Resultados da Enquete: o que você acha da segurança do mikrotik depois deste tópico?

Votantes
22. Você não pode votar nesta enquete
  • Excelente, acho muito seguro.

    7 31,82%
  • Bom, serve somente para hotspot de autenticação.

    2 9,09%
  • Prefiro Linux configurado na unha.

    5 22,73%
  • Existe opções melhores no mercado.

    3 13,64%
  • Uma merda, sem segurança nenhuma.

    5 22,73%
Página 4 de 10 PrimeiroPrimeiro 123456789 ... ÚltimoÚltimo
+ Responder ao Tópico



  1. #61

    Padrão

    Lauro, tem que colocar o soft também no cliente, né?
    E lá não dá muita manutenção? Não desconfigura?
    Na eventual troca de algum hardware, ele se configura sozinho?

    Esta foi uma dúvida lançada a pouco.

  2. #62

    Padrão

    infelismente o sistema pelo hotspot esta cada vez pior .
    ja testei clona mac x ip navega tranquilo se o cliente dono do mac e ip nao estiver logado
    vai pedir usuario e senha ai o cara que clonou o mac clona outro se estiver logado ele passa direto

    o negocio e mudar para PPOE .

  3. #63

    Padrão

    Citação Postado originalmente por 14735 Ver Post
    infelismente o sistema pelo hotspot esta cada vez pior .
    ja testei clona mac x ip navega tranquilo se o cliente dono do mac e ip nao estiver logado
    vai pedir usuario e senha ai o cara que clonou o mac clona outro se estiver logado ele passa direto

    o negocio e mudar para PPOE .
    Tu está usando criptografia também. Qual?

  4. #64

    Padrão

    Citação Postado originalmente por 1929 Ver Post
    Lauro, tem que colocar o soft também no cliente, né?
    E lá não dá muita manutenção? Não desconfigura?
    Na eventual troca de algum hardware, ele se configura sozinho?

    Esta foi uma dúvida lançada a pouco.
    Sim deve-se instalar em todos que deseja criar o tunel.

    Entendo toda a preocupação com a manutenção que é a maior causa de custos para provedores.

    Mas o sistema foi desenvolvido pensando nisso, o sucesso do Hc depende disso.

    Então o software não se desconfigura, não existem arquivos para serem mexidos que possam comprometer a conectividade.

    Agora, é perfeitamente compreensivel que no periodo de implementação encontre-se obstaculos, tais como:

    Firewall no servidor, ou bridges no meio do caminho dropando os pacotes do Tunnel.
    Rede wireless muito instáveis, exigindo que o tunel se reconecte frequentemente.
    Sistema anti-virus do cliente, não permitindo que o software cliente acesse a rede, impedindo que ele receba os dados para o tunnel.
    Sistemas de recuperação do windows que voltam a um estagio antigo, sem o sistema.
    Usuário que mata os processos, ou sistemas de proteção que matam os processos.

    Se o sistema for reinstalado, ele vai enviar ao servidor os mesmos dados para autenticação, a não ser que o cliente tenha trocado a MB, dai um novo hash é gerado...

    A troca de qualquer peça removivel (como HD, memoria,placa de video externa) não gera um novo hash. Em versões antigas gerava. (Alguns demos estão por ai com esse comportamento ainda).

    Outro detalhe importante, o quando de processador do cliente ele consome?

    : )

    Você nem percebe que o software esta trabalhando.

    Então, recomendo que os amigos testem, o sistema é todo um FrameWork permitindo realizar inifinitas ações, de acordo como o perfil dos clientes.

    Por exemplo, a respeito da interface minimalista do Hc Manager, Alguns contatos que estão testando questionaram sobre os relatórios de conexões, que no Manager não tem algo "Completo", porém, uma analize mais profunda do funcionamento do sistema percebe-se que pode-se executar qualquer ação no momento que o cliente conecta/desconecta ou valída seu certificado, inclusive gravar informações em banco de dados via bash/perl/php/python/c/c++, portanto cada cliente, com seus recursos humanos disponiveis pode personalizar e ou contratar um terceiro, o até a própria HC para fazer "O relatorio de conexões".

    Varios sistemas de gerenciamento financeiro para provedores estão integrando.

    Possuimos uma ótima API via xmlRPC para isso.

    Abraços.

    Atenciosamente
    Lauro Cesar
    Hack to learn, not learn to hack.

  5. #65

    Padrão

    Citação Postado originalmente por 1929 Ver Post
    Tu está usando criptografia também. Qual?
    ñ uso criptografia justamente por usar hotspot e ativado a trial que permite a pessoa esperimentar o serviço ..
    se coloca criptografia nao teria logica usar hotspot e ativar a trial..

  6. #66
    MODERADOR-CHEFE Avatar de osmano807
    Ingresso
    Aug 2008
    Localização
    Araguari - Minas Gerais
    Posts
    1.980
    Posts de Blog
    5

    Padrão

    Citação Postado originalmente por laurocesar Ver Post
    Sim deve-se instalar em todos que deseja criar o tunel.

    Entendo toda a preocupação com a manutenção que é a maior causa de custos para provedores.

    Mas o sistema foi desenvolvido pensando nisso, o sucesso do Hc depende disso.

    Então o software não se desconfigura, não existem arquivos para serem mexidos que possam comprometer a conectividade.

    Agora, é perfeitamente compreensivel que no periodo de implementação encontre-se obstaculos, tais como:

    Firewall no servidor, ou bridges no meio do caminho dropando os pacotes do Tunnel.
    Rede wireless muito instáveis, exigindo que o tunel se reconecte frequentemente.
    Sistema anti-virus do cliente, não permitindo que o software cliente acesse a rede, impedindo que ele receba os dados para o tunnel.
    Sistemas de recuperação do windows que voltam a um estagio antigo, sem o sistema.
    Usuário que mata os processos, ou sistemas de proteção que matam os processos.

    Se o sistema for reinstalado, ele vai enviar ao servidor os mesmos dados para autenticação, a não ser que o cliente tenha trocado a MB, dai um novo hash é gerado...

    A troca de qualquer peça removivel (como HD, memoria,placa de video externa) não gera um novo hash. Em versões antigas gerava. (Alguns demos estão por ai com esse comportamento ainda).

    Outro detalhe importante, o quando de processador do cliente ele consome?

    : )

    Você nem percebe que o software esta trabalhando.

    Então, recomendo que os amigos testem, o sistema é todo um FrameWork permitindo realizar inifinitas ações, de acordo como o perfil dos clientes.

    Por exemplo, a respeito da interface minimalista do Hc Manager, Alguns contatos que estão testando questionaram sobre os relatórios de conexões, que no Manager não tem algo "Completo", porém, uma analize mais profunda do funcionamento do sistema percebe-se que pode-se executar qualquer ação no momento que o cliente conecta/desconecta ou valída seu certificado, inclusive gravar informações em banco de dados via bash/perl/php/python/c/c++, portanto cada cliente, com seus recursos humanos disponiveis pode personalizar e ou contratar um terceiro, o até a própria HC para fazer "O relatorio de conexões".

    Varios sistemas de gerenciamento financeiro para provedores estão integrando.

    Possuimos uma ótima API via xmlRPC para isso.

    Abraços.

    Atenciosamente
    Lauro Cesar
    Hack to learn, not learn to hack.
    Existe alguma alternativa open source, pois ficar pagando todo programa que vejo pela frente dará o maior prejuízo.

  7. #67

    Padrão

    Citação Postado originalmente por laurocesar Ver Post
    Fazer isso é bem simples, mas não com MK.

    Myauth poderia fazer talvez.

    Porém, não iria adiantar nada contra a clonagem.

    Veja bem, esse sistema manteria o ip/mac liberado para navegar apenas.

    Serviria apenas para saber que um cliente que sabe login/senha conectou.

    E mesmo assim, depois de autenticado, como Não liberar para um possivel clone? Pois após o cookie ser validado o ip/mac fica liberado, por um tempo.

    Como atualizar o cookie? Fazendo o cliente acessar o hotspot de tempos em tempos? E se o cliente deixar o pc ligado para baixar um documento muito importante de 350mega a respeito de uma ilha, onde um avião caiu, partindo da Austrália, como fica?

    : )

    O Hostcert resolve o problema e oferece comodidade para o cliente, na minha opinião, devemos pensar sempre em primeiro lugar em deixar o cliente satisfeito, com medidas restritivas que dão trabalho para o cliente acabamos perdendo-o.

    Abraços.

    Atenciosamente
    Lauro Cesar
    Hack to learn, not learn to hack.

    Cocordo com vc Lauro, eu como já te disse pelo msn, vou mudar para o hostcert, preciso apenas achar a melhor maneira de trabalhar com as redes empesariais, afinal é um tunel pra cada máquina

  8. #68

    Padrão

    Pessoal,



    sei que é reduntância, mais acham que seria muita loucura utilizar ppoe e hotspot ao mesmo tempo?



    cliente <---> servidor ppoe < --- > hotspot (por ip, sem mac)



    outra coisa:

    pppoe só resolveria o problema de compartilhar a conexão quando conectado (como acontece com hotspot e ip x mac), mas não resolveria o problema de clonar o mac e usar quando o cliente não estivesse usando. Estou certo?
    Última edição por JHONNE; 04-03-2009 às 13:50.

  9. #69

    Padrão

    Hotspot nunca foi e nunca será uma medida de segurança.

  10. #70

    Padrão

    na verdade hotspot eh uma gambiarra que faz no firewall manipulando pacotes.. etc etc..

    prefiro pppoe que nao da margem de clonagem se configurado corretamente ... podendo ainda ter MPPPE 128bits negociado na conexao do cliente...

  11. #71

    Padrão

    Citação Postado originalmente por 14735 Ver Post
    ñ uso criptografia justamente por usar hotspot e ativado a trial que permite a pessoa esperimentar o serviço ..
    se coloca criptografia nao teria logica usar hotspot e ativar a trial..

    Normalmente se pensa em hotspot para isso.
    Mas hotspot permite também uma linha de comunicação com seus clientes da rede de uma forma mais fáci.

    E daí a importância de usar criptografia.
    O Sérgio publicou ontem ou anteontem uma apresentação aula do Eng. Maia sobre segurança de rede.
    Eu baixei aqui mas não vou postar de novo para não estar sendo redundante.
    Mas o Sérgio ainda disse, leiam e releiam....
    Se o cara é um cabeção da Mikrotik no Brasil, quem sou eu para contestar. E como já usava wpa2 só fiquei saboreando as informações.
    Eu procurei o post de novo mas não achei.
    Mas tá aí no forum.

    Editando: encontrei, está na pag 5 deste mesmo tópico.
    Última edição por 1929; 04-03-2009 às 16:08.

  12. #72

    Padrão

    Citação Postado originalmente por 1929 Ver Post
    Normalmente se pensa em hotspot para isso.
    Mas hotspot permite também uma linha de comunicação com seus clientes da rede de uma forma mais fáci.

    E daí a importância de usar criptografia.
    O Sérgio publicou ontem ou anteontem uma apresentação aula do Eng. Maia sobre segurança de rede.
    Eu baixei aqui mas não vou postar de novo para não estar sendo redundante.
    Mas o Sérgio ainda disse, leiam e releiam....
    Se o cara é um cabeção da Mikrotik no Brasil, quem sou eu para contestar. E como já usava wpa2 só fiquei saboreando as informações.
    Eu procurei o post de novo mas não achei.
    Mas tá aí no forum.

    Editando: encontrei, está na pag 5 deste mesmo tópico.
    eu li o material que o sergio posto do maia ja avia visto antes tbm.
    nao estou contestando sem duvida wpa2 ira melhorar e muito a segurança ..
    o problema que postei he como vou disponibilizar o trial se implementar algum tipo de cripitografia para se conectar no radio ou rb .
    aki uso hotspot com o trial quero tentar manter o mesmo e se possivel arumar uma solução
    que me de hotspot + trial e bloquear o acesso indevido do tipo clonagem de mac + ip.
    se nao for possivel isso opto pela wpa2 mais ai prefiro colocar PPoE .

  13. #73

    Padrão

    Citação Postado originalmente por 14735 Ver Post
    eu li o material que o sergio posto do maia ja avia visto antes tbm.
    nao estou contestando sem duvida wpa2 ira melhorar e muito a segurança ..
    o problema que postei he como vou disponibilizar o trial se implementar algum tipo de cripitografia para se conectar no radio ou rb .
    aki uso hotspot com o trial quero tentar manter o mesmo e se possivel arumar uma solução
    que me de hotspot + trial e bloquear o acesso indevido do tipo clonagem de mac + ip.
    se nao for possivel isso opto pela wpa2 mais ai prefiro colocar PPoE .
    Realmente, tem razão. Aí não dá.
    Eu no início pensei também nisso, de usar o hotspot para angariar assinantes.
    A única solução seria ter uma rede aberta, independente para isso, com um link pequeno, só para testar e limitar o visitante a um tempo determinado. E para evitar conectar todo dia como visitante, não sei se teria alguma opção para visitar por ex. 3 vêzes de 30 minutos. Nunca me detive muito no trial.
    Seria uma saída. Mas incorre em mais investimento de rádios e antenas.
    Acho que seria mais prático para angariar assinantes, uma panfletagem por bairro atendido.

  14. #74
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por 14735 Ver Post

    ...

    o problema que postei he como vou disponibilizar o trial se implementar algum tipo de cripitografia para se conectar no radio ou rb .
    aki uso hotspot com o trial quero tentar manter o mesmo e se possivel arumar uma solução
    que me de hotspot + trial e bloquear o acesso indevido do tipo clonagem de mac + ip.
    se nao for possivel isso opto pela wpa2 mais ai prefiro colocar PPoE .
    Se usa Mikrotik, utilize AP virtual. A rede "oficial" ficará protegida, garantirá privacidade aos seus clientes, terá menos problemas.

  15. #75

    Padrão

    kra...nao sei se ajuda, mas existe a possiblidade de usar o tal exec-program-wait, talves com algum script perl ou php, consiga interligar com o mikrotik...a idéia é boa, e se quizer podemos conversar melhor sobre isso...t+

    desculpem ae...é para o post do Jhonne q fala sobre cookies...

    https://under-linux.org/f122823-esta...-de-mc-e-ip-12
    Última edição por Mr_Dom; 05-03-2009 às 11:20.

  16. #76

    Padrão

    Citação Postado originalmente por osmano807 Ver Post
    Existe alguma alternativa open source, pois ficar pagando todo programa que vejo pela frente dará o maior prejuízo.
    Faz um a vaquinha e compra os fontes... : )

    Mas vai dizer que a idéia não é boa?

    kkk

  17. #77

    Padrão clonando MAC e IP

    Como é que da para saber se o individuo clonou o MAC e Ip do meu cliente, é esta usando a minha rede?
    Eu uso hotspot tambem.
    Seria mais ou menos assim: meu cliente: [joao] MAC: 00:01:45:A2:02:1S:5A
    CLONADO: [joao] MAC: 00:01:45:A2:02:1S:5A
    OU seja eu vejo o joao na minha rede e tó pensando que é meu cliente mesmo?

  18. #78
    MODERADOR-CHEFE Avatar de osmano807
    Ingresso
    Aug 2008
    Localização
    Araguari - Minas Gerais
    Posts
    1.980
    Posts de Blog
    5

    Padrão

    Citação Postado originalmente por unibraz Ver Post
    Como é que da para saber se o individuo clonou o MAC e Ip do meu cliente, é esta usando a minha rede?
    Eu uso hotspot tambem.
    Seria mais ou menos assim: meu cliente: [joao] MAC: 00:01:45:A2:02:1S:5A
    CLONADO: [joao] MAC: 00:01:45:A2:02:1S:5A
    OU seja eu vejo o joao na minha rede e tó pensando que é meu cliente mesmo?
    Exatamente, só que o seu cliente verdadeiro não consegue conectar, e se tiver usando windows pode até ter que desabilitar e habilitar denovo a placa de rede (já aconteceu comigo)

  19. #79

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Se usa Mikrotik, utilize AP virtual. A rede "oficial" ficará protegida, garantirá privacidade aos seus clientes, terá menos problemas.
    Ola! Sergio,
    Já havia visto você falar sobre AP virtual anteriormente, e como repetiu vou perguntar, como funciona isso teóricamente, esse AP virtual, li o tópico do amigo eugeniomarques Mikrotik + Virtual AP + WDS + Zinwell G220 e fiquei interessado no que isso pode nos ajudar? será que podemos manter o hotspot? no que pode ajudar ai para que possamos entendermais sobre isso, pelo que entendi conseguimos um túnel virtual ai né? ou não? será que pode inibir alguns macscan? oou navegação indesejada?
    Obrigado!

  20. #80

    Padrão

    como é que fico sabendo que meus clientes estão se enchergando na rede MK.