Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Segurança em hotspot com certificado SSL

    Como forma de agradecimento a todos que me ajudaram a resolver problemas no MK, deixo minha contribuicao:


    Segurança em HOTSPOT MIKROTIK com certificado SSL
    para garantir que usuarios nao autorizados nao naveguem na sua rede!

    quem gostar pode agradecer!
    Miniaturas de Anexos Miniaturas de Anexos Segurança em HOTSPOT MIKROTIK com certificado SSL.pdf  
    Última edição por aleksei; 05-03-2009 às 14:19. Razão: atualizacao

  2. #2



  3. #3

    Padrão

    muito bom, agradeço

    mas tenho uma dúvida

    depois de criado e configurado, quando o cliente for acessar a net, vai solicitar para aceitar o certificado ? ele vai ser mostrado como um certificado válido ? depois de aceito uma vez, nao pede mais para aceitar ?


    obrigado...agradeço antecipadamente...passar bem

  4. #4

    Padrão

    Citação Postado originalmente por aleksei Ver Post
    Como forma de agradecimento a todos que me ajudaram a resolver problemas no MK, deixo minha contribuicao:


    Segurança em HOTSPOT MIKROTIK com certificado SSL
    para garantir que usuarios nao autorizados nao naveguem na sua rede!

    quem gostar pode agradecer!
    muito bom amigo. Agora eu fiz tudo como ta no arquivo pdf so q to com esse erro
    Falha na conexão segura


    Ocorreu um erro durante uma conexão com djacesso.net.

    Não foi possível comunicar-se de forma segura com o sistema remoto: não há algoritmos de criptografia em comum.

    (Código do erro: ssl_error_no_cypher_overlap)

    A página que você está tentando abrir não pode ser exibida porque a autenticidade dos dados recebidos não pôde ser comprovada.

    * Por favor, contate os responsáveis pelo site para informá-los sobre este problema.
    Última edição por djacesso; 05-03-2009 às 13:48.



  5. #5

    Padrão

    Boa dica alexsei, mais vale lembrar que o certificados que vc gera nao e reconhecido como confiável pelo browser gerando uma mensagem de aviso no cliente falando que apesar do certificado ser valido nao e reconhecido e que isso pode ser perigoso...

    a chave de criptografia ssl funciona muito bem, inclusive quando bem gerada e quase impossível de quebrar, mais se vc tem acesso a senha vc quebra fácil, por isso a mensagem, tem alguns site reconhecidos mundialmente que fornecem certificados reconhecidos pelo browser o inconveniente e que e pago antigamente a única empresa que fornecia este serviço era a VeriSign hoje tem diversas empresas fazendo isso.

    o certificado e o mesmo a única diferença e que o o da empresa nao aparece a mensagem no browser mandando vc desconfiar

    volto a dizer que a dica do alexsei e muito boa, meu post e mais uma daquelas coisas de nerd que sempre explica demais...

  6. #6

    Padrão

    Citação Postado originalmente por Mr_Dom Ver Post
    muito bom, agradeço

    mas tenho uma dúvida

    depois de criado e configurado, quando o cliente for acessar a net, vai solicitar para aceitar o certificado ? ele vai ser mostrado como um certificado válido ? depois de aceito uma vez, nao pede mais para aceitar ?


    obrigado...agradeço antecipadamente...passar bem
    depois que ele é aceito pela primeira vez não será necessário outra vez!



  7. #7

    Padrão

    Citação Postado originalmente por djacesso Ver Post
    muito bom amigo. Agora eu fiz tudo como ta no arquivo pdf so q to com esse erro
    Falha na conexão segura


    Ocorreu um erro durante uma conexão com djacesso.net.

    Não foi possível comunicar-se de forma segura com o sistema remoto: não há algoritmos de criptografia em comum.

    (Código do erro: ssl_error_no_cypher_overlap)

    A página que você está tentando abrir não pode ser exibida porque a autenticidade dos dados recebidos não pôde ser comprovada.

    * Por favor, contate os responsáveis pelo site para informá-los sobre este problema.

    amigo,

    aconteceu comigo uma vez, eu nao havia dado o print apos cada comando. outra coisa, tem q ser pelo terminal, pelo botao certificate do winbox tbm nao funciona.

    dica:
    apague o certificado pelo botao certificate e refaça o processo dando print apos cada comando.

  8. #8
    André Andrade*MikrotikRio Avatar de interhome
    Ingresso
    Oct 2008
    Localização
    Brasil.
    Posts
    1.095
    Posts de Blog
    15

    Padrão

    Esta certificação ssl será util como segurança para proteger a senha de usuário e login na rede. Depois do cliente autenticado o que muda entre a comunicação cliente e servidor ?



  9. #9

    Padrão

    Citação Postado originalmente por interhome Ver Post
    Esta certificação ssl será util como segurança para proteger a senha de usuário e login na rede. Depois do cliente autenticado o que muda entre a comunicação cliente e servidor ?
    O certificado age no momento da autenticação do cliente/servidor. ajuda no combate aos sniffers de rede que fazem a captura de login e senha.

    O certificado é criado com criptografia de 1024 bits, superior aos 128 bits que são vendidos por aí.

    Após a autenticacao tudo passa a ser como o padrão do hotspot.

  10. #10

    Padrão

    Citação Postado originalmente por aleksei Ver Post
    O certificado age no momento da autenticação do cliente/servidor. ajuda no combate aos sniffers de rede que fazem a captura de login e senha.

    O certificado é criado com criptografia de 1024 bits, superior aos 128 bits que são vendidos por aí.

    Após a autenticacao tudo passa a ser como o padrão do hotspot.
    olá, e se o cara clonar mac / ip do cliente ? o certificado vai bloquear isso??



  11. #11
    André Andrade*MikrotikRio Avatar de interhome
    Ingresso
    Oct 2008
    Localização
    Brasil.
    Posts
    1.095
    Posts de Blog
    15

    Padrão

    Citação Postado originalmente por HENET Ver Post
    olá, e se o cara clonar mac / ip do cliente ? o certificado vai bloquear isso??

    O uso do certificado é proteger o "usuário" e "senha". Para isso esses dados passaram pela rede criptografado. Ou seja, se o camarada clonar mac / ip e não souber a senha, não irá navegar.

  12. #12

    Padrão

    Citação Postado originalmente por interhome Ver Post
    O uso do certificado é proteger o "usuário" e "senha". Para isso esses dados passaram pela rede criptografado. Ou seja, se o camarada clonar mac / ip e não souber a senha, não irá navegar.
    Mas tem um problema: caso o "verdadeiro" usuário já tenha feito login, o invasor vai sim conseguir navegar com o mac / ip clonados, principalmente se o DHCP Server estiver ativo.

    Esse invasor poderá ainda causar conflito e derrubar o "verdadeiro" usuário.

    Pelo que andei lendo aqui no fórum, me parece que a forma mais prática de ter segurança, de fato, com hotspot é usar criptografia WAP2 com chaves individuais.

    Mas de qualquer forma, embora não seja suficiente, utilizar certificado de segurança já melhora a segurança.



  13. #13

    Padrão

    Citação Postado originalmente por SantiagoMG Ver Post
    Mas tem um problema: caso o "verdadeiro" usuário já tenha feito login, o invasor vai sim conseguir navegar com o mac / ip clonados, principalmente se o DHCP Server estiver ativo.

    Esse invasor poderá ainda causar conflito e derrubar o "verdadeiro" usuário.

    Pelo que andei lendo aqui no fórum, me parece que a forma mais prática de ter segurança, de fato, com hotspot é usar criptografia WAP2 com chaves individuais.

    Mas de qualquer forma, embora não seja suficiente, utilizar certificado de segurança já melhora a segurança.

    é por ae o caminho, to tentando a alguns dias implementar as chaves individuais com radius, mas nao tá facil...

    qq coisa q tiver agradeço se postar...

  14. #14

    Padrão

    tenho uma dúvida, estou comprando um certificado válido pela VeriSign, queria saber dos colegas se usando esse certificado o cliente prescisa mesmo assim aceitar o certificado ou instalar, ou vai passar direto pra tela do login do hostpot e mostrar q o site é seguro ?


    agradeço a qq explicação...

    passar bem..

    att.



  15. #15

    Padrão Válido

    Citação Postado originalmente por Mr_Dom Ver Post
    tenho uma dúvida, estou comprando um certificado válido pela VeriSign, queria saber dos colegas se usando esse certificado o cliente prescisa mesmo assim aceitar o certificado ou instalar, ou vai passar direto pra tela do login do hostpot e mostrar q o site é seguro ?


    agradeço a qq explicação...

    passar bem..

    att.
    CAro Dom

    pelo fato de a VeriSign ser uma empresa CA ( Autoridade Certificadora ) Não apresentará nenhum pedido aos usuários ( nada de instalação nem avisos) apenas vai aparecer o cadeado nos browsers.

    Abraço

  16. #16

    Padrão Invasores clonando mac e ip tem que logar ou nao para navegar?

    meu dhcp esta dando ip para qualquer pessoa tenho reparado que uns 20 por dia estava achando isso bom para o negocio porque assim divulgava com hotspot minha pagina agora queria saber se tem como uma pessoa navegar ou coisa do genero sem passar pela pagina de login?
    uso edimax em bridge(sem chave)+mikrotik+hotspot+webproxy
    Nao queria por chave em minha rede pois recebo muita ligaçoes de pessoas que dividia a net com visinhos e agora estou fornecendo para os dois atraves desta pagina --
    so que quero ter segurança nessa rede e possivel redirecionar ou sei lá!!!!



    obrigado pela ajuda do post acima me ajudaram muito
    !!!!



  17. #17

    Padrão

    Citação Postado originalmente por sharknet Ver Post
    meu dhcp esta dando ip para qualquer pessoa tenho reparado que uns 20 por dia estava achando isso bom para o negocio porque assim divulgava com hotspot minha pagina agora queria saber se tem como uma pessoa navegar ou coisa do genero sem passar pela pagina de login?
    uso edimax em bridge(sem chave)+mikrotik+hotspot+webproxy
    Nao queria por chave em minha rede pois recebo muita ligaçoes de pessoas que dividia a net com visinhos e agora estou fornecendo para os dois atraves desta pagina --
    so que quero ter segurança nessa rede e possivel redirecionar ou sei lá!!!!



    obrigado pela ajuda do post acima me ajudaram muito
    !!!!
    Acho que não tem. Para o que voce quer, tem que deixar a rede aberta.
    Segurança mesmo não existe. Existem meios que melhoram a segurança, mas sabe como é: Sempre tem alguém disposto a quebrar uma segurança. O que podemos fazer é dificultar bastante.
    Veja este artigo do Maia, que o Sérgio postou algum tempo atrás.
    Aí tem tudo que devemos levar em conta com relação a segurança, no cenário atual.
    Miniaturas de Anexos Miniaturas de Anexos Brasil_Seguranca_Maia.pdf  

  18. #18

    Padrão

    Realmente de acordo com o 1929 ou tem segurança ou não tem, mas só é possível navegar sem passar pela página de login se algum individuo clçonar o mac address de um cliente seu ja logado, ou ele logar como guest(visitante) mas a segunda opção depende de você liberar no mikrotik.

    mas se isso não sanou sua dúvida poste novamente.

    Abraços

    att

    Bruno



  19. #19

    Padrão

    Existe sim uma forma de se implementar a segurança da criptografia WPA2 e continuar com a vantagem COMERCIAL do hotspot sem criptografia, mas tem que ser com Mikrotik.

    Fazendo assim, por exemplo:

    Substitua esse AP Edimax por uma Routerboard em Bridge. Configure a rede com os mesmos parâmetros que utiliza no Edimax (SSID, canal, etc) e nessa mesma interface crie um VirtulAP com criptografia e de preferência com SSID oculto.

    Aí é só ir migrando todos seus cliente para a rede criptografada. Quando seus clientes estiverem todos nessa rede com criptografia, ficará difícil (bem difícil) deles conseguirem escanear a rede e navegarem de graça.

    E no final vc ainda vai continuar com o hotspot sem criptografia para angariar novos clientes.

  20. #20

    Padrão criei um Certificado

    dei uma ideia em um amigo meu que e porgramador html e ele me mandou uma maneira de criptografar tudo que passa na minha red ele me passou um certificado da minha empresa mesmo ele criou igual a de banco usa e ate agora nao vi nenhum engraçadinho
    fiquei sabendo que os invasores conectavam em minha rede (sen chave ) depois no navegador eles colocavam o ip do site e a porta por qual irian pasar tip 65.0.0.0:996 ai ele navegava , dava trabalho ne agora minha rede usa o navegador criptografado (IE7) .

    ta resolvendo ate agora