Estão navegando de graça no seu hotspot com clonagem de MC e IP

[Josue Guedes]

desculpa ai amigão, mas enquanto eu formulava a pergunta vc respondia ela, só pra constar eu nao estava inscrito no topico e só tinha 4 paginas quando o li logo de manhã, quanto a explanação ele só mostra uma breve descrição... mas tudo bem deixe que outra pessoa me responda..

Breve descrição não, está mastigado cara, o tópico tem a explicaçõ para toda implementação.

[underwanderson]

Já postei, nem uma nem duas, mas várias vezes... Não existe proteção para redes sem fio que não seja por criptografia, e criptografia que presta, ou seja, WPA2.

Abaixo uma apresentação do Maia da MD Brasil, realizada no MUM Brasil pela Mikrotik. Por favor leiam e se não entenderem leiam quantas vezes forem necessárias e a partir dai comecem a tomar atitudes quanto às suas redes.

http://mum.mikrotik.com/presentation...ranca_Maia.pdf

sergio,
quero aqui em nome de todos os interessados na questão te agradecer por ter entrado no tópico, pois além de você convidei outros mas você apareceu mais rápido do que imaginei e nos ajudou mais uma vez, lembrando que como eu muitos aqui deve ter procurado bastante mas sem sucesso pois como ver muitos tópicos não descreve corretamente o assunto abordado e fica difícil a identificação do material, mas fica aqui meu agredecimento por aparecer por aqui.
parabéns

[sergio]

sergio,
quero aqui em nome de todos os interessados na questão te agradecer por ter entrado no tópico, pois além de você convidei outros mas você apareceu mais rápido do que imaginei e nos ajudou mais uma vez, lembrando que como eu muitos aqui deve ter procurado bastante mas sem sucesso pois como ver muitos tópicos não descreve corretamente o assunto abordado e fica difícil a identificação do material, mas fica aqui meu agredecimento por aparecer por aqui.
parabéns

Sim, sempre que eu posso, e quando a questão não é pedir soluções prontas, com tudo mastigado, eu ajudo.

Conforme mencionei e no material que enviei o link, vocês poderão entender o que ocorre com as redes sem fio. E desde, já, é a única coisa que podemos implementar, atualmente, que realmente garante uma proteção adequada as mesmas. Não é difícil fazer, mas requer leitura e entendimento dos parametros a controlar. Usando apenas Mikrotik ROS, fica mais fácil ainda, mas como mencionei, particularmente, não gosto, pois com o uso do radius, tornam-se bem mais simples as tarefas de gerenciamento, assim como a possibilidade de união do mesmo com algum sistema administrativo/gestão.

[JHONNE]

As vezes temos medo do desconhecido, é natural do ser humano, uma das preocupações que sempre tive com uso da criptografia era o processamento, pelo exemplo mostrado no material que o sérgio postou, podemos observar que é praticamente desprezível.

Outro medo era a questão da compatibilidade, pude ver que não chega a ser um problema pois podemos criar perfis difentes para atendes cada cliente;

pesa agora só o fato de ter que mudar a rede para mk 3.0 e readptar meu sistema administrativo / suporte etc..


Vale lembrar que no proprio material postado, mencionam a autenticação feita no estilo do hostcert, embora não entre em detalhes, no entanto hoje me parece ser a alternativa mais viável, quando queremos apenas coibir o uso não autorizado da internet, e no caso do hostcert ainda acrescenta a vantagem da criptografia do tráfego de forma a garantir o sigilo das informacoes trocadas.

[JHONNE]

Para que tudo não parece flores, vejo também alguns problemas na implementação do hostcert

Um deles é o possível aumento da manutenção, que também é notável quando se usa criptografia, outro é o caso do compartilhamento interno, visto que a máquina precisa ser autenticada e é criada uma conexão vpn com o servidor.

Em empresas que utilizam roteador interno esta prática pode ser inviável, mas neste caso a criptografia caíria como uma luva, até porque normalmente podemos proteger o ap com senha e garantir o sigilo de algumas informacoes: como chave, ip e em certos casos até mac;

[osmano807]

conexão vpn com o servidor.

Exatamente isto que eu pensei para a solução do problema, mas que um programa tipo hamachi que conectaria, claro, autenticando alguma chave escondida no código do programa no servidor.

[gzanatta00]

certo, se alguém descobre uma vulnerabilidade, sempre outro alguém implementa uma solução nova. A propósito, você sabe como funciona este hotscert? Acredita que seja invulnerável?

pois eh mas parece ser bem seguro!
mas nada q nao seja ipossivl de invadir!
é o negocio é critico

[JHONNE]

pois eh mas parece ser bem seguro!
mas nada q nao seja ipossivl de invadir!
é o negocio é critico

na terra quase nada é impossível, mas é bem duvidoso que alguém consiga invadir já que ele utiliza técnicas de proteção de software.

mesmo assim sabemos que softwares muitas vezes são crackeados, burlados, no entanto, softwares que não tem uma escala muito grande de uso não custumam ter esse problema, além de tudo problemas criar uma nova chave sempre que necessário, lembrando que as chaves são criadas com base nas informações do hardware do cliente, o que dificulta em muito a ação dos clonadores

[Magal]

A "aulinha" completa:

Quem configurou esse MK deveria desistir da profissão!!!

[laurocesar]

Opa, saudações!

Meu nome é Lauro e sou consultor HC, fico a disposição dos colegas para sanar quaisquer dúvidas acerca da segurança do sistema.

Podem me add no msn: [email protected], ou skype: hostcert

Quando a questão proposta pelo Sergio, tipica de todo bom administrador, sem dúvida, qualquer programador conhece essa probabilidade, sendo binário pode ser lido e interpretado, porém o fato é que o sistema é muito simples, o que pessoalmente considero seu maior mérito.

Para resumir, o sistema utiliza um conceito de "Single Sign-On" na criação das chaves, sempre baseado nos itens raramente substituídos do computador do cliente, portanto, mesmo que alguem descubra quais são os itens, e mais, descubra como gerar o hash, ele ainda precisa saber como o servidor espera receber essa informação, e ai que a coisa pega, pois é randomico, numa combinação que somente cliente e servidor sabem.

Então, assim como é simples capturar uma informação enviada via ssh, eu digo, é simples burlar o HC. : )

A propósito, o HC Gateway é perfeito para complementar a segurança em conjunto com o MK Router.

Nosso blog: HostCERT » Blog de suporte aos clientes HostCERT. com alguns clientes listados.

HostCERT - A Solução efetiva contra o uso não autorizado da infraestrutura de rede.
O site com os beneficios diretos, há varios outros, mas dependem da topologia da rede.

O Hc é um projeto nacional, e ajuda em muitos aspectos da segurança, por exemplo, usando HC gateway, consegue-se a condição de identificar de forma inequivoca de onde saiu determinada requisição, então se um dia o provedor precisar informar judicialmente a origem de determinada conexão, consegue facilmente, nos sistema atuais consegue-se rastrear o ip, mas você não tem certeza se é seu cliente realmente naquele ip, com HC tem.


Abraços para todos.


Atenciosamente
Lauro Cesar
Hack to learn, not learn to hack.

[alexandrecorrea]

voce tera alguma soluções:

1- usar pppoe
2- usar o software HOSTCERT
3- uma chave wpa para cada cliente (isso aqui eh mais complexo)

... eu aconselho migrar para ppppoe OU usar o HostCert !! HostCERT - A Solução efetiva contra o uso não autorizado da infraestrutura de rede.

[underwanderson]

voce tera alguma soluções:

1- usar pppoe
2- usar o software HOSTCERT
3- uma chave wpa para cada cliente (isso aqui eh mais complexo)

... eu aconselho migrar para ppppoe OU usar o HostCert !! HostCERT - A Solução efetiva contra o uso não autorizado da infraestrutura de rede.

alexandrecorrea,
como foi eu quem abriu o topico e fui pedir ajuda a vocês, da mesma forma que fiz com o sergio quero tambem te agradecer em nome da galera aqui interessada na questão, por ter entrado no tópico, fica aqui meu agredecimento por aparecer por aqui e tentar nos ajudar.
obrigado

[aleksei]

ola aleksei,
permitir um usuario por mac eu ja uso mas explica ai como se instala este certificado, e os clientes tem que esta com ip fixo ne?
manda ai talves seja a soluçao e todos vao te agradecer.
obrigado

solucao postada!
Segurança em HOTSPOT com certificado SSL

[JHONNE]

solucao postada!
Segurança em HOTSPOT com certificado SSL

desculpe minha ignorância, mas:

como isso pode resolver o problema? Não vejo nada que garanta que o computador que solicitou é realmente aquele que queremos autenticar

[aleksei]

desculpe minha ignorância, mas:

como isso pode resolver o problema? Não vejo nada que garanta que o computador que solicitou é realmente aquele que queremos autenticar

Amigo essa solucao eh para o certificado.

quanto ao funcionario da farmacia, vc ja pensou em ir la e explicar o que ele anda fazendo?

[JHONNE]

Esse cara ai é o conheço, e os clonadores que eu não conheço, outra coisa, não se acusa sem provas, pode dar danos morais, e infelizmente não há como provar

[JHONNE]

Seguinte pessoal,

a unica coisa que me encomoda no hostcert é a utilização de um programa na maquina do cliente, que pode gerar mais manutenção e alguns problemas quando se trata de redes empresarias pelo fato que ter que haver uma maquina central autenticadora.

A solução ideal para o meu caso seria o hotspot com a seguinte implentação:


1 - cliente conecta e recebe um cookie informado a hora da última conexão,
2 - no proximo login o cookie é verficado e se os dados baterem o acesso é autorizado e um novo cookie é enviado para que seja atualizado

infelizmente hotspot não suporta php e não sei como implementar isso.

[aleksei]

Esse cara ai é o conheço, e os clonadores que eu não conheço, outra coisa, não se acusa sem provas, pode dar danos morais, e infelizmente não há como provar

tudo bem, mas se o clone for somente de IP e MAC ainda se faz necessario o uso de login e senha, que eh de responsabilidade do cliente.

quanto aos outros clonadores, com o uso de certificado de 1024 bits fica muito mais dificil sniffar pra conseguir os dados.

[mgn5005]

Parceiros do Forum bom dia

Sei que isto é discussao para horas de conversa, afinal a criatividade do ser humano nao tem limites.

Estamos falando de redes sem fio, e como o nosso companheiro falou la no inicio do post, nada é 100% seguro, sempre havera uma falha nao importa se voce ta usando o sistema mais caro do mundo, sempre ira ter alguem para tentar burla-lo.

Porem podemos tentar dificultar ao maximo a vida do cara que esta tentando invadir nossa rede, e gostaria muito de deixar aqui a experiencia (apesar de simploria) que tivemos em nosso provedor.

Aqui desde que integramos o radius ao mikrotik diminuimos muito as tentativas de invasoes, nos usamos Login + Senha + Mac + IP + SSid ou nome da torre por onde o cara se conecta, alem de dispormos da possibilidade de bloquear o horario de acesso do cliente, sem contar tambem a verificação se o cara ta em dia com os pagamentos ou nao;

Sei que a solução é bem simples, mas ajuda muito a dificultar a vida do cara;

É logico criptografia, chaves, tudo isso ajuda muito mas como administradores temos que ter em mente que sempre ira ter alguem com criatividade suficiente para de alguma maneira procurar falhas. O que nao devemos é perder nossos cabelos (prezo muito o pouco que ainda me resta) com estes caras.

E realmente o topico é de muita valia, com ideias das mais variadas, e com certeza vao me ajudar a enriquecer meu conhecimento.

Agradeço a todos


Abraços



Marcelo

[laurocesar]

Fazer isso é bem simples, mas não com MK.

Myauth poderia fazer talvez.

Porém, não iria adiantar nada contra a clonagem.

Veja bem, esse sistema manteria o ip/mac liberado para navegar apenas.

Serviria apenas para saber que um cliente que sabe login/senha conectou.

E mesmo assim, depois de autenticado, como Não liberar para um possivel clone? Pois após o cookie ser validado o ip/mac fica liberado, por um tempo.

Como atualizar o cookie? Fazendo o cliente acessar o hotspot de tempos em tempos? E se o cliente deixar o pc ligado para baixar um documento muito importante de 350mega a respeito de uma ilha, onde um avião caiu, partindo da Austrália, como fica?

: )

O Hostcert resolve o problema e oferece comodidade para o cliente, na minha opinião, devemos pensar sempre em primeiro lugar em deixar o cliente satisfeito, com medidas restritivas que dão trabalho para o cliente acabamos perdendo-o.

Abraços.

Atenciosamente
Lauro Cesar
Hack to learn, not learn to hack.