Perfil do meu Provedor! Oque preciso melhorar?

[PauloMassa]

Pessoal, lendo alguns tópicos sobre os perfis de alguns provedores começei a me questionar se a minha estrutura estava de acordo para se extrair bons frutos:

Pois bem, desenharei aqui o perfil do meu provedor e TODA a ajuda é benvinda...

Meu provedor hoje conta com 250 clientes.

Data Center:
- Servidor:
--MB Intel DHTC
--8GB RAM DDR3
--1TB HD
--FreeBSD + Squid + Proxy + thunder (youtube) (fazendo NAT)
-- (Todos os links entrando nesse servidor)

- RB 1100 Mikrotik:
--Autenticação HOTSPOT com User+senha nos clientes
--Autenticação IPxMAC clientes corporativos

-Switch 3COM 16portas 10/100 na saída da RB para as torres.

LINKS:
- 1 Dedicado 4mb
- 4 Adsl's de 2mb cada.

Nas torres:
-Enlaces PTP para repetidoras todas com NanoBridge M5 e Rocket M5+Basestation16dbi 120º
-Bullet2 100mW acoplado em OMNI Aquário
-RB 433 com cartões R52H e setoriais Hyperlink
--Torres todas em BRIDGE, NAT feito no rádio do cliente exceto nos casos do equip. do cliente ser plaquinha ou usb.
--Torres sem criptografia, limpa, aberta ( optei por deixar livre pois ganho clientes que se conectam no provedor e se cadastram através do meu HotSPOT **Cadastre-se )

Nos Clientes:
-Residencial: CPE OIW / Aquario GridStation 20e25dbi / Nanostation2 / NanoLoco2 / Grade+usb (alguns que ainda não consegui trocar)
-Corporativo: NanoBridge M5

Planos ofertados:
-Residencial:
--Corujão ( 300Kbps das 22:00hs às 06:00hs )
--128Kbps
--300Kbps
--500Kbps
-Corporativos:
--1Mega
--2Mega

PS: Nos planos residenciais de 300K e 500K o cliente que paga a fatura em dia tem velocidade dobrada das 00:00hs ás 06:00hs.

Atendo à duas cidades vendendo os mesmos planos.
Não trabalhei ainda mídia impressa, carro de som ou OutDoor.

Galera, o intuito desse tópico é nós trocarmos experiências para fortalecer ainda mais nosso ganha-pão...

Contem suas experiências também, opinem oque posso melhorar.

[teletanbs]

boa bela estrutura!! vou começar a opinar:

1º comece a colocar uma criptografia nas suas antenas (evita de está impidurado pesssoas que não são clientes)
2º hotpost, é uma boa mais mude para outro tipo de autenticação feito ppoe ou DHCP statico
3º vc deve ter um belo LOAD com seus link, explique mais como são esses links
4º o sitema que vc usa é bom mais que tal separar cada coisa, tipo autenticação de cache etc...

[PauloMassa]

boa bela estrutura!! vou começar a opinar:

1º comece a colocar uma criptografia nas suas antenas (evita de está impidurado pesssoas que não são clientes)
2º hotpost, é uma boa mais mude para outro tipo de autenticação feito ppoe ou DHCP statico
3º vc deve ter um belo LOAD com seus link, explique mais como são esses links
4º o sitema que vc usa é bom mais que tal separar cada coisa, tipo autenticação de cache etc...

Olà Teletanbs,
entao rapaz, vamos lá:
1º - R: aqui todos conhecem minha rede e geralmente quem se pendura nela pra tentar navegar desiste pois tem que ter Login amarrado ao ipxmac do leases do dhcp e acabam se cadastrando e assinando...No caso ainda não tenho problemas com não-clientes pendurados...Quando um pendura já logo vê que só abre LOGIN e MINHA HOME-PAGE que Ou se cadastra Ou não navega.
2º - R: Sobre a autenticação hotspot conforme dito acima optei por ela pelo motivo descrito, sobre o dhcp estático hoje já é assim, o cliente se cadastra e automaticamente já é amarrado no cadastro dele o ip que ele pegou do DHCP junto com seu MAC, ou seja, bateu, grudou e sempre será aquele....O login do fulano só autentica com o IP 10.1.0.XXX e o MAC 00:00:00:00:00:XX entende?
3º - R: Pois bem, na verdade não é um LOAD propriamente dito e sim uma Redistribuição de ROTAS, funciona mais ou menos assim:
LINK DEDICADO ---> Abre Navegação, bancos, conectividade, downloads de windows update, etc.
LINK ADSL1 ----> Abre JPEG, GIF, PNG, TIF, RAW,
LINK ADSL2 ----> Abre Videos YouTube, Globo Videos, RedTube
LINK ADSL3 ----> Abre P2P e tudo quanto é lixo da internet... (hehehe)
LINK ADSL4 ----> Está em uma RB750G esperando configuraçao PCC para somar com LINK ADSL2 e fazer um LINK de Video poderoso...
Nesse servidor BSD onde entram os links tem squid fazendo o cache, e o thunder instalado fazendo cache do YouTube
4º - R: Sobre a separação, já está separado, autenticação por conta de RB 1100 (SEM NAT) e cache com BSD

Qlqr coisa pergunta mais aê que enquanto eu tiver zumbisando aqui na frente do notebook eu vou respondendo...hehehehe
Abraço!

[teletanbs]

valeu! já vi que você está mais organizado do que comenta aqui no topico!! kkkkkkkkkkkk

só uma pergunta veia besta, como vc fez pra jogar o lixo pro adsl3 eu tentei fazer isso no meu acabei parando a rede toda kkkkkkkkkkkkkk

add ai no msn

[email protected]

[PauloMassa]

valeu! já vi que você está mais organizado do que comenta aqui no topico!! kkkkkkkkkkkk

só uma pergunta veia besta, como vc fez pra jogar o lixo pro adsl3 eu tentei fazer isso no meu acabei parando a rede toda kkkkkkkkkkkkkk

add ai no msn

[email protected]

AhuashusahuaShuSAHuASHuASHuaS....NORMAAAAALLLL
Já fiz muita cagada tentando muuita coisa tb...Aliás, faço até hoje...
Só que hoje só tento essas façanhas de madrugada e com o celular desligado...kkkkkkkkk
To add vc no msn jah!
Abraço!

[EribertoTorres]

Eu acho que ainda assim deveria colocar criptografia sim, pois evita que os dados dos clientes sejam capturados por algum pseudohacker.

No mais, gostei da estrutura. Sei lá, voce poderia colocar a criptografia mas indicar qual é a senha, ainda assim os dados estariam seguros.

[felipenoogueira]

Criptografia e access list seriam interessantes em sua rede, pq mesmo vc tendo controle por login e senha amarrado ao mac vc corre o risco de causarem um loop em sua rede.

[AndrioPJ]

- RB 1100 Mikrotik:
--Autenticação HOTSPOT com User+senha nos clientes
--Autenticação IPxMAC clientes corporativos

-Switch 3COM 16portas 10/100 na saída da RB para as torres.

Nas torres:
-Enlaces PTP para repetidoras todas com NanoBridge M5 e Rocket M5+Basestation16dbi 120º
-Bullet2 100mW acoplado em OMNI Aquário
-RB 433 com cartões R52H e setoriais Hyperlink
--Torres todas em BRIDGE, NAT feito no rádio do cliente exceto nos casos do equip. do cliente ser plaquinha ou usb.
--Torres sem criptografia, limpa, aberta ( optei por deixar livre pois ganho clientes que se conectam no provedor e se cadastram através do meu HotSPOT **Cadastre-se )

Nos Clientes:
-Residencial: CPE OIW / Aquario GridStation 20e25dbi / Nanostation2 / NanoLoco2 / Grade+usb (alguns que ainda não consegui trocar)
-Corporativo: NanoBridge M5

Se quer ficar com o Hotspot, tera que aumentar a seguranca da sua rede... pois o Hotspot sozinho nao seguro.
Se alguem conectar na sua rede, ele pode simplesmente:
- Rodar um sniffer para pegar dados dos seus clientes
- Rodar um sniffer obter o IP e o MAC, clona ele e consegue navegar tranquilamente, SEM PRECISAR DO USUARIO E SENHA... faca um teste ai, conecte-se na sua rede e clone apenas o MAC de algum cliente que esteja online, voce vai receber o IP e vai conseguir navegar sem precisar do USUARIO E SENHA.
- o Visitante tbm pode fazer um ataque direto aos seus servidores, AP e derrubar a rede.
- o Visitante pode jogar DHCP errado na sua rede
- o Visitante pode causar um loop e derrubar a rede toda

bom, sao inumeras as possibilidades.
Entao, para começar:
1- Retire todas as placas pci e usb que tiver na sua rede, troque tudo por Radio.
2- Faça NAT nos radios e coloque senha para acesso ao setup.
3- Use criptografia WPA (no minimo) para conexao com a Torre.

Com esses passos anteriores voce ja conseguira dificultar o acesso de pessoas nao autorizadas na sua rede. Dificultar que o cliente saiba dados importantes da sua conexao (Senha WPA, IP, MAC). Dificultar que o cliente clone (IPxMAC) algum outro cliente.
continuando...

4- Usar somente SW com VLAN (seja fixa ou nao)
5- Ative a isolacao de clientes no AP
6- User IPs /30

Com esses passos acima, voce conseguira dificultar o compartilhamento, dificultar que os clientes se encherguem entre si, e dificultar que alguem rode um sniffer e consiga dados sigilosos de seus clientes.
continuando...

7- Se quer usar Hotspot (usuario e senha), prenda-o ao IP e MAC (tabela ARP)
8- User Hotspot com SSL (HTTPS)

Com esses passos acima, voce ira dificultar que um cliente use o Usuario e Senha de algum outro cliente.
E ira dificultar o sniffer da senha, pois com o SSL voce faz login em uma pagina segura (HTTPS)

Bom, sao essas minhas dicas.

[wesleydialmeida]

LINK DEDICADO ---> Abre Navegação, bancos, conectividade, downloads de windows update, etc.
LINK ADSL1 ----> Abre JPEG, GIF, PNG, TIF, RAW,
LINK ADSL2 ----> Abre Videos YouTube, Globo Videos, RedTube
LINK ADSL3 ----> Abre P2P e tudo quanto é lixo da internet... (hehehe)
LINK ADSL4 ----> Está em uma RB750G esperando configuraçao PCC para somar com LINK ADSL2 e fazer

Ola Paulo, achei muito bom esse topico, acho que sera uma boa contribuiçao para a comu, me tire uma duvida, vc roteou os videos no adsl2 atraves do range de ip dos sites? se sim, como vc faz para o cliente nao abrir os videos dos sites que vc separou no no adsl2 usando o link dedicado, pois youtube tambem e navegaçao correto?

sobre a autenticaçao, ate tenho vontade de usar hotspot, mas pelos inumeros tutoriais disponiveis na net, vejo que realmente a segurança e um pouco falha se nao houver uma atençao redobrada, por isso ainda estou no pppoe, seria bom uma autenticaçao com a segurança pppoe juntada ao marketing do hotspot, ai ficaria show, sobre o acesso as rbs, acho que o acl e essencial para garantir que sinais ruins de clientes nao prejudiquem a rede, e criptografia muitas pessoas dizem que aumenta o processamento da rb, nao sei se e um aumento consideravel, pois nao paguei pra ver.

[teletanbs]

bom na realidade a criptografia não amenta o processamento da RB só do radio que vc está usando para jogar sinal, no meu caso NANO e Bullet mais é simples WAP2 o melhor!!

[AndrioPJ]

LINK DEDICADO ---> Abre Navegação, bancos, conectividade, downloads de windows update, etc.
LINK ADSL1 ----> Abre JPEG, GIF, PNG, TIF, RAW,
LINK ADSL2 ----> Abre Videos YouTube, Globo Videos, RedTube
LINK ADSL3 ----> Abre P2P e tudo quanto é lixo da internet... (hehehe)
LINK ADSL4 ----> Está em uma RB750G esperando configuraçao PCC para somar com LINK ADSL2 e fazer

Ola Paulo, achei muito bom esse topico, acho que sera uma boa contribuiçao para a comu, me tire uma duvida, vc roteou os videos no adsl2 atraves do range de ip dos sites? se sim, como vc faz para o cliente nao abrir os videos dos sites que vc separou no no adsl2 usando o link dedicado, pois youtube tambem e navegaçao correto?

sobre a autenticaçao, ate tenho vontade de usar hotspot, mas pelos inumeros tutoriais disponiveis na net, vejo que realmente a segurança e um pouco falha se nao houver uma atençao redobrada, por isso ainda estou no pppoe, seria bom uma autenticaçao com a segurança pppoe juntada ao marketing do hotspot, ai ficaria show, sobre o acesso as rbs, acho que o acl e essencial para garantir que sinais ruins de clientes nao prejudiquem a rede, e criptografia muitas pessoas dizem que aumenta o processamento da rb, nao sei se e um aumento consideravel, pois nao paguei pra ver.

de nada adianta uma acl
um simples scan e consegue-se ip, mac de quem esta trafegando ali.
clona-se e vuala, ja esta dentro da rede.
apartir dai, inumeras sao as possibilidades, nem mesmo ppoe esta a salvo de sniffer, compartilhamento, ataque direto ao servidor, ataque aos AP etc... etc.. etc...

[teletanbs]

não seria melhor um servidor de storage