Resultados da Enquete: o que você acha da segurança do mikrotik depois deste tópico?

Votantes
22. Você não pode votar nesta enquete
  • Excelente, acho muito seguro.

    7 31,82%
  • Bom, serve somente para hotspot de autenticação.

    2 9,09%
  • Prefiro Linux configurado na unha.

    5 22,73%
  • Existe opções melhores no mercado.

    3 13,64%
  • Uma merda, sem segurança nenhuma.

    5 22,73%
Página 10 de 10 PrimeiroPrimeiro ... 5678910
+ Responder ao Tópico



  1. #181

    Padrão

    Citação Postado originalmente por rubensk Ver Post
    Vídeo:
    Código :
    ftp://ftp.registro.br/pub/gter/gter26/videos/mp4/gter-09-autenticacao-wifi-l2tp-ipsec_256.mp4
    Slides:
    Código :
    ftp://ftp.registro.br/pub/gter/gter26/09-autenticacao-wifi-l2tp-ipsec.pdf
    O concentrador de túneis da apresentação não é Mikrotik, mas tem um artigo na Mikrotik Wiki explicando como fazer em Mikrotik:
    Código :
    http://wiki.mikrotik.com/wiki/MikroTik_RouterOS_and_Windows_XP_IPSec/L2TP
    Se isso funciona em Mikrotik 2.x eu não sei.



    Em tempo: O Rubens que fez a apresentação não sou eu não.
    Brisanet...... nosso concorrente aqui na região..... e funciona até bem esse L2TP deles.... já trabalhei com eles a muito tempo atras.....

  2. #182

    Padrão

    Estou acompanhando o post desde o começo, se a gente colocasse em dhcp server-networks-netmask/32,não seria mais dificil o "clonador" rastrear na rede ip e mac?
    Voces acham que ajudaria em alguma coisa?



  3. #183

    Padrão

    Caso seus switches nao sejam gerenciaveis:
    Tente segmentar a rede em diversos roteadores, queira centralizar a rede vc pode usar pppoe, ou vpn mppe nos dois casos esses tipos de vpn se utilizam de algoritimos de seguranca que ja forma comprometidos.

    Caso seu switch seja gerenciavel port-security resolve o problema.
    Tente criar uma politica de acesso em seus switches limitando cada uma das portas de acesso de clientes em 1 mac e as portas de trunk em 100 macs, tente diminuir ao maximo o tamanho das vlans para que vc possa isolar quem esta snifando a rede.

    Uma alternativa bem profissional:
    Voces pode se utilizem de 802.1x que é uma tecnologia de critpografia entre cliente e gateway, de forma alternativa podem usar vpn para autenticar seus clientes.

    Sinceramente esse é um problema tipico e que deve ser resolvido de forma definitiva seja qual for o metodo que voce adotar.

  4. #184

    Padrão DUVIDAS SOBRE CONTROLE DE NAVEGAÇÃO DUPLICADA (limiting address per mac)

    É o seguinte, hoje consegui entender uma função que tem no controle do mikrotik que é a funçao que fica em / ip hotspot servers, selecionando com dois cliques o nome do meu servidor de hotspot abrirá uma caixa onde tem a função addresses per MAC, onde por padrão vem designado o número 2 como sendo autorizado até 2 endereços por mac então ai que fazendo uns testes descobri que este controle é da limitação de endereço IP em cima de um único MAC, agora a dúvida:
    Como e onde poderia fazer este mesmo controle mas com limite de conexões baseado no MAC?, ou seja, limitar a autenticação e navegação de apenas uma maquina utilizando um único MAC se alguém clonasse esse MAC o mikrotik já identificaria que já havendo um MAC com aquelas caracteristicas ele não permitiria o acesso de um segundo, existe algum script que possa ser colocado nos profiles de controle de velocidade em / ip hotspot users profile ou mesmo na sessão dos script? pois etive verificando que na 3ª aba dos profile é especifico para algum script.
    RESUMINDO: precisamos de um controle de limite de conexão por mac e não por addresses.
    Obrigado



  5. #185

    Padrão

    PPTP (LAN-to-LAN)

    Essa foi a solução que encontremos aqui na empresa.

    1. Servidor_de_dados dos cliente (Radius+mysql).
    2. Servidor_Gatware (freeradius+Radiuscliete+pptp)
    3. Mikrotik (modo-bridge)

    Exemplo:
    Servidor_de_dados: recebe as solicitação dos outros servidores

    Servidor_Gatware: recebe as solicitações dos clietes(login+seha+ip) e pergunta ao Servidor_de_dados se existe, confere..., libera login+senha+mac+banda+ip(tunel) para o Servidor_Gatware. depois de tudo isso o Servidor_Gatware autentica o cliente.

    Auteticação é Instantâneo;
    1 cliente por autenticação.

  6. #186

    Padrão

    complicado demais isso ai... to com o mesmo problema, e a cidade aki é interiorzão, todo mundo conhece todo mundo isso permite q um cara passe mac e ip pra outro cara q ele considera amigo... depois o proprio amigo começa a usar a internet no mesmo horário, derrubando assim o verdadeiro cliente, to usando agora 4 APs virtuais pra cada interface wireless, pra cada ap virtual eu criei uma criptografia diferente, coloquei um nome de AP esquisito, e ocultei o SSID... vi que tem como colocar senha por mac no access list do microtik, mas nao consegui fazer isso. Alguem já fez isso ai?



  7. #187

    Padrão

    o problema do VPN em conexoes de rede sem fio é pq o ping tem q estar perfeito, e quando o sinal cai, o cliente ainda fica logado no servidor, e demora cerca de 3 min. pra cair no servidor, nesse período de queda o cliente nao consegue logar o vpn novamente, fica dando erro... muitos cliente reclamam pela demora pra conectar, devido ao problema optamos por deixar somente com criptografia e controle de mac, o controle de banda a gente faz no servidor... creio q se eu conseguir colocar criptografia por mac, vai ficar como se fosse o vpn, só q depois de salvar o profile na casa do cliente na vai ter mais o problema da senha salva na conexao vpn.

  8. #188

    Padrão

    tem uma coisa q fiz aki q amenizou um pouco a pirataria: coloquei a SSID oculta e coloquei um nome nela q possuia caracteres invisíveis, a olho nu o cara pensa q é um espaço:

    AP_01

    Substitui o underline ( ___) por um caractere invisível, daqueles q vc precisa segurar alt+255, a olho nu sai como se fosse um espaço, mas é um caractere invisível, é uma pegadinha q ajuda bastante a complicar a pirataria.



  9. #189

    Padrão Minhas Impressões

    Pra quem leu o post todo viu algumas soluções legais, pppoe ajuda mais tem que ter criptografia, hotspot não é para servir como um serviço de segurança, wpa e wpa2 são essenciais e é legal a implementação do maia com wpa gerada pelo radius, e pelo que ele mostrou é bem leve também.

    Mais fica uma duvida, e a função passthrough da guia eap??? Pelo que eu li ela permite que o radius gerencie as chaves, ai o mk serviria apenas de um relay para as chaves, está correto isso?

    Meu medo com as conexões do tipo pppoe e l2tp e a tolerancia delas com a latencia, que em wireless as vezes acontece, dificil manter uma rede com latencia baixa, e se vc fica sussetivel a alguma fonte de interferencia e sua latencia sobe um pouco como fica? Gostaria de ter um feedback de quem trabalha com essas tecnologias. Meu medo nesse sentido é a conexão do cliente ficar caindo, caindo e caindo.

    E vpn será que tem o mesmo problema que pppoe com latencia? Por que gerenciar um openvpn é fácinho.

    Uma coisa, eu não vejo problema nenhum em trabalhar com bridge, desde que vc também tabralhe com vlan, bridge sem vlan igual zona na rede hehehehehee, e idem para dhcp, totalmente valido. Vlan é caro? Talvez, porém acho que vale o seu sono tranquilo a noite ehehehe

    O interessante de ter uma rede bridge com vlans bem configuradas é que se alguém conseguir passar pela sua wpa e escanear sua rede ele vai ver apenas a porta do servidor, e ai ele não vai pegar nem macs nem ips nem nada. Estou correto? Se eu estiver falando alguma bobagem me corrijam. Fora que é mais fácil trabalhar com bridge e vlan, vc não vai precisar ficar fazendo relay dos serviços que quer disponibilizar para os clientes como tem que fazer numa rede toda roteada.

    No meu ver o caminho mais simples é esse, wpa2 + radius, um hotspot para autenticar e gerenciar o controle de banda e outros serviços, brigde com vlans para isolar os clientes um dos outros, e um dhcp com mascara /32 só para dar uma redundancia na coisa e simplificar a configuração nos clientes, por que meu gerenciar ip fixo é um porre. O que vcs acham?

    Ps. No radius vc pode fechar o cartão/antena que cada cliente pode conectar, assim minimiza bem o problema de alguém roubar login+senha+criptografia de um cliente. Porém para o problema do roubo da senha só certificando a maquina do cliente mesmo, que o maia disse e eu também acredito que se torna meio caro e inviavel.

  10. #190

    Padrão

    No caso de hotspot, se colocarmos para que cada mac pegue 2 ips na hora que o kra que clonar o mac do outro e entrar, será que ele pegara outro ip ou o mesmo do mac clonado já que é para o hotspot gerar 2 ips?
    Porque se ele pegar outo ip pedirá senha certo, dai o kra terá que saber a senha tbm.
    Será que funciona?
    Vou testar aqui amanha depois falo se funcionou.



  11. #191

    Padrão

    Citação Postado originalmente por sergio Ver Post
    por qq um q acesse o Mikrotik, certo? Até aquele user read only que criar para a secretaria verá a cripto de cada cliente.
    Hummm.
    e se a mkt fizer um up na parte de user...
    tipo: colocar uma opção de qual item/menu liberar pro "read only" ja vi diversos softwares assim.. e issu ajudaria em outras situações tb.

  12. #192

    Padrão cada caso e um caso

    Caro Roberto vc estar certo em suas conotaçoes de falhas no hotspot, so q vc ta totalmente equifocado em usar chamar de "preguiçoso" os admin de usam , eu particulamente não uso pq não e minha necessidade , mais cada caso e um caso , pq tem provedores q tiram ate um $ extra por fazer certas propagadas em sua rede interna e usam tb para sua comunicação entre provedor x cliente e sem falar q , qual e o usuario q não quer uma pagina de acesso q alem de bonita e bem facil de logar pq nem todo mundo tem a obrigação de saber como se cria um discador pppoe???



  13. #193
    Não Registrado
    Visitante

    Padrão

    Vi no concorrente que mesmo clonando o mac dele peguei um outro ip e ai pediu usuario e senha.
    Como fazer isso, para não navegarem de graça no hotspot?

  14. #194

    Padrão

    vc deve ter usado outro hotspot ou cartao.. o mikrotik nao deixa 2 macs na mesma interface !!



  15. #195
    Não Registrado
    Visitante

    Padrão

    Posso te garantir que foi na mesma interface e que ele usa hotspot.
    Só não sei como ele faz isso.

  16. #196

    Padrão

    Citação Postado originalmente por elymaiads Ver Post
    Caro Roberto vc estar certo em suas conotaçoes de falhas no hotspot, so q vc ta totalmente equifocado em usar chamar de "preguiçoso" os admin de usam , eu particulamente não uso pq não e minha necessidade , mais cada caso e um caso , pq tem provedores q tiram ate um $ extra por fazer certas propagadas em sua rede interna e usam tb para sua comunicação entre provedor x cliente e sem falar q , qual e o usuario q não quer uma pagina de acesso q alem de bonita e bem facil de logar pq nem todo mundo tem a obrigação de saber como se cria um discador pppoe???

    Concordo plenamente,


    e mais, uso hotspot em função da qualidade da comunicação, pppoe é menos estável, o protocolo ip trabalha sobre outro protocolo que isso diminui a qualidade, e não é debate técnico apenas, testei várias vezes de tudo quanto é forma



  17. #197

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    vc deve ter usado outro hotspot ou cartao.. o mikrotik nao deixa 2 macs na mesma interface !!
    Aqui na minha rede tenho um nano na casa do cliente que tem 2 computadores, e os 2 cada um tem um usuario e uma senha, os dois users tem o mesmo mac que é o do nano e gera 2 ips para o mac do nano.
    Só que eu testei aqui clonando uma placa usb e ai em vez de gerar outro ip ele gera o ip do mac clonado.

  18. #198

    Padrão Re: Estão navegando de graça no seu hotspot com clonagem de MC e IP

    Tem um programinha chamado netcut que é um abraço pra quem só usa ip x mac. O cara só entra no programa e ele mostra todos ips e macs.. Não uso, mas hoje pppoe eu acredito ser mais seguro, porém exige que as condições de sinal estejam muito boas.