Página 3 de 3 PrimeiroPrimeiro 123
+ Responder ao Tópico



  1. #41

    Padrão

    Citação Postado originalmente por jardelalmeida Ver Post
    Pelo que eu entendi lendo sobre certificado ssl, ele consiste bascamente em dois pontos:

    1- Dar uma garantia sobre a autenticidade do site que vc está inserindo dados, como login, senha, etc;

    2- Criar uma criptografia no envio destes dados, de forma a evitar que snnifers vejam o conteúdo dos dados trafegados no envio dos dados no momento da conexão.

    Então creio que o certificado seria somente, em tese, para proteger os dados de usuário e senha da página de login do hotspot contra snnifers, mas uma vez conectado o clone navegará tb sem problemas.
    Isso já cria uma certa dificuldade pois o invasor terá que esperar o usuário logar para poder navegar
    Saudações a todos !
    bom dia, jardelalmeida
    mais isso ja acontece sem SSL, o malandro so consegue navegar se o clonado ja estiver logado se so existir este mac na rede e o clonado morrer ele nunca mais navega pois nao tera ninguem pra logar neste unico mac (desculpe o exemplo).

  2. #42

    Padrão

    Citação Postado originalmente por caicarabruno Ver Post
    Anderson bom Dia!

    Pelo pouco que entendi sobre o ssl, ele assim como o md5(chap) ele criptografa a sena e o usuário dos clientes, porém o ssl por se tratar de uma chave privada e uma pública e usa criptografia x509 é aquela mesma do Hostcert, ele simplesmente impede que um outro veja a senha no caso snifer, porém fiz vários testes com clone em laboratório e rede real não obtive sucesso em navegar clonando, não sei o que pode ter acontecido ou que você fez para que pudesse dar certo, mas aqui depois que implantei o ssl, não tive mais problema.

    Agora se percistir o problema usa, wpa2 +eap+tls ai nme vc vai concegui entrar se esquecer alguma coisa.

    abraços
    bom dia, caicarabruno
    é o seguinte, os testes que fiz foi o seguinte, minha rede hj ta fechada pro mundo pois coloquei ela em autorizar listados, mas havia aberto ela como deveria ficar para que obtivesse o mais real resultado possivel, entao criei e ativei o ssl no mk, ficou joia parecia que estava conectando a um site de um banco a galera da rede nem chiou mas ai fiz tudo como os malandros fazem entrei com o AMAC fiz a varredura na rede peguei um mac qualquer de preferencia um que ja estava navegando clonei e de inicio nao conseguia pois mesmo com o ip igual ao do cliente que estava navegando caia sempre na tela de login, fiquei super feliz pois achei que tinha dado certo foi ai que quando coloquei a de outro cliente que tambem estava logado e carregou a bendita tela do google, ai vi que o infeliz ia era rir de mim entao vi que nao adiantaria de nada a nao ser que o malandro colocasse um snifer para capturar senha e user do cliente ai sim sei que pra isso pode ser eficas mas para protejer clonagem de mac acho impossivel, agora quanto ao hostcert o mesmo alem de criptografar faz o tunel que e nescessario para evitar a sobreposição de conexao na mesma faixa de ip e mac.
    obrigado
    Última edição por underwanderson; 31-03-2009 às 13:18.



  3. #43

    Padrão

    Citação Postado originalmente por underwanderson Ver Post
    bom dia, caicarabruno
    é o seguinte, os testes que fiz foi o seguinte, minha rede hj ta fechada pro mundo pois coliquei ela em autorizar listados, mas havia aberto ela como deveria ficar para que obtivesse o mais real resultado possivel, entao criei e ativei o ssl no mk, ficou joia parecia que estava conectando a um site de um banco a galera da rede nem chiou mas ai fiz tudo como os malandros fazem entrei com o AMAC fiz a varredura na rede peguei um mac qualquer de preferencia um que ja estava navegando clonei e de inicio nao conseguia pois mesmo com o ip igual ao do cliente que estava navegando caia sempre na tela de login, fiquei super feliz pois achei que tinha dado certo foi ai que quando coloquei a de outro cliente que tambem estava logado e carregou a bendita tela do google, ai vi que o infeliz ia era rir de mim entao vi que nao adiantaria de nada a nao ser que o malandro colocasse um snifer para capturar senha e user do cliente ai sim sei que pra isso pode ser eficas mas para protejer clonagem de mac acho impossivel, agora quanto ao hostcert o mesmo alem de criptografar faz o tunel que e nescessario para evitar a sobreposição de conexao na mesma faixa de ip e mac.
    obrigado

    meu caro jovem,

    tenta colocar cada cliente da sua rede em faixas separas com mask /30, onde só pode haver 2 ips, um para o servidor e outro para o cliente, e redirecionar para a faixa principal do seu hotspot usando o ssl.

  4. #44

    Padrão

    [quote=gustavinho69;389704]

    "Como o amigo caicarabruno disse, o certificado SSL aqui criado serve para BARRAR os snifers de rede, onde ficam capturando login e senhas de usuarios, e não para bloquear a tentativa de clone de mac na rede."

    =================================================
    [ Anderson bom Dia!

    Pelo pouco que entendi sobre o ssl, ele assim como o md5(chap) ele criptografa a sena e o usuário dos clientes, porém o ssl por se tratar de uma chave privada e uma pública e usa criptografia x509 é aquela mesma do Hostcert, ele simplesmente impede que um outro veja a senha no caso snifer, porém fiz vários testes com clone em laboratório e rede real não obtive sucesso em navegar clonando, não sei o que pode ter acontecido ou que você fez para que pudesse dar certo, mas
    aqui depois que implantei o ssl, não tive mais problema.
    Agora se percistir o problema usa, wpa2 +eap+tls ai nme vc vai concegui entrar se esquecer alguma coisa.]

    ====================================================
    aqui ele diz que serviu pra barrar a clonagem na rede dele sim, mas aqui eu consegui navegar.
    mas poh! o lance da criação de certificado e a instalação do mesmo no mk é show! o caicarabruno ta de parabens pela iniciativa pois ja havia procurado algo da especie e nunca tinha conseguido e tao explicado que nao tem como errar nada. a proposito e as paginas de bloqueio vc conseguiu botar pra funfa? rsrsrs



  5. #45

    Padrão

    Citação Postado originalmente por Demo Bill Ver Post
    meu caro jovem,

    tenta colocar cada cliente da sua rede em faixas separas com mask /30, onde só pode haver 2 ips, um para o servidor e outro para o cliente, e redirecionar para a faixa principal do seu hotspot usando o ssl.
    hou! isso parece interessante to tentando de tudo que der resultado rsrsrs
    ja deve existir algo aqui no under de como fazer isto nao tem? vou procurar este tipo de solução pra ver, valeu mesmo!

  6. #46

    Padrão :(

    BLZA MANS.

    Relamente galera, infelizmente não conseguimos barrar, os clonadores com ssl, mas ja obtivemos um resultado legal, que é impedir que eles peguem login e senha dos usuários. Mas ja é uma pequena Vitória nesta guerra, quanto ao /30 no caso xxx.xxx.xxx.xxx 255.2555.255.255 o mesmo utilizado pelas grandes operadoras para que os usuários não utilizem a rede. É interessante a idéia, porém ainda temos de arrumar uma forma de esconder os ips/mac dos usuários dos snifer com uma solução gratuita (não é este o pensamento free), mas ainda conseguiremos vamos pesquisar a finco e também em sites estrangeiros que tem bem mais conteúdos que os nossos.

    abraços



  7. #47

    Padrão

    Citação Postado originalmente por underwanderson Ver Post
    hou! isso parece interessante to tentando de tudo que der resultado rsrsrs
    ja deve existir algo aqui no under de como fazer isto nao tem? vou procurar este tipo de solução pra ver, valeu mesmo!
    da uma olha ai no meu post com relação ao hotspot + dhcp lease + mac/arp , la tem essas configurações com tutor bem facil.

    https://under-linux.org/f122354-lb-funcionando-com-web-proxy-cache-full-hotspot-dhcp-lease-no-mesmo-servido-mk

    Neste aqui você vai ter alguas ideias de pagina de hotspot.

    https://under-linux.org/f119299-compartilhando-suas-ideias-de-login-no-hotspot

  8. #48

    Padrão

    Citação Postado originalmente por caicarabruno Ver Post
    BLZA MANS.

    Relamente galera, infelizmente não conseguimos barrar, os clonadores com ssl, mas ja obtivemos um resultado legal, que é impedir que eles peguem login e senha dos usuários. Mas ja é uma pequena Vitória nesta guerra, quanto ao /30 no caso xxx.xxx.xxx.xxx 255.2555.255.255 o mesmo utilizado pelas grandes operadoras para que os usuários não utilizem a rede. É interessante a idéia, porém ainda temos de arrumar uma forma de esconder os ips/mac dos usuários dos snifer com uma solução gratuita (não é este o pensamento free), mas ainda conseguiremos vamos pesquisar a finco e também em sites estrangeiros que tem bem mais conteúdos que os nossos.

    abraços
    Bruno só corrigindo a mascara 255.255.255.255 é representada como /32

    /30 é 255.255.255.252




  9. #49

    Padrão heh

    Citação Postado originalmente por gustavinho69 Ver Post
    Bruno só corrigindo a mascara 255.255.255.255 é representada como /32

    /30 é 255.255.255.252

    Imaginei man! mas grato pela correção.

  10. #50

    Padrão o que é o correto quanto acesso com certificado ssl

    bom dia!
    under's de plantão
    é o seguinte pegando carona neste topico do caicarabruno que por sinal ta muito produtivo, depois de criar o certificado ssl e instala-lo no mk ao acessar a internet o cliente se depara com 2 caixas de informação uma falando do certificado e outra de confirmação com o seguinte dizer:esta pagina contem itens nao seguro deseja exibi-los?, ate aqui tudo bem solicitei que a clientela instalasse o certificado para que evitasse aparecer sempre que fosse logar entao apos a instalação do certificado sempre aparecerá uma so a caixinha de confirmação "sim" "não" e ai que vem a duvida, fiz uns testes aqui e quero saber de quem ja tem experiência com certificado ssl, quando se clica "SIM" e o certificado libera a tela para logar mas o cadeado que identifica a segurança com criptografia de 128bit não aparece no navegador e quando se clica "NÃO" ai sim aparece o tal cadeado, ou seja o cliente tem que clicar "NÃO"?
    o que o cliente tem que clicar pra estar seguro eu imagino que em "não" pois acho que tem que aparecer o cadeado que prova que o trafego daquele momento esta sendo criptografado, mas queria opinião de alguem que entendesse mais sobre isto.
    façam seus testes antes para entenderem e poder contribuir.
    obrigado
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         sim ou nao.JPG
Visualizações:	163
Tamanho: 	21,8 KB
ID:      	3929  
    Última edição por underwanderson; 05-04-2009 às 11:13.



  11. #51

    Padrão

    ssl so te da a segurança dos dados enviados pela pagina de login do hotspot (login e senha do usuario) ... fora isso nao ha outra segurança...

    voce precisa fazer a segurança do meio fisico .. eu indicaria PPPOE com MPPPE ativo .. ai sim voce tera uma segurança...

    o tunel pppoe é estabelecido e tudo que passar dentro vai ser criptografado...

  12. #52

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    ssl so te da a segurança dos dados enviados pela pagina de login do hotspot (login e senha do usuario) ... fora isso nao ha outra segurança...

    voce precisa fazer a segurança do meio fisico .. eu indicaria PPPOE com MPPPE ativo .. ai sim voce tera uma segurança...

    o tunel pppoe é estabelecido e tudo que passar dentro vai ser criptografado...
    certo alexandre mas analisando as duas situações clicar sim ou nao, "sim" nao mostra o cadeado e "nao" mostra o cadeado a barra de status do navegador.
    pra estar criptografando a senha na hora do login tem que aparecer o cadeado ou nao basta aparecer na barra de endereço https:// que ja esta criptografando a senha naquele momento? ou tem que ter os dois o cadeado e https:// ?
    obrigado



  13. #53

    Smile

    Citação Postado originalmente por underwanderson Ver Post
    certo alexandre mas analisando as duas situações clicar sim ou nao, "sim" nao mostra o cadeado e "nao" mostra o cadeado a barra de status do navegador.
    pra estar criptografando a senha na hora do login tem que aparecer o cadeado ou nao basta aparecer na barra de endereço https:// que ja esta criptografando a senha naquele momento? ou tem que ter os dois o cadeado e https:// ?
    obrigado
    Amigo o https pode ser estabelecido com diversos servidores tanto da sua rede interna como da internet, é possivel montar um site todo e navegar nele somente por https mas nao é necessario criptografar imagens e arquivos html a menos que eles contenham senhas.

    Do ponto de vista de rede, o protocolo https é um servidor que roda na porta 443 já o http é porta 80, implementando um virtual host com ssl ativado no apache, o site estara disponivel tanto na porta 80 como na porta 443 para a navegacao basta o usuário digitar lá em cima https://www.dominio.com.br .

    Agora do ponto de vista de programador, o controle de acesso do cliente a porta 443 de determinado servidor deve ser verificado a cada requisicao (via programacao) pois o cliente pode digitar https la em cima o que será requisitado o sevico seguro que roda na porta 443 criptografando todo a navegacao naquele site.

    Não é possivel criptografar a navegacao do usuario em todos os sites se nao atraves da camada de enlace.

    O SSL é um protocolo de criptografia de dados que roda na camada de aplicacao do modelo OSI, pra criptografar a navegacao da maneira em questão, deve trabalhar com a camada de enlace (neste caso PPP+MPPE, WEP, WPA, etc).

    Abs!

  14. #54

    Padrão Duvida

    Achei otimas as postagens! Mais aqui me retorna e is 65537 (0x10001) e o teclado trava, o que pode esta errado agradeço a colaborção



  15. #55

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    ssl so te da a segurança dos dados enviados pela pagina de login do hotspot (login e senha do usuario) ... fora isso nao ha outra segurança...

    voce precisa fazer a segurança do meio fisico .. eu indicaria PPPOE com MPPPE ativo .. ai sim voce tera uma segurança...

    o tunel pppoe é estabelecido e tudo que passar dentro vai ser criptografado...
    Ola alexandre
    onde eu ativo o MPPPE
    meu servidor esta com a versão 2.9.50

  16. #56

    Padrão

    no profile do pppoe.. "encriptation = YES"

    caso use radius deve configurar para aceitar tambem



  17. #57

    Smile

    Citação Postado originalmente por caicarabruno Ver Post
    NOVO TUTORIAL NA 5ª Página, FUNCIONAL
    NOVO TUTORIAL NA 5ª PÁGINA EM WINDOWS

    Blza Mans

    Na minha busca para amenizar a insegurança do hotspot sem que eu colocase uma criptografia tipo wpa2 no meu hotspot, sai em busca dos certificado ssl para ao menos parar com a clonagem de MAC + IP(Problema de muitos), consegui um pequeno tutorial de autoria de Vladimir Aleskey.
    Como não encontrei a versão citada no tutorial encontrei outra versão que para minha felicidade fundiona muito bem.

    Segue os links
    Gerador de Certificado SSL
    4shared.com - online file sharing and storage - download Win32OpenSSL-0_9_7m.exe

    Tutorial
    4shared.com - document sharing - download Seguran%C3%A7a%20em%20HOTSPOT%20MIKROTIK%20com%20certificado%20SSL[1].pdf

    Flw Galera tenham um ótimo Domingo

    bruno
    ola amigo vc pode me ajudar em com fazer rotas no mk eu sou iniciante e estou com dificuldades ,grato luciano

  18. #58

    Padrão

    deu aqui tambem e so desinstalar o programa e apagar a pasta e depois reinstalar
    e quando perguntar se voce quer subistituir o arquivo e so clicar em sim.
    depois e so fazer denovo e ai da certinho!!!!