    Agora ficou bem claro na minha mente.
    Desculpe eu estar enchendo de perguntas, mas é que eu não estava conseguindo entender como a coisa funcionava.
    Quando voce disse que a chave poderia ser qualquer coisa pois não serviria para nada, eu fiquei confuso. Na minha cabeça não entrava o porque ter a chave se ela não seria usada.

    Mas agora entendi.
    Valeu

  19. #19

    Padrão

    Amigos atualmente na minha rede eu possuo um PTP de um Bullet para uma RB 433 com cartão r52h que interligam meu servidor ( em minha casa ) a minha torre e to com uma duvida.
    No meu Bullet não tenho segurança alguma , e na RB já tenho bloqueio mac ou seja apenas esse Bullet poderia conectar , mas eu tentando achar vulnerabilidades na minha rede pensei será que não tem como por uma criptografia ou algo para a mesma ter mais segurança ?

  20. #20

    Padrão

    Gostaria que alguém que tenha conhecimento em configuração em RB433AH me dissesse onde foi que errei, to conseguindo pingar no terminal da Rb tenho rede sem fio satisfatória na wireless do meu notbook mas não navega. Será que tem alguma regra que faz ligação da RB com as mini pci? Obrigado por aturar minha pergunta