VPN em clientes com Mikrotik, tem como fazer?

[sosouteiro]

Galera, estou usando, em minha rede, a autenticação por PPPoE, mas como o PPPoE é muito falho eu gostaria de implantar um sistema com autenticação por VPN. Tem muito tuto na internet ensinando como fazer VPN entre filial e matriz, mas não tem mostrando como seria a configuração para um cliente e o mikrotik. Ficaria muito grato se a galera podesse ajudar. Valeu, fiquem com Deus!!!

[fsoaress76]

se ainda precisar de ajuda... da um tok

[mktguaruja]

Amigo porque o pppoe é muito falho, eu uso aqui e nunca me deu problemas, cita um exemplo que esta ocorrendo com você, para tentarmos te ajuda.

[sosouteiro]

Amigo porque o pppoe é muito falho, eu uso aqui e nunca me deu problemas, cita um exemplo que esta ocorrendo com você, para tentarmos te ajuda.

Eu apredi a fazer a configuração. O chato é ter que criar cada certificado e importar no MK, mas no mais, ta tudo beleza.

O PPPoE é muito falho, sim! O problema mais conhecido dele é que não comprova nem o cliente e nem o servidor, ou seja, desde que se tenha a senha, pode-se conectar por qualquer micro. O outro problema, bastatante chato e mais preocupante, é o chamado "Homem no meio", usado para capturar as informações que estão trafegando na rede PPPoE, em especial. Por isso pode ser falcilmente clonado.

Ao utlizar o protocolo L2TP você comprova o cliente e o servidor, ou seja, você só loga naquele servidor, indepedente da rede ter sido "clonada", ou não. Não há como escutar as requisições que usam L2TP como protocolo. Outra questão é a do uso do certificado digital, sem ele, que é impossível de quebrar a sua criptografia com a tecnologia atual (sem que se passe o prazo de validade do certificado), não é possível autenticar o cliente, ou seja, 100% de certeza que é seu cliente que está fazendo a requisição. Outra vantagem é que pode ser usada criptografia nos pacotes, sem nenhum problema, e outra, por ser uma VPN, ninguém conseguirá ler o que se passa entre o seu cliente e o servidor, por mais que capture os pacotes, pois estarão criptografados com IPSec e 3DES... Infalível!

[mktguaruja]

Bela explicação nota 10, muito obrigado mesmo. Teria como você da uma explicação de como configurar essa parte de certificados no mk ?

E como evitar os clones " homem no meio " que você citou, tem como explica a conf no mk ?

obrigado

Eu apredi a fazer a configuração. O chato é ter que criar cada certificado e importar no MK, mas no mais, ta tudo beleza.

O PPPoE é muito falho, sim! O problema mais conhecido dele é que não comprova nem o cliente e nem o servidor, ou seja, desde que se tenha a senha, pode-se conectar por qualquer micro. O outro problema, bastatante chato e mais preocupante, é o chamado "Homem no meio", usado para capturar as informações que estão trafegando na rede PPPoE, em especial. Por isso pode ser falcilmente clonado.

Ao utlizar o protocolo L2TP você comprova o cliente e o servidor, ou seja, você só loga naquele servidor, indepedente da rede ter sido "clonada", ou não. Não há como escutar as requisições que usam L2TP como protocolo. Outra questão é a do uso do certificado digital, sem ele, que é impossível de quebrar a sua criptografia com a tecnologia atual (sem que se passe o prazo de validade do certificado), não é possível autenticar o cliente, ou seja, 100% de certeza que é seu cliente que está fazendo a requisição. Outra vantagem é que pode ser usada criptografia nos pacotes, sem nenhum problema, e outra, por ser uma VPN, ninguém conseguirá ler o que se passa entre o seu cliente e o servidor, por mais que capture os pacotes, pois estarão criptografados com IPSec e 3DES... Infalível!

[sosouteiro]

Bela explicação nota 10, muito obrigado mesmo. Teria como você da uma explicação de como configurar essa parte de certificados no mk ?

E como evitar os clones " homem no meio " que você citou, tem como explica a conf no mk ?

obrigado

Você tem que criar uma entidade certificadora para poder gerar os certificados dos clientes ou apenas o certificado que será utilizado por toda a rede (todos os clientes). Eu estou usando o Debian Lenny, ele está fazendo cache full com o Squid e Thunder 3 e ao mesmo tempo é minha entidade certificadora. Depois de criado o certificado você importa os certificados no Mikrotik. Ao criar as contas para os clientes, no Mikrotik, você irá determinar qual IP dentro da sua rede (se mudar o IP não autentica, nem tente. Outra vantagem.) e certificado ele irá utilizar para autenticar na sua rede. É bem simples e é a forma mais segura que existe, hoje, para autenticar clientes e garantir que as informações da sua rede não serão roubadas e lidas.

Ao se utilizar uma VPN cria-se um tunelamento virtual entre o servidor e o clientes. Como todos sabem uma VPN é criptografada utilizando um algoritmo RSA, com 512 bits de critpgrafia, no mínimo, podendo ser usadas chaves simétricas ou assimétricas entre o cliente e o servidor. Não falha! Dê adeus a espertinhos de plantão.

Muita gente passa horas e horas sem o que fazer, como a rede do seu provedor não irá sair de lá por muito tempo, ou a rede do seu cliente, passam a coletar material de como fazer clones, navegar de graça e talz... Não subestime, nunca, quem está fora da sua rede, material é o que não falta ensinando como blurlar sistemas de segurança.

Falou! Qualquer coisa, posta ai.

[Alrino]

Amigo, Gostaria de seu dados de contato tipo, msn, skype, telefones etc, tenho interesse nesse sistema anti-clone