+ Responder ao Tópico



  1. Por esse motivo falei que tem que usar varias ferramentas, uma so nao dara seguranca.

    com o uso de switch e radios com vlan, basicamente elimina esse problema de compartilhamento e sniffer.
    porem, um tecnico que faz a manutencao desse cliente pode conseguir o IPxMAC do cliente.
    mas ainda precisara do LOGINxSENHA.
    com o uso de SSL com o hotspot, dificulta o atacante de obter o login e senha atraves da rede.
    mas nada impede que o cliente forneça a senha tbm.
    Com a junção do LOGINxSENHA ao IPxMAC forçamos o uso daquele LOGINxSENHA somente com aquele IPxMAC.

    ai entra o shared user 1, somente um usuario podera se conectar com aquele LOGINxSENHA... dessa forma, caso o cliente forneça todos os dados, somente 1 podera se conectar de cada vez.

    e para fechar com chave de ouro, a senha de conexao (WPA) e a senha de acesso ao setup do radio cliente (essas senhas devem ser conhecidas somente pela empresa), pois ai dificultamos que alguma pessoa nao autorizada acesse a rede, mesmo que tenha os dados de LOGINxSENHA, IPxMAC.
    Citação Postado originalmente por osmano807 Ver Post
    Faz sentido, era pseudo vlan o switch que eu tava brincando.
    Bem, humm. De todo modo, ainda há um ponto crítico na rede, o servidor, se tudo vai passar por ele, deve ter como derrubar.
    É isso, tem que pensar na rede inteira, internet grátis é a ponta do iceberg...

  2. é.. o lance é dificultar o picareta



  3. Acompanhando para tentar deixar mais segura minha rede.

  4. Citação Postado originalmente por nonoque Ver Post
    é.. o lance é dificultar o picareta
    exatamente.

    e acho que eu vou complicar um pouco mais ainda.

    por enquanto, faço nat, forneço ao cliente um ip privado e fixo.
    contudo, em breve estarei enviando ip valido, como nao terei ip suficiente para atender a todo mundo com ip valido fixo, terei que forneçe-los dinamicamente.
    nesse caso, (mesmo que o cliente nao esteja autenticado) deixamos uma brecha para um atacante, na qual ele simula varias requisoes de IP... e facilmente poderia esgotar meus ips validos.

    o que pensei para resolver isso foi o seguinte.
    no hotspot tem uma a funcao nat 1:1
    sendo assim, eu irei prender o user ao mac...
    quando o usuario conectar na rede, ele recebe um ip privado classe A.
    quando o usuario fazer o login, o hotspot automaticamente fornece o ip valido (faz o nat 1:1)

    em um breve teste que realizei aqui, deu tudo certo.
    porem, realizei o teste somente com ip privado.
    conectei na rede, recebi um ip privado classe A (invalido para navegacao)
    quando efetuei o login, o hotspot fez um nat 1:1 (recebi um ip privado classe C, valido para navegacao)

    daqui a 15 dias estarei com ips suficiente para atender toda a rede, ai irei efetuar os novos testes e ver se vai funcionar com ip privado e valido.



  5. Citação Postado originalmente por mascaraapj Ver Post
    Por esse motivo falei que tem que usar varias ferramentas, uma so nao dara seguranca.

    com o uso de switch e radios com vlan, basicamente elimina esse problema de compartilhamento e sniffer.
    porem, um tecnico que faz a manutencao desse cliente pode conseguir o IPxMAC do cliente.
    mas ainda precisara do LOGINxSENHA.
    com o uso de SSL com o hotspot, dificulta o atacante de obter o login e senha atraves da rede.
    mas nada impede que o cliente forneça a senha tbm.
    Com a junção do LOGINxSENHA ao IPxMAC forçamos o uso daquele LOGINxSENHA somente com aquele IPxMAC.

    ai entra o shared user 1, somente um usuario podera se conectar com aquele LOGINxSENHA... dessa forma, caso o cliente forneça todos os dados, somente 1 podera se conectar de cada vez.

    e para fechar com chave de ouro, a senha de conexao (WPA) e a senha de acesso ao setup do radio cliente (essas senhas devem ser conhecidas somente pela empresa), pois ai dificultamos que alguma pessoa nao autorizada acesse a rede, mesmo que tenha os dados de LOGINxSENHA, IPxMAC.

    a meu ver o PPPoE ja resolveria de uma vez todos esses problemas já que ele é criptografado e por usar mascara /32 já cria uma vlan amarrada por MACxIPxLOGINxSENHA.
    e não existe broadcast no PPPoE

    e aqui a senha de todos os radios só é conhecida pela empresa e o login e senha do PPPoE tambem.






Tópicos Similares

  1. /home? quero ver quem sabe essa?
    Por LeonardoDG no fórum Servidores de Rede
    Respostas: 15
    Último Post: 15-09-2004, 15:51
  2. Ai pessoal ,quem sabe pq o Tux eh o icone do LINUX???!
    Por MAJOR no fórum Assuntos não relacionados
    Respostas: 4
    Último Post: 31-03-2004, 13:11
  3. Alguem sabe se ja existe
    Por no fórum Servidores de Rede
    Respostas: 1
    Último Post: 14-08-2003, 16:02
  4. Alterar Senha (changepassword.cgi) quem sabe?
    Por no fórum Servidores de Rede
    Respostas: 0
    Último Post: 15-07-2003, 09:58
  5. Quem sabe?
    Por no fórum Servidores de Rede
    Respostas: 0
    Último Post: 29-05-2003, 01:44

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L