Mikrotik + PPPoE + radius - com criptografia ou não?

[tskstar]

Boa noite a todos,

Estou na seguinte situacao,possuo um sistema de autenticacao no momento utilizando o mikrotik conforme a maioria,e tais metodos para autenticacao de seguranca: Access-List,PPPoE,RADIUS e Criptografia na rede WPA(1).Bem andei vendo tem muitas pessoas que utilizam a rede sem qualquer criptografia.Isso seria o suficiente para seguranca utilizando somente a Access-List como Barreira + PPPoE sem criptografia com autenticacao via RADIUS ? Qual seria a melhor opcao,continuar do jeito que estou ou alterar todos para Sem criptografia mesmo?

Estive pensando tambem na opcao de estar utilizando sem criptografia na rede porem com o PPPoE com Criptografia (MPPE128) + Radius.

Porem qual eh a vantagem de eu utilizar uma rede sem criptografia hoje em dia ? Isso iria melhor a perfomance em uma rede com cerca de 200clientes ou naos maquinas atuais isto nao influencia mais? Teria mais problemas com relacao a sniffers e etc?
Gostaria de sincera opiniao de todos que puderem estar contribuindo.Como voces utilizam ai no sistema de voces para quem tem a topologia identica ou parecida com a minha ?

Segue abaixo

Central ->Mikrotik X86 para FW,Load Balance e etc,Squid Full Cache,Servidor Radius e IPD.
Nas torres -> RB600a com 4 cartoes

Obrigado a todos,

[agpnet]

Habilita o use encryption no profile pppoe e seus clientes passarão a utilizar MPPE128 statefull (WinXP/Vista), nenhuma configuração no cliente será necessária se você utilizar o discador do proprio sistema.

[tskstar]

Olá agpnet,obrigado pela resposta.

Mas no meu caso eu utilizo access point discando via pppoe. AP Router 7.3 e RTL8186 padrão.

Mas minha dúvida é,qual a diferença de eu utilizar criptografia na redE (WEP,WPA,etc) e não utilizar,isso iria infuenciar no desempenho da rede em relação a velocidades e rapidez da rede em si ?

Ativando o algoritmo MPPE128 eu não teria uma sobrecarga no sistema nem nada com muitos usuarios ativos ?

Obrigado a todos!

[sergio]

Se usar criptografia WPA2 não existe nenhuma relação com desempenho - CPU-, a não ser no momento da troca da chave inicial da conexão wireless (quando por um motivo qualquer, desabilita a interface wireless AP e "derruba" todos os clientes conectados e os mesmos voltam-se a conectar, todos ao mesmo tempo - PMK).

Após a troca de chaves não existe problema nenhum relacionado a troca de dados (tráfego).

Nos firmwares baseado em GNU/Linux, instalados nos APs em modo cliente, normalmente não terá suporte a MPPE. Este método de criptografia sim, aumenta o consumo de recursos de processamento.

[tskstar]

Se usar criptografia WPA2 não existe nenhuma relação com desempenho - CPU-, a não ser no momento da troca da chave inicial da conexão wireless (quando por um motivo qualquer, desabilita a interface wireless AP e "derruba" todos os clientes conectados e os mesmos voltam-se a conectar, todos ao mesmo tempo - PMK).

Após a troca de chaves não existe problema nenhum relacionado a troca de dados (tráfego).

Nos firmwares baseado em GNU/Linux, instalados nos APs em modo cliente, normalmente não terá suporte a MPPE. Este método de criptografia sim, aumenta o consumo de recursos de processamento.

Hmm entendi...muito obrigado.

Mas entao o ideal seria eu manter assim por questoes de seguranca sobre os dados passaram por ai ou poderia somente utilizar access-list + pppoe por questoes de facilidades mais nada...mas fico com receio na seguranca...

Oque seria ideal?

Obrigado mais uma vez

[agpnet]

Se usar criptografia WPA2 não existe nenhuma relação com desempenho - CPU-, a não ser no momento da troca da chave inicial da conexão wireless (quando por um motivo qualquer, desabilita a interface wireless AP e "derruba" todos os clientes conectados e os mesmos voltam-se a conectar, todos ao mesmo tempo - PMK).

Após a troca de chaves não existe problema nenhum relacionado a troca de dados (tráfego).

Nos firmwares baseado em GNU/Linux, instalados nos APs em modo cliente, normalmente não terá suporte a MPPE. Este método de criptografia sim, aumenta o consumo de recursos de processamento.

sergio, o WPA2 usa algum algorítmo "on-fly" com chip dedicado no próprio cartão, pois acredito que se não há uma carga maior de cpu, alguém tem que fazer o trabalho, certo ?

Se for, existe alguma diferença de cartão para cartão quanto ao desempenho? Percebi que quando com criptografia ativada, clientes com sinal mais fraco perdem alguns pacotes aleatoriamente.

Obrigado!

[sergio]

sergio, o WPA2 usa algum algorítmo "on-fly" com chip dedicado no próprio cartão, pois acredito que se não há uma carga maior de cpu, alguém tem que fazer o trabalho, certo ?

Sim, usa. O algoritmo é embarcado no cartão.

Se for, existe alguma diferença de cartão para cartão quanto ao desempenho? Percebi que quando com criptografia ativada, clientes com sinal mais fraco perdem alguns pacotes aleatoriamente.

Obrigado!

Isto porque alguns fabricantes montam seus adaptadores com componentes genéricos e a baixíssimo custo que levam a uma deterioração na performance dos mesmos.

Note que se usar bons adaptadores tanto no lado AP como no lado cliente estes problemas não ocorrem. Outro problema são os drivers dos sistemas operacionais, que mesmo não sendo os responsáveis pelo processo da criptografia em si, influenciam na troca de dados entre o mesmos e o firmware (eprom) do adaptador.

[tskstar]

Bem,então vendo pelo ponto de vista que o desempenho pode se deteriorar utilizando WPA2 por questões de componente utilizados na montagem dos mesmos,poderia estar utilizando Sem criptografia alguma,somente o Tunel PPPoE? Isso me daria mais estabilidade/desempenho ou teria ainda sim problemas com relação a invasão ou captura de pacotes por sniffers?

[sergio]

Mas é só trabalhar com equipamentos que tenham um minimo de qualidade... simples.

PPPoE criará um túnel, nada mais, o resto continua como tráfego comum, camada 3, no barramento físico chamado ar.

[tskstar]

Mas é só trabalhar com equipamentos que tenham um minimo de qualidade... simples.

PPPoE criará um túnel, nada mais, o resto continua como tráfego comum, camada 3, no barramento físico chamado ar.

Entao sergio,digamos que muitos por ai que trabalham sem criptografia sem nada,seria por questoes de provavelmente estarem utilizando plaquinhas realtek da vida nos kits clientes ? Pois vou lhe dar um exemplo,tenho exemplo aqui proximo de provedores que utilizam em uma distancia de 4km plaquinhas PCI Realtek ou Ralink + Antena de 25 Com cabo Coaxial,o branco se eu nao me engano,aqueles de 75ohms.

Bem isso seria um motivo para eles nao colocarem criptografia?Para nao causar lentidao execessiva em seus clientes ?

[sergio]

Com uma rede dessas a qualidade deve ser algo impensável pelos que proveem a mesma. Falar em segurança em um lixo desses seria algo sem sentido.

Mas, normalmente quem não usa criptografia, independente da rede (muitas redes de qualidade, bons equipamentos não implementam criptografia), é por desconhecimento, preguiça, acreditar em lendas ou simplesmente porque acha muito "complexo" a configuração no cliente. Muitos acreditam que usar pppoe ou hotspot, estão usando o supra sumo da segurança.

Desta forma sugiro você pesquisar, aqui no Under Linux mesmo, que encontrará vários posts a respeito do assunto, inclusive alguns que participo.

[tskstar]

Com uma rede dessas a qualidade deve ser algo impensável pelos que proveem a mesma. Falar em segurança em um lixo desses seria algo sem sentido.

Mas, normalmente quem não usa criptografia, independente da rede (muitas redes de qualidade, bons equipamentos não implementam criptografia), é por desconhecimento, preguiça, acreditar em lendas ou simplesmente porque acha muito "complexo" a configuração no cliente. Muitos acreditam que usar pppoe ou hotspot, estão usando o supra sumo da segurança.

Desta forma sugiro você pesquisar, aqui no Under Linux mesmo, que encontrará vários posts a respeito do assunto, inclusive alguns que participo.

Tem razão...então bom saber que estou no caminho certo.

Uma dúvida aproveitando seu conhecimento Sérgio,você saberia me dizer se é possível fazer balanceamento usando NTH com os clientes conectando via pppoe ? Pois tentei mas até agora não caiu a ficha de como eu iria colocar a INTERFACE-IN ? Afinal não tem como selecionar um todo,a não ser um cliente por cliente....como poderia abrangir toda a interface ? Teria como ?

Obrigado Sérgio!