Postado originalmente por
inquiery
Hotspot da pra fazer login por MAC, não precisa de usuário e senha. Deste modo, o usuário é logado automaticamente no primeiro pacote que trafega. Se a rede é feita direitinho, com forward dos cliente somente até ao concentrador, utilizando para isso somente switchs gerenciaveis ou no mínimo switchs com vlan fixa (1 porta uplink), e isolando clientes wireless nos APs, fica bom. Tem o problema dos clonadores de MAC, porém, numa rede sem forward entre clientes, eles não recebem resposta de pacotes ARP para descobrir MACs na rede, então, esse problema diminui drasticamente.
Eu até estava pensando aqui numa solução simples que colocasse ainda mais segurança no hotspot nesse sentido. Daria pra fazer um códigozinho em PHP simples, pra quem usa MKAuth por exemplo, que pegasse algum campo do MKAuth com um código qualquer de identificação daquele cliente, por exemplo o próprio campo SENHA, pois quando usa autenticação por MAC o login deverá ser o MAC do cliente, e a senha não é usada. Muitos roteadores tem o campo "Hostname" ou "Nome de host" na configuração da porta WAN, e então usaria esse campo como uma identificação (só que teria que usar somente roteadores que tem Hostname neste caso). Por exemplo, no hostname colocaria a SENHA daquele usuário, tipo "pwpedro", e no campo de Senha do MKAuth, coloca la "pwpedro", dai faz um script em PHP simples, que recebe o MAC e a Senha do cara, e retorna "SIM" ou "NAO"; se a senha é a certa para aquele MAC, ele retorna "SIM", senao, "NAO". Dai quando usuario conecta, no Lease script do DHCP, cria um scriptzinho para adicionar um item na addrss-list, com o IP que aquele usuario pegou e no comentario o MAC dele, e logo após isso, habilita um scheduler que ja vai estar la com um script e desabilitado. Esse scheduler, quando executado, pega todos os itens daquela address-list, e consulta nos leases do DHCP para pegar o hostname, e então faz um fetch no endereço do mkauth para o script PHP criado enviando o MAC (que ta no comment da address-list) e a senha, tipo "http://192.168.1.10/admin/authmac.pjp?mac=XX:XX:XX:XX:XX:XX&senha=<hostname>", se esse fetch retornar SIM, então adiciona esse mesmo IP do usuário numa address list "usuarios-liberados" por exemplo, e dai no firewall, bloqueia todo o trafego de clientes do hostspot, a não ser que estejam na lista "usuarios-liberados".
Seria uma forma simplissima e sem nenhum custo (considerando que todos os roteadores tem o campo hostname) de colocar uma segurança a mais no hotspot, sem usar login e senha digitados pelo usuário (que é um saco pra eles e pra suporte) e que inibiria quase que totalmente os clonadores de MAC. Pois além deles conseguirem um MAC válido (que não vai ser facil se a rede não tiver forward entre clientes), eles ainda teriam que ter o hostname certo para aquele MAC em específico.