Resultados da Enquete: o que você acha da segurança do mikrotik depois deste tópico?

Votantes
22. Você não pode votar nesta enquete
  • Excelente, acho muito seguro.

    7 31,82%
  • Bom, serve somente para hotspot de autenticação.

    2 9,09%
  • Prefiro Linux configurado na unha.

    5 22,73%
  • Existe opções melhores no mercado.

    3 13,64%
  • Uma merda, sem segurança nenhuma.

    5 22,73%
+ Responder ao Tópico



  1. #121

    Padrão

    Página 41 do material que Sérgio postou tem o método que eu pensei em usar aqui, só não sabia ser possível e prático (ou então tô muito enganado). Seria o uso de pppoe + usuário e senha + certificado para fechar a conexão. Talvez isso com uso de concessão dinâmica de ip numa faixa grande (mascara/16) pelo pppoe-server + radius torne miserável a vida dos invasores.

  2. #122

    Padrão

    entre o cliente e o gateway deve ser fechado um tunel.. pppoe com mpppe ... fica seguro..



  3. #123

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    entre o cliente e o gateway deve ser fechado um tunel.. pppoe com mpppe ... fica seguro..
    Você poderia me indicar algum material sobre como implementar isso no Linux? Tenho pppoe funcionando já.

  4. #124

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    nao resolve !! mesmo usando SSL.. o ssl somente vai evitar que capturem a senha de autenticação..

    dps que alguem logar.. qq pessoa q clonar o mac e o ip.. vai conseguir navegar..
    poderia comentar este topico pra mim alexandre,
    o que é o correto quanto acesso com certificado ssl
    no link: Certificado SSL no hotspot - Página 10
    obrigado.



  5. #125
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    o Alexandre comentou sobre MPPE pessoal. Sim, é bom, simples, não "pesa" tanto no lado servidor, massss....

    quem usa por exemplo os radinhos de plástico (azul, branco ou prata), seja com firm original ou Linux adaptado terá problemas, pois normalmente não estão com suporte a MPPE ativo.

  6. #126

    Padrão

    ola amigos, recente coloquei uma radio em um cliente! estava eu fazendo um teste de clonagem de mac e nao consegui navegar, se eu clonar o mac de um cliente com placa pci ou usb consigo navegar beleza, por que com radio nao passa alguem tem um explicaçao logica? alguem ja fez esse teste? firmware do radio do cliente e wap pro.



  7. #127

    Padrão

    vc nao clonou o mac errado? o radio geralmente tem 3 macs diferentes..

  8. #128

    Padrão

    Citação Postado originalmente por fernandofiorentinn Ver Post
    vc nao clonou o mac errado? o radio geralmente tem 3 macs diferentes..
    fiquei na duvida quando voce me perguntou, mas acabei de conferir agora com aquele progama chager mac, e isso mesmo. clonei o mac certo!!! versao do meu mikrotik 2.9.27.



  9. #129

    Padrão

    Não amigo, clona mac + ip é como falsidade ideológica. É como se o gatonet fosse o próprio cliente. Independente de cripto pra login/senha.

    Abraços

  10. #130

    Padrão

    Bem gente pra resolver o problema da navegação sem autenticação é wap2, testei e posso garantir que funciona bem, aquele negócio de clonar, mac e ip e navegar sem saber a senha não dá;

    Também estão dizendo que na versão 3.XX dois macs não conseguem se associar simultaneamente ao ap (ou seja o original ou entaum o clone, nunca os dois);


    agora o de clonar e navegar quando o cliente não está navegando, acho que só com ap no cliente;

    Li toda a apresentação do Maya que o Ségio postou, mas sempre depara com o mesmo problema:

    as chaves pré estão disponíveis no registro do windows.


    Entaum penso que a solução mais plausível seriamos achar uma forma de criar um software que interagisse com o servidor, como um serviço que rodaria no windows e de tempos em tempos confirmasse a autenticidade do usuário, caso essa não fosse validada o sistema derrubaria a conexão;

    Também andei pensando.... E aquela autenticação que os bancos usam, só computador identificado consegue ter acesso a conta, como funciona? Me parece que talvez seja interessante criar um captive portal onde um sistema em java consiga enviar informacoes do computador para que esse possa logar.
    Última edição por JHONNE; 06-04-2009 às 01:33.



  11. #131

    Padrão

    o Zeroshell tem um sistema parecido, usa um certificado ssl com base no hardware do cliente, porem é um firewall bem limitado..

  12. #132
    MODERADOR-CHEFE Avatar de osmano807
    Ingresso
    Aug 2008
    Localização
    Araguari - Minas Gerais
    Posts
    1.985
    Posts de Blog
    5

    Padrão

    E se o cliente tiver o java desatualizado (como muitos, nem sabem o que é isso)? E se ele desabilitar o java com medo de que você saiba que placa de vídeo, memória, processador ele tem?

    Sobre o programa, alguma coisa tipo vpn, que conectaria só com uma senha no cliente (gerada automaticamente pelo serial do hd+processador)



  13. #133

    Padrão

    Citação Postado originalmente por osmano807 Ver Post
    E se o cliente tiver o java desatualizado (como muitos, nem sabem o que é isso)? E se ele desabilitar o java com medo de que você saiba que placa de vídeo, memória, processador ele tem?

    Sobre o programa, alguma coisa tipo vpn, que conectaria só com uma senha no cliente (gerada automaticamente pelo serial do hd+processador)
    algo tipo vpn, acho ruim, já existe esse tipo de solucão, mas quando o cliente tem uma rede necessita de servidor windows, com é o caso do hostcert.

  14. #134

    Padrão

    Citação Postado originalmente por fernandofiorentinn Ver Post
    o Zeroshell tem um sistema parecido, usa um certificado ssl com base no hardware do cliente, porem é um firewall bem limitado..
    tava vendo aki, sobre o zeroshell, achei interessante, se testou, dê mais detalhes fernando.



  15. #135

    Padrão

    Citação Postado originalmente por JHONNE Ver Post
    [...]
    Também andei pensando.... E aquela autenticação que os bancos usam, só computador identificado consegue ter acesso a conta, como funciona? Me parece que talvez seja interessante criar um captive portal onde um sistema em java consiga enviar informacoes do computador para que esse possa logar.
    Acredito que EAP resolve, infelizmente não testei ainda.

  16. #136

    Padrão Exite uma forma de dificultar

    cara existe uma forma de dificultar clonagem de mac e ip

    e vc colocar controle de mac nos aps

    tipo assim cliente ki ta na setorial A nao conecta na B nen na C e assim por diante


    se fisser isso com certeza vai diminuir e muito

    aki quase todos os problema foram sanados usando controle de mac reduçao de 95%



  17. #137

    Padrão

    Citação Postado originalmente por JHONNE Ver Post
    tava vendo aki, sobre o zeroshell, achei interessante, se testou, dê mais detalhes fernando.
    já testei sim, porém é muito cheio de bugs tem muito que evoluir ainda, ele roda direto do cd, mas tem uma forma de instalar no hd, as configurações ele só segura se salvar em um pendrive, o captive portal dele tmb é cheio de bugs, uma hora funciona outras nao, mas no caso do certificado é bem interessante, quando o cliente conecta a primeira vez ele gera o certificado que fica salvo no servidor e atrelado ao ip e mac do cliente, caso o mac seja clonado é gerado outro certificado , porém nao navega prq o primeiro certificado tem que ser revogado no servidor.

  18. #138

    Padrão

    Citação Postado originalmente por fernandofiorentinn Ver Post
    já testei sim, porém é muito cheio de bugs tem muito que evoluir ainda, ele roda direto do cd, mas tem uma forma de instalar no hd, as configurações ele só segura se salvar em um pendrive, o captive portal dele tmb é cheio de bugs, uma hora funciona outras nao, mas no caso do certificado é bem interessante, quando o cliente conecta a primeira vez ele gera o certificado que fica salvo no servidor e atrelado ao ip e mac do cliente, caso o mac seja clonado é gerado outro certificado , porém nao navega prq o primeiro certificado tem que ser revogado no servidor.
    cara essa do certificado seria uma mão na roda, vou fazer testes com essa distro.



  19. #139

    Padrão

    colocar software na maquina do cliente eh complicado.. alem de dar manutenção em excesso.. cliente formata computador direto... e em uma rede com N computadores ? e se o servidor do cara for um UNIX... hehe tem isso tambem..

    o lauro da hostcert tem isso funcionando.. o software dele eh show.. seguro...

  20. #140

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    colocar software na maquina do cliente eh complicado.. alem de dar manutenção em excesso.. cliente formata computador direto... e em uma rede com N computadores ? e se o servidor do cara for um UNIX... hehe tem isso tambem..

    o lauro da hostcert tem isso funcionando.. o software dele eh show.. seguro...
    Eh, Alexandre conheço o hostcert, mas o problema dele são as redes, vc precisar ter um gateway windows para sua rede interna, aí realmente é complicado.

    Essa do certificado é maneiro porque imagino eu ele seja instaldo via browser como acontece com os dos bancos