Segurança WISP recomendação

[celsoxvi]

Bem, eu realmente tenho uma base com um 2610 Senao AP e bem, só que eu tenho a filtragem MAC, mas agora eu percebo que ele está vulnerável, pois pode ser clonado, você recomendaria para mim, agora eu tenho 20 clientes e, recentemente, eu estou começando como eu disse um servidor RADIUS todabia não. bem, espero a sua opinião.

[leocidrack]

tente usar wpa2. explique melhor a sua situação que assim ta meio dificil mas inicialmente é usar wpa2

[Luspmais]

Sem dúvida WPA2, aqui uso MK nas repetidoras e tbm comecei usando apenas controle de MAC X IP . Mas com MK fica tudo mais facil, criei um AP VIRTUAL em cada cartão e fui migrando os clientes até que pude criptografar minha rede toda sem dores de cabeça..(ainda falta uns poucos pra migrar)..... Use WPA2 com uma chave acima de 30 caracteres (aqui uso de 32) e durma tranquilo....abrass

[cytron]

Uns dias atrás fui refazer uma rede de um condomínio, lá estava funcionando com wpa2, infelizmente um cliente do condomínio resolveu pegar a chave e distribuir entre um monte de gente, inclusive fora do condomínio. Qualquer um com conhecimento razoável pode pegar a chave wpa2 q fica no próprio PC ou AP.

Acredito que a solućão "simples" para pequenos e grandes casos é PPPoE, seja usando RADIUS ou não. O cliente vai ter usuário e senha, isso ele pode compartilhar com quem quiser, pois o acesso só permitirá uma conexão.

Outra alternativa é aquele 802.1x, mas nunca usei e nem sei como se faz.

[Luspmais]

Uns dias atrás fui refazer uma rede de um condomínio, lá estava funcionando com wpa2, infelizmente um cliente do condomínio resolveu pegar a chave e distribuir entre um monte de gente, inclusive fora do condomínio. Qualquer um com conhecimento razoável pode pegar a chave wpa2 q fica no próprio PC ou AP.

Acredito que a solućão "simples" para pequenos e grandes casos é PPPoE, seja usando RADIUS ou não. O cliente vai ter usuário e senha, isso ele pode compartilhar com quem quiser, pois o acesso só permitirá uma conexão.

Outra alternativa é aquele 802.1x, mas nunca usei e nem sei como se faz.

Mas se o que não pode é deixar cliente ter acesso a radios, aqui sempre levamos os radios configurados pra instalação se possivel, qdo não temos certeza de qual torre conectar configuramos no local mas com o notebook da empresa nada de fazer isso no pc do cliente, os radios ficam travados com senha só nós acessamos, depois é so colocar o cabo de rede no pc do cliente e pronto. (ahh... e tiro, risco o MAC do fundo do radio que fica encima da laje/forro)
No caso das placas aí não tem jeito infelizmente......

[cytron]

Mas se o que não pode é deixar cliente ter acesso a radios, aqui sempre levamos os radios configurados pra instalação se possivel, qdo não temos certeza de qual torre conectar configuramos no local mas com o notebook da empresa nada de fazer isso no pc do cliente, os radios ficam travados com senha só nós acessamos, depois é so colocar o cabo de rede no pc do cliente e pronto. (ahh... e tiro, risco o MAC do fundo do radio que fica encima da laje/forro)
No caso das placas aí não tem jeito infelizmente......

Infelizmente essa tática de não deixar o cliente ter acesso ao rádio trás dois problemas:

Problema 1: Clientes extra-chatos, são poucos mas existem, alegam o seguinte: "Se comprei o equipamento então vocês não podem me impedir de acessá-lo!" -- Sei! Parece loucura, parece piada, mas acontece. Meu cliente (provedor) quase foi processado por causa disso. Sorte que os advogados entraram em acordo. O caso foi isolado, somente um cliente, mas suficiente pra dar muita dor de cabeća.

Problema 2: Para equipamento comprado, alugado ou emprestado, sumir com o mac na carcaća não resolve, até mesmo o arp do windows pode mostrar o mac do rádio. Muitos provedores esquecem ativado o ssh do rádio e pior, não mudam a senha do root. O usuário metido a esperto entra no rádio e pega a senha do admin (web) e se procurar um pouco mais pega até a chave (wep/wap...).

Ou basta usar um programa para rastrear a chave, dar um reset no rádio e configurar tudo novamente. E aproveitar pra ficar configurando um monte de wireless para os amigos hehehe.

De qualquer forma é como o pessoal na net costuma dizer: Não existe seguranća nessa seguranća de wireless.

mac+ip e tudo mais... para quem tem conhecimento avanćado é simples burlar, quem não tem... pega na net.

Mas PPPoE... só se o espertinho entrar no servidor do provedor.
Semelhante a net via cabo, aqueles modems estranhos com senha fácil, tipo da motorola (admin/motorola), os provedores a cabo não dão a mínima para a seguranća do modem, o cliente pode entrar a vontade, pois não tem nada para ser feito lá, o modem atualiza o controle de banda a cada "instante". O melhor que se pode fazer é mudar o mac do PC para não precisar ligar na operadora solicitando alteraćão, e se quiser colocar um roteador para formar uma lan, mas isso não é tirar proveito do provedor.

Já tive a chance de conhecer umas instalaćões de internet wireless da Embratel e Oi, não estão utilizando wap2, mas em equipamentos simples usam PPPoE e para equipamentos robustos usam uns protocolos sinistros que ví em roteadores CISCO e Parks. Perguintei ao engenheiro-técnico que estava acompanhando a instalaćão do meu link o que ele tinha a dizer sobre seguranća wireless e ele disse: "Depende do tipo de seguranća que você está falando" (e deu um sorrizinho sarcastico).

(como podem ver, meu c-cedilha ć está meio agudo no momento, foi presentinho de uma atualizaćão que fiz aqui kkk, mas assim que tiver tempo resolvo)

[Luspmais]

Cytron, respeito sua opinião, PPPOE protege "seu Provedor". Mas o cliente tem quem ficar protegido tbm.....como existe espertinhos pra bular segurança existe tbm aqueles que capturam dados e pacotes (exemplo numero cartão de crédito, senhas, numeros de Doc. cpf rg e dados pessoais). WPA2 é o mais seguro qdo estamos falando de proteção de Dados trafegados e que ainda não houvi falar que quebraram com programinhas....
Então fica aí dica para o nosso colega..... Use PPPOE para controle de acesso e criptografe a rede com WPA2. Abrass a todos e bom fds....

[cytron]

É isso mesmo, mas uma boa opção é o túnel PPPoE critografado, não são muitas as opções mas são seguras o suficiente.