Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. #21

    Padrão Re: Hotspot - Tem segurança?

    Pra mim a "falha de segurança" está no modelo, não nos detalhes técnicos.

    Quem vaza dados é o usuario, é o usuario que vai digitar usuario e senha do hotspot num notebook alheio quando este lhe visitar, usuario e senha que serão salvos pelo navegador ou será "visto" pelo dono do notebook que estará do lado...

    Quando precisa usuario e senha seguidas vezes claro que o usuario faz aquela coisa bem segura que é anotar num papelzinho de deixar na mesa, pronto pra qualquer visitante ver.

    Se você obriga o cliente a ter algum roteador no caminho, e põe pppoe e autenticação nesse roteador, ele não precisa anotar senha porque não precisa usa-la seguidamente, ele não vai precisar nunca. Se ele não anota não tem risco de vazar, se ele não precisa usar diariamente não tem risco de alguém ver digitar ou de pegar a que está salva (Navegador pode exportar profile, ontem a noite eu usava win7, hoje de manhã estava com XP, exportei profile do Seamonkey, Firefox e Chrome, não precisei me "relogar" em nada, um eventual login de hotspot salvo no navegador acompanharia o profile exportado, seria bem facil eu pegar a internet do vizinho assim, pluga um smartphone na porta USB e salva o profile, ele nem percebe, leva 20 segundos). Qualquer Snadboy's Revelation pega alguns dados armazenados no SO local, mas não o faz de setup de roteador, teria que exportar backup das config's e ter um roteador igual (Que é raro, enquanto profile de navegador é importavel em qualquer navegador de SO minimamente similar) ou desembaralhar os dados do backup, coisa complicada demais. Ou seja, dado armazenado localmente tem varias formas de roubar, hoje ninguem impede acesso de vizinho ao seu micro, mas pra pegar dado de setup de roteador é bem mais complicado, se tiver senha no roteador (admin:admin é piada) e esta for de ciencia apenas do provedor, fica impossível "roubar" autenticação pelos meios tradicionais (Engenharia social).

    As vezes tem aquelas "pesquisas" da Secunia ou Kaspersky falando que "90% dos casos de falha na segurança envolveram falha humana", eu pelo menos vejo no comportamento de 100% dos meus usuarios falhas enormes, quando se preocupam em colocar senha no SO os arquivos não estão criptografados, quando estão "criptografados" a bios permite boot via USB pra usar software bobo tipo o Seagate File Recovery pra salvar ignorando proprietários, quando tem senha na bios é bem facil tirar a tampa traseira do note e tirar a bateria cr2032 pra zerar a bios (Ou jumpear se for desktop), coisa que se faz em 5 minutos (E vizinho gasta mais que isso em banheiro...).

  2. #22

    Padrão Re: Hotspot - Tem segurança?

    Rubem, mas aí é outro caso e não dá para considerar invasão de rede. Está mais para patetice do assinante.
    Aqui, mesmo roubando usuário do hotspot e senha o suposto amigo do assinante não vai navegar. Vai navegar se usar o serviço na casa do amigo, pois com a senha gravada no navegador vai tranquilo. Mas não na casa dele.
    Primeiro ele vai ter que quebrar uma senha wpa2 AES de 63 caracteres impossível de ser decorada.
    Depois sim, se passar por aí ele vai clonar mac, etc etc... mas até chegar aí já era.

    Concordo com vocês na questão de ter login e senha do pppoe gravado na CPE é mais confortável. Mas se a segurança for só aí, isso também é facilmente burlado conforme explicado nas duas apresentações que postei.

    A segurança vai ser dada pelo conjunto de medidas. Nem todas aquelas lá nós utilizamos mas devíamos.
    Se não começar pela criptografia forte, nada está seguro, nem hotspot nem pppoe.



  3. #23

    Padrão Re: Hotspot - Tem segurança?

    Usaria PPPoE + Hotspot (se fosse realmente vantajoso)!

    - PPPoE com um /30 pra evitar o broadcast e bloqueio + filtro bloqueando descoberta de rede;
    - evitaria interceptação de conteúdo protegido por https (SSL) por ser crime, segundo o Marco Civil da Internet;
    - não permitir logins simultâneos;
    - mesmo com PPPoE, amarrar MAC a IP só pra saber se o MAC do "Fulano" (que encontra-se bloqueado) está tentando usar o login/senha do Beltrano que, com isso, cairia por não permitir login simultâneo. Então saberíamos QUEM realmente está tentando burlar a rede (no caso, o Fulano). Sendo assim, pediria que Beltrano trocasse a senha e não a distribuísse a ninguém (DE NOVO!);
    - bloqueio de ping para que evitemos vírus/spywares/malwares de ficarem tentando se propagar a todo o tempo, uma vez que as eles ficam tentando quando alguém responde a ping na rede interna;

    (E por último, mas não menos importante...)
    - usaria Hotspot em uma rede separada. Apenas para divulgação de formas de contato, promoções e informações gerais a respeito dos serviços disponibilizados, e ponto! E isso, é claro, usando todas as configurações já citadas acima. E nada de tornar essa rede roteável para a internet.

    O problema do hotspot é que gera muito tráfego! Qualquer um vai se conectar e é aí que mora o problema. Hoje em dia, existem muitos vídeos e programas de invasão "for dummies". E qualquer "noob" pode se conectar à sua rede, rodar um sniffer, bruteforce ou algo do gênero, que a sua rede irá "sentar" e seus clientes na mesma hora irão te ligar (malditos bônus de operadora HAHAHA) a hora que for! Por isso que aconselho a deixa o hotspot numa rede separada e não-roteável.

    Desculpem a extensão do post, mas só assim para expressar as ideias que vieram à minha mente! rs..

    Abraços!

  4. #24

    Padrão Re: Hotspot - Tem segurança?

    Citação Postado originalmente por surfinhu Ver Post

    O problema do hotspot é que gera muito tráfego! Qualquer um vai se conectar e é aí que mora o problema. Hoje em dia, existem muitos vídeos e programas de invasão "for dummies". E qualquer "noob" pode se conectar à sua rede, rodar um sniffer, bruteforce ou algo do gênero, que a sua rede irá "sentar" e seus clientes na mesma hora irão te ligar (malditos bônus de operadora HAHAHA) a hora que for! Por isso que aconselho a deixa o hotspot numa rede separada e não-roteável.

    Desculpem a extensão do post, mas só assim para expressar as ideias que vieram à minha mente! rs..

    Abraços!
    Mas se a rede em hotspot estiver com uma boa chave de criptografia WAP2 + AES?

    E se uma rede em PPPOE não tiver uma boa chave criptografada?



  5. #25

    Padrão Re: Hotspot - Tem segurança?

    Mas se a rede em hotspot estiver com uma boa chave de criptografia WAP2 + AES?
    Aí o cara pode não conseguir quebrar senhas por causa da criptografia, mas o scan que ele usará, irá criar um broadcast e tráfego absurdos!

    E se uma rede em PPPOE não tiver uma boa chave criptografada?
    Se não tiver criptografia(ou de baixa complexidade), o cara sniffa a rede e quebra as senhas dos clientes.

  6. #26

    Padrão Re: Hotspot - Tem segurança?

    Citação Postado originalmente por surfinhu Ver Post
    - PPPoE com um /30 pra evitar o broadcast e bloqueio + filtro bloqueando descoberta de rede;
    Mais com /30, ja gera broadcast, acho que voce se referia a um /32



  7. #27

    Padrão Re: Hotspot - Tem segurança?

    Citação Postado originalmente por surfinhu Ver Post
    Aí o cara pode não conseguir quebrar senhas por causa da criptografia, mas o scan que ele usará, irá criar um broadcast e tráfego absurdos!


    Se não tiver criptografia(ou de baixa complexidade), o cara sniffa a rede e quebra as senhas dos clientes.

    Vou postar novamente o link desta apresentação. Vejam a página 66

    http://www.bdibbs.com.br/mum/Brasil_Seguranca_Maia.pdf

  8. #28

    Padrão Re: Hotspot - Tem segurança?

    Citação Postado originalmente por crnet Ver Post
    Mais com /30, ja gera broadcast, acho que voce se referia a um /32
    Opa, erro meu! Era um /32 mesmo. Valeu, crnet!

    Na página 66: "PPPoE e Hotspot ajudam muito, porém não podem ser encarados como plataformas de segurança como tem sido até então!"

    Sim, é verdade! Acho que o conjunto de medidas é que formaria a segurança. O WPA2 já é "quebrável" através de tables e isso eu fazia muito no NTLM do Windows. Outro dia mesmo, peguei a hash equivalente à senha da wifi da minha vizinha. Só não quis quebrar porque podia demorar, dependendo da complexidade da senha. E porque é roubo!

    Coisas assim fazem o atacante ter mais trabalho para invadir. Não quer dizer que não vão invadir, mas também que vão. Só que irão demorar bem mais tempo que o normal se a rede for bem configurada e seguir padrões rígidos de segurança.



  9. #29

    Padrão

    Citação Postado originalmente por surfinhu Ver Post
    Usaria PPPoE + Hotspot (se fosse realmente vantajoso)!

    - PPPoE com um /30 pra evitar o broadcast e bloqueio + filtro bloqueando descoberta de rede;
    - evitaria interceptação de conteúdo protegido por https (SSL) por ser crime, segundo o Marco Civil da Internet;
    - não permitir logins simultâneos;
    - mesmo com PPPoE, amarrar MAC a IP só pra saber se o MAC do "Fulano" (que encontra-se bloqueado) está tentando usar o login/senha do Beltrano que, com isso, cairia por não permitir login simultâneo. Então saberíamos QUEM realmente está tentando burlar a rede (no caso, o Fulano). Sendo assim, pediria que Beltrano trocasse a senha e não a distribuísse a ninguém (DE NOVO!);
    - bloqueio de ping para que evitemos vírus/spywares/malwares de ficarem tentando se propagar a todo o tempo, uma vez que as eles ficam tentando quando alguém responde a ping na rede interna;
    Errado...

    O Marco Civil não defini protocolos, não diz que interceptar HTTPs é crime.
    O que o Marco Civil (lei 12.965/14) diz:
    Art. 7º - O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:
    (...)
    II - inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei;

    Ao pé da letra, até mesmo a interceptação do HTTP se torna crime perante esse item...

    Citação Postado originalmente por surfinhu Ver Post
    (E por último, mas não menos importante...)
    - usaria Hotspot em uma rede separada. Apenas para divulgação de formas de contato, promoções e informações gerais a respeito dos serviços disponibilizados, e ponto! E isso, é claro, usando todas as configurações já citadas acima. E nada de tornar essa rede roteável para a internet.

    O problema do hotspot é que gera muito tráfego! Qualquer um vai se conectar e é aí que mora o problema. Hoje em dia, existem muitos vídeos e programas de invasão "for dummies". E qualquer "noob" pode se conectar à sua rede, rodar um sniffer, bruteforce ou algo do gênero, que a sua rede irá "sentar" e seus clientes na mesma hora irão te ligar (malditos bônus de operadora HAHAHA) a hora que for! Por isso que aconselho a deixa o hotspot numa rede separada e não-roteável.

    Desculpem a extensão do post, mas só assim para expressar as ideias que vieram à minha mente! rs..

    Abraços!
    Errado de novo...
    Nem o Hotspot, tão pouco o PPoE trazem segurança ao nivel de negar que terceiros se conectem.
    Esse nível de segurança é aplicado no momento em que você configura criptografia nos seus APs.

    Eu posso ter Hotspot e mesmo assim apenas meus clientes conseguirem se conectar...

  10. #30

    Padrão Re: Hotspot - Tem segurança?

    Citação Postado originalmente por surfinhu Ver Post
    Aí o cara pode não conseguir quebrar senhas por causa da criptografia, mas o scan que ele usará, irá criar um broadcast e tráfego absurdos!


    Se não tiver criptografia(ou de baixa complexidade), o cara sniffa a rede e quebra as senhas dos clientes.
    basta usar Hotspot com SSL.
    Custa em torno de R$ 60,00 anual um certificado digital valido.
    Com ele, dificilmente um intruso irá conseguir quebrar a senha do cliente.



  11. #31

    Padrão Re: Hotspot - Tem segurança?

    Minhas considerações:


    Ao pé da letra, até mesmo a interceptação do HTTP se torna crime perante esse item...
    Sim, torna. Mas a real intenção de algo criptografado não é o sigilo do conteúdo? Isso acentua (ainda mais) a gravidade de se interceptar algo. Você parou aquilo que ninguém (nenhum dos dois lados) quer que você saiba o que tem dentro. Mas por quê? Por que você pegou uma carta lacrada do carteiro que estava endereçada pra outra pessoa ? Presume-se que a sua intenção era abrí-la, unicamente. Por isso que o fluxo deve ser também respeitado.
    Quando falei que é crime isso, é porque nenhum juiz especializado vai acreditar quando você falar que interceptou mas não leu. Ou vai? Então, achei que as pessoas correriam menos riscos pensando que isso não é certo de se fazer, do que fazendo e, quem sabem um dia, serem auditadas e não terem a mínima noção do risco que estava correndo fazendo cache de conteúdo criptografado.


    Errado de novo...
    Nem o Hotspot, tão pouco o PPoE trazem segurança ao nivel de negar que terceiros se conectem.
    Acho que você não leu minhas mensagens, ou as ignorou! rs..
    Eu disse segurança em algum momento? Não. Apenas ilustrei a forma que um atacante vai tentar entrar numa rede que tem hotspot (scan de BSSIDs, spoofing, beacons, etc.. não vem ao caso!).


    Esse nível de segurança é aplicado no momento em que você configura criptografia nos seus APs.
    Não adianta você usar o mais complexo algoritmo de criptografia se o cara não precisa mais ficar tentanto entrar na sua rede. Ele já entrou quando o administrador permitiu que todos chegassem, pelo menos, na tela do hotspot.


    Eu posso ter Hotspot e mesmo assim apenas meus clientes conseguirem se conectar...
    Sim, irão! Mas, junto com eles, estará o cara lá com suas "tools" tentando, tentando e tentando entrar na rede. E, mesmo não sendo cliente, ele estará estressando seus APs, tornando a navegação dos seus clientes um parto!


    Abraços.

  12. #32

    Padrão Re: Hotspot - Tem segurança?

    para chegar na tela do hotspot vai ter que primeiro quebrar a criptografia.



  13. #33

    Padrão Re: Hotspot - Tem segurança?

    Citação Postado originalmente por 1929 Ver Post
    para chegar na tela do hotspot vai ter que primeiro quebrar a criptografia.
    Não se acontecer em alguns lugares que já vi: o sinal fica aberto (sem senha mesmo kkk) e todo mundo chega na tela do hotspot. Pro dono, só quem vai acessar a internet são os clientes. Mas, na prática, talvez não seja assim. :P

  14. #34

    Padrão Re: Hotspot - Tem segurança?

    Citação Postado originalmente por surfinhu Ver Post
    Não se acontecer em alguns lugares que já vi: o sinal fica aberto (sem senha mesmo kkk) e todo mundo chega na tela do hotspot. Pro dono, só quem vai acessar a internet são os clientes. Mas, na prática, talvez não seja assim. :P
    Acho que você não entendeu ou não quis entender...

    Você disse que já viu em alguns lugares o sinal ficar aberto, sem senha.
    Sina aberto é hotspot? ou sinal aberto é PPoE?
    Nenhum dos dois.

    Não é o uso do Hotspot ou o uso do PPoE que trazem segurança.
    Eu posso ter uma rede que usa PPoE, mas nada vai adiantar se deixar o AP sem senha (Você sabia que até o PPoE pode ser snifado se mal configurado?).
    Do mesmo jeito é o Hotspot.

    A segurança da rede não se encontra em apenas um meio: a autenticação do usuário.
    A segurança da rede se encontra em vários fatores.



  15. #35

    Padrão Re: Hotspot - Tem segurança?

    Citação Postado originalmente por surfinhu Ver Post
    Não se acontecer em alguns lugares que já vi: o sinal fica aberto (sem senha mesmo kkk) e todo mundo chega na tela do hotspot. Pro dono, só quem vai acessar a internet são os clientes. Mas, na prática, talvez não seja assim. :P
    Te dei razão agora. Com rede aberta não existe segurança.
    Mas pensei que estivessemos falando em obter um nível de segurança aceitável com WPA2 + AES

  16. #36

    Padrão Re: Hotspot - Tem segurança?

    Citação Postado originalmente por 1929 Ver Post
    Te dei razão agora. Com rede aberta não existe segurança.
    Mas pensei que estivessemos falando em obter um nível de segurança aceitável com WPA2 + AES
    Pois é, amigo. Por isso que sempre aconselho a criar um BSSID separado e não roteado para internet quando tiver rede sem senha apenas para a divulgação de serviços.

    WPA2 + AES é uma ótima configuração!

    AndrioPJ, sim, eu sei, amigo. Vale deixar a dica de nossas experiências para os amigos do fórum! Como eu sempre falo: "A segurança vai ser dada pelo conjunto de medidas."

    Abraços a todos!



  17. #37

    Padrão Re: Hotspot - Tem segurança?

    Bom , depois de tudo que comentaram só venho reforçar meu posicionamento.

    hotspot ou pppoe não tem nada a ver com segurança.
    Fazem 6 anos que estamos com hotspot. E a única vez que tivemos problema foi exatamente aquela questão que o @rubem levantou. De um usuário usar o login e senha do outro.
    Usuário estava bloqueado e outro que reclamava, quando chegava lá estava normal com tráfego chegando nos picos do plano.
    Num monitoramento descobrimos que o bloqueado estava se fazendo passar pelo outro que era amigo dele.
    A falha estava no hotspot? Naõ, ela estava na nossa configuração. Mesmo com wpa + AES.
    Nós não fixávamos o MAC do rádio na época.
    Veja, de pouco adiantaria fixar mac se fosse cliente bridge.
    Com cliente roteado, ele teria que clonar o MAc do rádio e colocar na CPE o mac do rádio do amigo.
    Pergunto então: ele poderia clonar o mac do rádio sem chegar nele partindo do princípio que este rádio também está com senha?

    E mesmo depois destas medidas básicas poderia alguém ainda tentar invadir? Alguém vai dizer que sim. Mas e se encontrasse mais uma barreira com um servidor radius?

    Porque tenho feito esta defesa do hotspot?
    Porque uma pessoa me disse categoricamente: tira o hotspot e coloca pppoe. hotspot não tem a menor segurança.
    Como eu já conhecia as apresentações do Maia sobre o assunto e também porque esta afirmação já li várias vezes na internet, resolvi trazer o assunto a tona.

    E como diz o Maia, segurança não tem nada a ver com hostpot ou pppoe.
    Eu não entendo nada de redes. O que vou aprendendo é com as postagens e o dia/dia.
    Felizmente encontro aqui algumas pessoas como o @AndrioPJ que entenderam o que eu queria salientar.

    Me parece que a mais forte alegação para não usar hotspot seria a questão do broadcast mas nunca por falta de segurança no modelo de autenticação.
    E broadcast que pode ser resolvido com roteamento no POP.

  18. #38

    Padrão Re: Hotspot - Tem segurança?

    Meu ponto de vista.
    Algumas coisas que podemos fazer com hotspot e evitar problemas, usar /32 evitando clientes se enxergar, criptografia nos rádios, senhas nos rádios clientes, certificado se possível, filtro nas bridge, bloqueio de ping e tc.
    Mas infelizmente isso não evita o broadcast que é evitado no pppoe.
    Caso use radius para autenticar coloque roteamento ospf e cada pop uma rb com hotspot com tudo isso que foi dito acima.
    Pode ser usado vlan dentro das bridge existente ou seja colocar em cada pop uma rb 450 com hostpot dentro da vlan.
    Do resto só alegria