+ Responder ao Tópico



  1. #1

    Padrão Vpn+freeradius+certificado

    Olá amigos dentro de alguns dias vi aqui na comunidades amigos dono de provedores muito preocupado com os bug da altenticação de hotspot , esta semana comecei a fazer uma implantação de Autenticação via VPN+Freeradius, ja esta tudo integrado a vpn autenticando no freeradius , agora quero implantar o certificador digital para ser seguro igual sistema de banco tipo gerenciador financeiro .. quando eu finalizar a solução vou postar para para os amigos conhecer

  2. #2

    Smile Bug hotspot

    edielsonps

    Vc poderia falar mais sobre este bug no hotspot, aqui utilizo esta solução e como seria esta integração de vpn+radius+certificado ?
    Muito interessante esta solução sua

    abraços



  3. #3

    Padrão

    Citação Postado originalmente por jeanfrank Ver Post
    edielsonps

    Vc poderia falar mais sobre este bug no hotspot, aqui utilizo esta solução e como seria esta integração de vpn+radius+certificado ?
    Muito interessante esta solução sua

    abraços

    amigos entao como vc pediu pra falar mais sobre os bug do hotspot é o sequinte:

    se vc tem provedor e ultiliza hotspot como autenticação saiba que vc pode estar tento problema de pessoas conectarem e usuarem sua internet sem vc mesmo saber.
    Pois se vc tem um cliente q esta conectando e autentiticado com usuario e senha dele no hotspot , se outra pessoa clonar o mac e o ip desse seu cliente, esta outra pessoa ja vai conseguir navegar sem problema sem vc saber, uma solução para este problema é vc usar PPPoE nos clientes.

  4. #4
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por edielsonps Ver Post

    ....

    Pois se vc tem um cliente q esta conectando e autentiticado com usuario e senha dele no hotspot , se outra pessoa clonar o mac e o ip desse seu cliente, esta outra pessoa ja vai conseguir navegar sem problema sem vc saber, uma solução para este problema é vc usar PPPoE nos clientes.

    Certo, e ai o mesmo alguém clona o MAC/IP... o que acontecerá? Nada? Só pelo simples fato de usar PPPoE?

    Estas afirmações soando como absolutas devem ser feitas com conhecimento de causa. Informe também os problemas que ocorrerá se usar PPPoE.



  5. #5

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Certo, e ai o mesmo alguém clona o MAC/IP... o que acontecerá? Nada? Só pelo simples fato de usar PPPoE?

    Estas afirmações soando como absolutas devem ser feitas com conhecimento de causa. Informe também os problemas que ocorrerá se usar PPPoE.
    amigo entao, nao disse que PPPoE e 100% seguro mais como hotspot tem bug que se clonar o ip e o mac de alguem que esteja auteticador funcionar o cara que clonou vai funcionar blz a internet pra ele. ja com PPPoE nao tem isto pois se você clonar o ip e mac de alguem conectado em pppoe nao funcionar por causa do do tunel PPP q precisa se altenticar.
    agora seguro 100% ? não pois se alguem pegar senha do pppoe de um cliente ele poder conecta mais isnto 1 so simultáneo entao ai ficar mais dificio o q ficar tentando sniffar a o login do pppoe..

    o que falei no post acima é q estou desenvolvendo uma aplicador para ficar assim:
    Freeradius+VPN+Certificado Digital pegando um formação da maquina do cliente
    a vpn+freeradius ja esta 100% aki estou so fazendo agora testar com certificado...

  6. #6
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por edielsonps Ver Post
    amigo entao, nao disse que PPPoE e 100% seguro mais como hotspot tem bug que se clonar o ip e o mac de alguem que esteja auteticador funcionar o cara que clonou vai funcionar blz a internet pra ele. ja com PPPoE nao tem isto pois se você clonar o ip e mac de alguem conectado em pppoe nao funcionar por causa do do tunel PPP q precisa se altenticar.

    ...
    Se alguém clonar o MAC (nem precisa IP) ele literalmente ferra a conexão autêntica... PPPoE funciona justamente por MAC (camada 2), então se alguém clona, o problema está armado.

    Quanto à sua opção de configuração por VPN, é uma forma segura para se estabelecer uma conexão, uma vez que estará protegendo a privacidade dos dados... Só tem um problema: para se estabelecer um túnel e VPN precisa existir conectividade IP e para tal precisará antes de mais nada disponibilizar esta conectividade à rede e ai voltamos à estaca zero, onde todos os problemas inerentes ao meio estarão ativos.



  7. #7

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Se alguém clonar o MAC (nem precisa IP) ele literalmente ferra a conexão autêntica... PPPoE funciona justamente por MAC (camada 2), então se alguém clona, o problema está armado.

    Quanto à sua opção de configuração por VPN, é uma forma segura para se estabelecer uma conexão, uma vez que estará protegendo a privacidade dos dados... Só tem um problema: para se estabelecer um túnel e VPN precisa existir conectividade IP e para tal precisará antes de mais nada disponibilizar esta conectividade à rede e ai voltamos à estaca zero, onde todos os problemas inerentes ao meio estarão ativos.

    ok, sempre gosto de suas respostas, com bastante prescisão...obrigado..

    mas me diga ae, o q vc indicaria usar (PPPoE, L2TP ou o q ?) com que tipo de amarração MAC, IP, LOGIN, Certificado ? se não for pedir demais, veja já li as apostilas do Maia, muito boas por sinal, li outros posts, mas quero que vc dê a sua opinião sobre isso...se possível

    Numa torre com 4 paineis, estou mudando o mikrotik pra fazer roteamento, pois tinha em bridge, ja tratei de fazer uma vpn entre o mt principal e essa torre.

    obrigado antecipadamente...

  8. #8
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por Mr_Dom Ver Post
    ok, sempre gosto de suas respostas, com bastante prescisão...obrigado..

    mas me diga ae, o q vc indicaria usar (PPPoE, L2TP ou o q ?) com que tipo de amarração MAC, IP, LOGIN, Certificado ? se não for pedir demais, veja já li as apostilas do Maia, muito boas por sinal, li outros posts, mas quero que vc dê a sua opinião sobre isso...se possível

    Numa torre com 4 paineis, estou mudando o mikrotik pra fazer roteamento, pois tinha em bridge, ja tratei de fazer uma vpn entre o mt principal e essa torre.

    obrigado antecipadamente...
    Não tem remédio... como em vários outros posts eu já mencionei. Fecha tua rede. Criptografia nela!! Quanto ao método de autenticação para os clientes, fica a seu critério, o que for mais conveniente para sua rede.



  9. #9

    Padrão

    use Certificados 509.X

  10. #10

    Padrão

    Citação Postado originalmente por edielsonps Ver Post
    use Certificados 509.X

    obrigado amigo, já estou a procurar na net por isso, mas poderia dar uma breve descricao de como é tal certificado, e como é o funcionamento..

    fico no aguardo

    obrigado



  11. #11

    Padrão

    Certo, mas olha só, o hotspot tb não tem o lance do perfil, ou seja, o plano que o cliente escolhe.Bem aqui eu faço assim, tem perfil 300k 1 user. Isso não seria tb um meio de impedir que a pessoa que clonar o MAC de alguem que já estivesse logado não pudesse navegar ?



    Citação Postado originalmente por sergio Ver Post
    Certo, e ai o mesmo alguém clona o MAC/IP... o que acontecerá? Nada? Só pelo simples fato de usar PPPoE?

    Estas afirmações soando como absolutas devem ser feitas com conhecimento de causa. Informe também os problemas que ocorrerá se usar PPPoE.

  12. #12

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Não tem remédio... como em vários outros posts eu já mencionei. Fecha tua rede. Criptografia nela!! Quanto ao método de autenticação para os clientes, fica a seu critério, o que for mais conveniente para sua rede.

    Como sempre conversamos, pessoal pensa muito na forma tecnica da coisa mais precisa ver o problema de forma "global" você deixar um espertalhão usar sua internet de graça você vai está perdendo uma mensalidade, claro que se virar epidemia você precisa sanar o problema mais caso seja fato isalado não tem vantagem nenhum colocar etc+etc+etc+etc+etc+etc=remedio e ai subir a dor de cabeça porque seus radios não estão segurando tanta "segurança" ai sobe o número de suportes por causa da dificildade no acesso.

    As vezes o simples resolve e com qualidade, como eu disse não preciso gastar veneno com pouca praga, pois quem está aplicando o veneno pode se contaminar e morrer.

    Ahhh sergio como sempre você escreve bem e fundamentado...."vamos ali que vou fumar mais um cigarro hehehe"

    Abraço amigo



  13. #13
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por tuxbrasil Ver Post
    Como sempre conversamos, pessoal pensa muito na forma tecnica da coisa mais precisa ver o problema de forma "global" você deixar um espertalhão usar sua internet de graça você vai está perdendo uma mensalidade, claro que se virar epidemia você precisa sanar o problema mais caso seja fato isalado não tem vantagem nenhum colocar etc+etc+etc+etc+etc+etc=remedio e ai subir a dor de cabeça porque seus radios não estão segurando tanta "segurança" ai sobe o número de suportes por causa da dificildade no acesso.

    As vezes o simples resolve e com qualidade, como eu disse não preciso gastar veneno com pouca praga, pois quem está aplicando o veneno pode se contaminar e morrer.

    Ahhh sergio como sempre você escreve bem e fundamentado...."vamos ali que vou fumar mais um cigarro hehehe"

    Abraço amigo
    Então TUX, é isso mesmo....


    hehehehe... cigarro do kpta, uma hora eu largo.

  14. #14
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por ilhanet Ver Post
    Certo, mas olha só, o hotspot tb não tem o lance do perfil, ou seja, o plano que o cliente escolhe.Bem aqui eu faço assim, tem perfil 300k 1 user. Isso não seria tb um meio de impedir que a pessoa que clonar o MAC de alguem que já estivesse logado não pudesse navegar ?
    Faz uma pesquisa em outros posts recentes que eu participo, que entenderá melhor.

    Sobre segurança, é como o Tux mencionou, ou faz ou não faz, às vezes não compensa muita peripécia.