+ Responder ao Tópico



  1. #61

    Padrão

    Citação Postado originalmente por standart Ver Post
    Edielson, muito bom trabalho, inclusive assisti sua palestra, achei fantastica a ideia. Mas so depois me veio uma duvida, como eu faria com meus clientes que possuem servidores linux como gerenciadores de internet e na maioria sem modo gráfico.

    Abracos

    No linux voce poder configura um discador l2tp+ ipsec sem problema algum, tanto em desktop quanto em modo console.

  2. #62

    Padrão

    Edielson e o cara, eu estava la na apresentacao dele e quando ele comecou a falar muitos levantaram e foram embora, q pena pois foi a ultima e a mlhor apresentacao no so do dia no MUM mas foi a melhor aprentacao do MUM 2009.

    Parebens Edielson!



  3. #63

    Padrão

    vi o pdf e achei a ideia interessante mais uma duvida crio o certificado e coloco no mikrotik, e como crio os dos clientes e instalo neles, e quando o cliente for um ap em modo cliente, pelo que vi no pdf tb todos usuario seriam feita aconexão via vpn com ipsec e certificado.

  4. #64
    Moderador Avatar de minelli
    Ingresso
    Aug 2006
    Localização
    Pres. Venceslau - SP | Pres. Prudente - SP
    Posts
    1.408
    Posts de Blog
    10

    Padrão Sistema Anti-Clone

    Prezado colega, primeiro quero parabeniza-lo por sua palestra.
    Mas gostaria de lembrar a todos que simplesmente pelo protocolo o cliente já tem 10% da banda perdida, se utilizarem a solução apresentada o cliente terá + ou - 20% da banda afetada.
    Não vou entrar em detalhes de como funciona a coisa conceito de protocolo e tal, mas gostaria de lembrar a todos que a idéia é ótima e merece o reconhecimento de todos, porém cautela no uso.
    Lembrando tb que se pode aplicar isso a inúmeras coisas.



  5. #65

    Padrão

    vi o pessoal falando aqui sobre o hotspot nao ser totalmente seguro...
    me digam.
    se deixarmos a interface com arp REPLY-ONLY, logo, manter uma tabela arp
    ativar o dhcp somente para os cadastrados
    ativar hotspot+ssl(usuario+senha+ip+mac)

    sei que ainda seria inseguro...
    mas, dessa forma nao ameniza a inseguranca?
    tendo em vista q se clonarem ipXmac, terao problema com ip duplicado
    se esperarem o cliente desconectar, nao conseguirao mais conectar, tendo em vista que precisaram de usuario e senha.
    ou sera q estou enganado

    Citação Postado originalmente por minelli Ver Post
    Prezado colega, primeiro quero parabeniza-lo por sua palestra.
    Mas gostaria de lembrar a todos que simplesmente pelo protocolo o cliente já tem 10% da banda perdida, se utilizarem a solução apresentada o cliente terá + ou - 20% da banda afetada.
    Não vou entrar em detalhes de como funciona a coisa conceito de protocolo e tal, mas gostaria de lembrar a todos que a idéia é ótima e merece o reconhecimento de todos, porém cautela no uso.
    Lembrando tb que se pode aplicar isso a inúmeras coisas.
    mas essa perca de banda é somente entre cliente e servidor
    do servidor para a internet, ja nao tem a perca de banda..
    em resumo:
    cliente 300 k - > chega ao servidor com 280k - > sai para a internet com 280k

  6. #66

    Padrão

    Citação Postado originalmente por minelli Ver Post
    Prezado colega, primeiro quero parabeniza-lo por sua palestra.
    Mas gostaria de lembrar a todos que simplesmente pelo protocolo o cliente já tem 10% da banda perdida, se utilizarem a solução apresentada o cliente terá + ou - 20% da banda afetada.
    Não vou entrar em detalhes de como funciona a coisa conceito de protocolo e tal, mas gostaria de lembrar a todos que a idéia é ótima e merece o reconhecimento de todos, porém cautela no uso.
    Lembrando tb que se pode aplicar isso a inúmeras coisas.

    esta lance de perder 20% de banda, tem um porem, vai depender do hardware ou Routerboard que voce pode esta usando como servidor e a ate mesmo como AP, tem gente que quer compra RB133 para fazer AP ai nao tem geito . a qualidade de sua rede wireless tambem conta muito , pois no teste que ja esta em produção em alguns provedores a banda contratada chegar em seu 100% , agora é logico se sua rede wireless estiver ruim, ping e outras coisas , se voce usar qualquer altenticação que use tunnel Ex. PPPoE PPTP L2TP e etc.. voce não terar um bom desempenho na navegação no lado do cliente...

    desde já quero agradecer o apoio de todos...



  7. #67

    Padrão

    Citação Postado originalmente por mascaraapj Ver Post
    vi o pessoal falando aqui sobre o hotspot nao ser totalmente seguro...
    me digam.
    se deixarmos a interface com arp REPLY-ONLY, logo, manter uma tabela arp
    ativar o dhcp somente para os cadastrados
    ativar hotspot+ssl(usuario+senha+ip+mac)

    sei que ainda seria inseguro...
    mas, dessa forma nao ameniza a inseguranca?
    tendo em vista q se clonarem ipXmac, terao problema com ip duplicado
    se esperarem o cliente desconectar, nao conseguirao mais conectar, tendo em vista que precisaram de usuario e senha.
    ou sera q estou enganado


    mas essa perca de banda é somente entre cliente e servidor
    do servidor para a internet, ja nao tem a perca de banda..
    em resumo:
    cliente 300 k - > chega ao servidor com 280k - > sai para a internet com 280k
    Será que funciona, tentei amarrar ip mas mesmo assim não funcionou, agora esse lance ai do arp ainda não testei.

  8. #68

    Padrão

    Citação Postado originalmente por gulinhaster Ver Post
    Será que funciona, tentei amarrar ip mas mesmo assim não funcionou, agora esse lance ai do arp ainda não testei.
    Ja trabalho com servidores linux a algum tempo, mas, Eu ainda sou iniciante no mikrotik... entao, nao sou a melhor pessoa para falar se alguma funcao/regra no mirkotik sera segura.

    Mas, em uma breve analise aqui
    coloquei uma pequena rede de testes (7pc) para rodar, seguranca restritiva para IPxMAC, amarrado na tabela arp, dhcp somente para cadastrados, etc e tal.
    Logo apos, adicionei o hotspot, e para completar, configurei cada usuario do hotspot com o seu respectivo ip e mac...
    Tentei navegar com clone de mac/ip nao deu certo, dava erro.
    Tentei passar um sniffer na rede, sem sucesso

    consegui implementar algumas coisas no mikrotik seguindo alguns tutoriais e completando com a experiencia q tenho em redes e linux... mas como disse: sou iniciante no mikrotik, entao, algumas coisas ainda nao sei a fundo como funciona..



  9. #69

    Padrão

    Citação Postado originalmente por mascaraapj Ver Post
    Ja trabalho com servidores linux a algum tempo, mas, Eu ainda sou iniciante no mikrotik... entao, nao sou a melhor pessoa para falar se alguma funcao/regra no mirkotik sera segura.

    Mas, em uma breve analise aqui
    coloquei uma pequena rede de testes (7pc) para rodar, seguranca restritiva para IPxMAC, amarrado na tabela arp, dhcp somente para cadastrados, etc e tal.
    Logo apos, adicionei o hotspot, e para completar, configurei cada usuario do hotspot com o seu respectivo ip e mac...
    Tentei navegar com clone de mac/ip nao deu certo, dava erro.
    Tentei passar um sniffer na rede, sem sucesso

    consegui implementar algumas coisas no mikrotik seguindo alguns tutoriais e completando com a experiencia q tenho em redes e linux... mas como disse: sou iniciante no mikrotik, entao, algumas coisas ainda nao sei a fundo como funciona..
    Como vc amarrou no arp?

  10. #70

    Padrão

    Interface=reply-only
    add ip e mac na arp list.
    Pronto, está amarrado.



  11. #71

    Padrão

    edielson eu criando o certificado e usando ele pra classe toda em peer no ipsec, quando esse certificado vencer eu precisarei criar um novo certo e precisarei tb ir em todos os clientes, vc pode disponibilizar o programa pra instalação do certificado em maqunas windows.

  12. #72

    Padrão

    Citação Postado originalmente por apnet Ver Post
    edielson eu criando o certificado e usando ele pra classe toda em peer no ipsec, quando esse certificado vencer eu precisarei criar um novo certo e precisarei tb ir em todos os clientes, vc pode disponibilizar o programa pra instalação do certificado em maqunas windows.

    entao dentro do linux ou windows 2003 server onde voce vai criar os a entidade certificadora e os certificados para os cliente poder criar eles com validade de 1 até 5 anos

    e quanto vencer o certificador voce terá q instalar outro certificado, mais como eu espliquei la no MUM nunca vi um usuario windows ficar sem formata sua maquina pelo menos 2 vezes no ano pois os virus nao deixa kkkkkkkkkkkkk.

    mais assim eu aconcelho voce criar 1 certificador para cada cliente assim vc terar uma melhor qualidade na administração de sua rede.

    em entao de instalar o certificador o windows faz isnto nao precisa de programa não o programa e so para facilida minha vida.



  13. #73

    Padrão

    a unidade certificadora ela tb tem prazo, tipo eu crio a unidade certificadora e depois crios os certificados certo, sei que os certificados toda vez que o cliente formatar o micro eu preciso criar um novo no linux ou no windows pra instalar no micro dele certo, seria assim o funcionamento, enquatoo ao programa pra facilitar a instalação no cliente no certificado vc tem ou sabe onde posso baixar.

  14. #74

    Padrão Guardadinho

    Bom no meu caso utilizo hotspot com SSL para cada cliente, o que eu faço é dar um cd para o cliente com o certificado dele, e claro fica com migo também.

    Se formatar a máquina coloca o cdzinho e da dois cliques em cima do certificado, quando o mesmo esta com a extenção .crt.

    Mas se quer segurança no hotspot vai trabalhar com WPA2 EAP-TLS, rss acabo.

    Obs. Nunca testei com outras extenções, por exemplo .pem

    Abraços

    Bruno Queiroz
    Última edição por caicarabruno; 18-12-2009 às 14:15.



  15. #75

    Padrão

    alguem ja testou l2tp+ ipsec na versao 2.x ?
    percebi que na 2.9.61 ipsec nao tem a opção de colocar o certificado ou se tem esta em outro lugar ?

  16. #76

    Padrão

    Citação Postado originalmente por 14735 Ver Post
    alguem ja testou l2tp+ ipsec na versao 2.x ?
    percebi que na 2.9.61 ipsec nao tem a opção de colocar o certificado ou se tem esta em outro lugar ?
    se voce quer trabalhar com ipsec tem que usar a versao 3.x ou 4.x pois na versao 2.9.x nao funcionar o ipsec direto



  17. #77

    Padrão

    eu mesmo instalo o certificado nos clientes mas na hora de escolher a pasta de instalação que a segunda da lista "autoridades de certificação raiz confiaveis" se colocar nesta pasta ele não gera mais o erro, mas acho que todos ja sabem disso né?

  18. #78

    Padrão

    Dessa eu não sabia!!! Se puder, passe mais alguns detalhes para nós.

    Vlww



  19. #79

    Padrão

    Citação Postado originalmente por edielsonps Ver Post

    mais se os amigos quizerem dentro do linux voces mesmo podem criar certificado de 1024 ou 2048 bits gratis

    voces podem cria um entidade certificadora local ai é so criar os certificados para cada host dentro da sua entidade local e instalar no cliente windows que ou cliente linux que navegador do seu cliente vai reconhecer como certificado como valido valido
    Caro Amigo Edielson,

    Achei magistral sua palestra referente a L2TP/IPsec e certificação digital, parabéns mesmo.

    Só que fiquei com algumas duvidas.

    1) Pelo que entendi a L2TP/IPsec é mais seguro que Hotspot e PPPoE, porém não teria como eu utilizar minhas paginas personalizadas (login, sessão de downloads, etc). Ou eu utilizo Hotspot ou PPPoe ou L2TP/IPsec, o meu entendimento está correto?

    2) Optando por manter meu Hotspot (WPA2 AES+(amarração de IP+MAC+Login+Senha) + apenas um login por mac) e acrescentando a certificação digital, ainda assim minha rede ficaria vulneravel?

    3) Em relação ao Radius haveria a necessidade de usa-lo, uma vez que estaria utilizando a certificação digital?

    4) Não entendi muito bem sobre o WPA2 - AES "TLS"????

    4) Não tenho nem ideia de como criar uma Entidade certificadora e consequentemente criar um certificado digital no linux ou em qualquer outro lugar. Vc menciona que pode-se criar no linux, vc teria algum tutorial explicando passo a passo como criar? me ajude......

    A navegação gratuita em meu provedor é o que menos me preocupa, minha maior preocupação é a invasão ao sistema, ou seja concorrentes ou "hackers" invadindo pra efetuar captura de senhas de bancos (como fizeram com a minha), com o proposito de desconfigurar meu provedor, etc.... esta é a minha maior preocupação hoje. O problema com os "espertinhos" que querem navegar de graça eu resolvo depois, até mesmo porque quando resolver o problema de segurança acredito que resolvera este também.


    Aguardo ancioso os seus comentarios.
    Última edição por ElizeuHenry; 17-01-2010 às 09:26.

  20. #80

    Padrão

    olá amigo primeiro L2tp não tem nada aver com hotspot ou pppoe , l2tp e uma vpn que quanto usando l2tp+ipsec conseguimos feixar um vpn vamos dizer quer super segura, entao dessa forma voce pode usar em seu provedor l2tp+ipsec e tambem certificador digital junto com ipsec para tornar ainda muito mais seguro e impossivel de ter clone na sua rede.