Página 4 de 4 PrimeiroPrimeiro 1234
+ Responder ao Tópico



  1. #19

    Padrão

    Citação Postado originalmente por rrinfor Ver Post
    Olá!

    Bom!! Existe uma série de detalhes que precisamos tratar:

    1° Amarrar MAC/IP
    em /ip arp, cadastre seus clientes como no exemplo abaixo, se ja estiver aparecendo na tabela apenas torne-os estatico abrindo a janela referente ao mesmo e click em static no menu lateral da janela

    /ip arp
    add address=10.45.1.2 comment="Fulana de tal - 128/128" disabled=no interface=wlan1 mac-address=00:00:00:00:00:00


    Após o procedimento acima, vc terá que mudar o parâmetro da tabela ARP de todas as interfaces de clientes ex: wlan1 para reply-only como no exemplo abaixo:

    /interface wireless set wlan1 arp=reply-only

    Dessa forma a interface apenas receberá arp-request dos clientes com MAC/IP cadastrados no campo /ip arp, assim já teremos um mínimo de segurança.


    2° cadastro no access-list
    vamos cadastrar quem poderá efetivamente conectar no sinal, mantendo assim um minimo de controle no barraento wireless "ar" (camada 2):

    /interface wireless access-list
    add ap-tx-limit=0 authentication=yes client-tx-limit=0 comment="Fulano de tal - 128/128" disabled=no forwarding=no interface=all mac-address=00:00:00:00:00:00 private-algo=none private-key="" \
    private-pre-shared-key="" signal-range=-120..120


    Após o procedimento acima, vc terá que desmarcar o checkbox Default Authentication e Default Forward nas interfaces de clientes como no exemplo abaixo;

    /interface wireless set wlan1 default-forwarding=no
    /interface wireless set wlan1 default-authentication=no


    Configurando como está acima, o cliente só conecta se estiver cadastrado.

    PS: A opção default-forwarding=no nas interfaces de cliente, vai desabilitar a travessia entre os usuários da rede na interface, para evitar problemas onde um usuário pode ver o outro.

    3° Firewall

    Bom! aqui é algo mais preciso e delicado, um bom firewall define a qualidade e segurança do seu serviço, vou apenas colocar um exemplo aqui de como vc pode bloquear no mesmo:

    /ip firewall filter
    add action=drop chain=forward comment="" disabled=no src-address=10.45.1.2


    Estando com essa configurações setadas, vc poderá desabilitar o cliente no campo /ip arp (onde a própria interface wlan vai descartar o mesmo), no access-list (para o cliente não conectar no sinal) e no firewall para desencargo de conciencia :-), use todas!

    PS: Se alguem clonar seu MAC, ele (clonador) vai conectar no sinal, porém será descartado pela interface por nao estar com MAC/IP na tabela ARP, ou seja, em /ip arp.
    Se for clonado MAC/IP ele entrará na sua rede lógica, porém é barrado no firewall.


    Abraços e estamos ae
    Olá rrinfor,

    Como não tenho MK para fazer testes sendo que todos estão em funcionamento, uma duvida surgiu, as configurações de amarrar ip com mac, firewall, etc...influenciam na comunicação entre MK, tenho 3 MK que fazem repetição um para o outro a partir do servidor, bem como configurar a comunicação entre os MK para que haja o trafego livre e principalmente esta configuração não bloqueie.


    Grato novamente pela atenção.
    Anderson

  2. #20

    Padrão

    Citação Postado originalmente por UsadosMAC Ver Post
    Olá rrinfor,

    Como não tenho MK para fazer testes sendo que todos estão em funcionamento, uma duvida surgiu, as configurações de amarrar ip com mac, firewall, etc...influenciam na comunicação entre MK, tenho 3 MK que fazem repetição um para o outro a partir do servidor, bem como configurar a comunicação entre os MK para que haja o trafego livre e principalmente esta configuração não bloqueie.


    Grato novamente pela atenção.
    Anderson

    Olá!

    A comunicação entre os MKs vai ficar transparente, ao ler o post acima, verá que falo para aplicar as configurações da tabela ARP na interface para clientes ou seja, a mini-pci em cujo sinal os clientes se conectam, e as demais configurações seram aplicadas para MAC/IP dos clientes.

    Abraços.



  3. #21

    Padrão

    Citação Postado originalmente por rrinfor Ver Post
    Olá!

    Bom!! Existe uma série de detalhes que precisamos tratar:

    1° Amarrar MAC/IP
    em /ip arp, cadastre seus clientes como no exemplo abaixo, se ja estiver aparecendo na tabela apenas torne-os estatico abrindo a janela referente ao mesmo e click em static no menu lateral da janela

    /ip arp
    add address=10.45.1.2 comment="Fulana de tal - 128/128" disabled=no interface=wlan1 mac-address=00:00:00:00:00:00

    Após o procedimento acima, vc terá que mudar o parâmetro da tabela ARP de todas as interfaces de clientes ex: wlan1 para reply-only como no exemplo abaixo:

    /interface wireless set wlan1 arp=reply-only

    Dessa forma a interface apenas receberá arp-request dos clientes com MAC/IP cadastrados no campo /ip arp, assim já teremos um mínimo de segurança.


    2° cadastro no access-list
    vamos cadastrar quem poderá efetivamente conectar no sinal, mantendo assim um minimo de controle no barraento wireless "ar" (camada 2):

    /interface wireless access-list
    add ap-tx-limit=0 authentication=yes client-tx-limit=0 comment="Fulano de tal - 128/128" disabled=no forwarding=no interface=all mac-address=00:00:00:00:00:00 private-algo=none private-key="" \
    private-pre-shared-key="" signal-range=-120..120

    Após o procedimento acima, vc terá que desmarcar o checkbox Default Authentication e Default Forward nas interfaces de clientes como no exemplo abaixo;

    /interface wireless set wlan1 default-forwarding=no
    /interface wireless set wlan1 default-authentication=no

    Configurando como está acima, o cliente só conecta se estiver cadastrado.

    PS: A opção default-forwarding=no nas interfaces de cliente, vai desabilitar a travessia entre os usuários da rede na interface, para evitar problemas onde um usuário pode ver o outro.

    3° Firewall
    Bom! aqui é algo mais preciso e delicado, um bom firewall define a qualidade e segurança do seu serviço, vou apenas colocar um exemplo aqui de como vc pode bloquear no mesmo:

    /ip firewall filter
    add action=drop chain=forward comment="" disabled=no src-address=10.45.1.2

    Estando com essa configurações setadas, vc poderá desabilitar o cliente no campo /ip arp (onde a própria interface wlan vai descartar o mesmo), no access-list (para o cliente não conectar no sinal) e no firewall para desencargo de conciencia :-), use todas!

    PS: Se alguem clonar seu MAC, ele (clonador) vai conectar no sinal, porém será descartado pela interface por nao estar com MAC/IP na tabela ARP, ou seja, em /ip arp.
    Se for clonado MAC/IP ele entrará na sua rede lógica, porém é barrado no firewall.


    Abraços e estamos ae
    Bom, como o meu MK tá em uso como faria pra modar a configuração pra éssa? uso hotspot+dhcp 3 profiles criados? estou pençando em muda pq naum estou conseguimdo controle de banda e pelo q ve assim tem mais segurança, fazendo dessa forma vou ter q colocar ips nos cleites? e chave?
    Qual seria a melho maneira pra fazer isso, excluir ou desabilitar o hotspot? ou poderia fazer a configuração pra depois desabilitar o hotspot ou daria um conflito???
    Muito Obrigado.
    Última edição por wsdanado; 16-04-2009 às 22:31.

  4. #22

    Padrão

    Citação Postado originalmente por wsdanado Ver Post
    Bom, como o meu MK tá em uso como faria pra modar a configuração pra éssa? uso hotspot+dhcp 3 plofiles criados? estou pençando em muda pq naum estou conseguimdo controle de banda e pelo q ve assim tem mais segurança, fazendo dessa forma vou ter q colocar ips nos cleites? e chave?
    Qual seria a melho maneira pra fazer isso, excluir ou desabilitar o hotspot? ou poderia fazer a configuração pra depois desabilitar o hotspot ou daria um conflito???
    Muito Obrigado.
    Tentar fazer uma coisa por cima de outra vai te gerar muita dor de cabeça, e hotspot conflita de diversas formas com o esquema passado no post anterior.

    Crie um planejamento para as mudanças, e faça testes antes de aplicar alguma coisa na sua rede em produção, vc terá que setar ips no usuário, quanto a chave citado acima (entendi como criptografia) após a implantação de todo o esquema, podemos planejar a implantação de criptografia ai sim vc vai está extremamente seguro.

    Abraços



  5. #23

    Padrão

    RRINFOR blz prestei a tenção no topico e fiquei com uma duvida.
    a primeira regra q vc mandou new terminal, após isso vá em queue > simple serve para o controle de banda certo?
    e essa outra maior 1° Amarrar MAC/IP
    serve só para bloquear alguns usuários? ou é uma configuração melhor e mais segura q o hotspot? ou naum tem nada a ver e eu estou complicando mais!!!
    a unica coisa q eu estou AGORA achando ruim é naum controlar a banda pois eu limitei um dos profelis em 50k/100k pra teste e vejo em hotspot active tx rate 230kbps e em rx rate 62kbps pq ? quanto a segurança naum coloquei chave criptografia , naum sei si o hotspot precissa... Muito grato a todos.
    Última edição por wsdanado; 16-04-2009 às 22:40.

  6. #24

    Padrão

    Tá todo mundo ocupado !!!!!!!!! nas horas q mais precisamos blz!!!!