+ Responder ao Tópico



  1. Pra mim a "falha de segurança" está no modelo, não nos detalhes técnicos.

    Quem vaza dados é o usuario, é o usuario que vai digitar usuario e senha do hotspot num notebook alheio quando este lhe visitar, usuario e senha que serão salvos pelo navegador ou será "visto" pelo dono do notebook que estará do lado...

    Quando precisa usuario e senha seguidas vezes claro que o usuario faz aquela coisa bem segura que é anotar num papelzinho de deixar na mesa, pronto pra qualquer visitante ver.

    Se você obriga o cliente a ter algum roteador no caminho, e põe pppoe e autenticação nesse roteador, ele não precisa anotar senha porque não precisa usa-la seguidamente, ele não vai precisar nunca. Se ele não anota não tem risco de vazar, se ele não precisa usar diariamente não tem risco de alguém ver digitar ou de pegar a que está salva (Navegador pode exportar profile, ontem a noite eu usava win7, hoje de manhã estava com XP, exportei profile do Seamonkey, Firefox e Chrome, não precisei me "relogar" em nada, um eventual login de hotspot salvo no navegador acompanharia o profile exportado, seria bem facil eu pegar a internet do vizinho assim, pluga um smartphone na porta USB e salva o profile, ele nem percebe, leva 20 segundos). Qualquer Snadboy's Revelation pega alguns dados armazenados no SO local, mas não o faz de setup de roteador, teria que exportar backup das config's e ter um roteador igual (Que é raro, enquanto profile de navegador é importavel em qualquer navegador de SO minimamente similar) ou desembaralhar os dados do backup, coisa complicada demais. Ou seja, dado armazenado localmente tem varias formas de roubar, hoje ninguem impede acesso de vizinho ao seu micro, mas pra pegar dado de setup de roteador é bem mais complicado, se tiver senha no roteador (admin:admin é piada) e esta for de ciencia apenas do provedor, fica impossível "roubar" autenticação pelos meios tradicionais (Engenharia social).

    As vezes tem aquelas "pesquisas" da Secunia ou Kaspersky falando que "90% dos casos de falha na segurança envolveram falha humana", eu pelo menos vejo no comportamento de 100% dos meus usuarios falhas enormes, quando se preocupam em colocar senha no SO os arquivos não estão criptografados, quando estão "criptografados" a bios permite boot via USB pra usar software bobo tipo o Seagate File Recovery pra salvar ignorando proprietários, quando tem senha na bios é bem facil tirar a tampa traseira do note e tirar a bateria cr2032 pra zerar a bios (Ou jumpear se for desktop), coisa que se faz em 5 minutos (E vizinho gasta mais que isso em banheiro...).

  2. Rubem, mas aí é outro caso e não dá para considerar invasão de rede. Está mais para patetice do assinante.
    Aqui, mesmo roubando usuário do hotspot e senha o suposto amigo do assinante não vai navegar. Vai navegar se usar o serviço na casa do amigo, pois com a senha gravada no navegador vai tranquilo. Mas não na casa dele.
    Primeiro ele vai ter que quebrar uma senha wpa2 AES de 63 caracteres impossível de ser decorada.
    Depois sim, se passar por aí ele vai clonar mac, etc etc... mas até chegar aí já era.

    Concordo com vocês na questão de ter login e senha do pppoe gravado na CPE é mais confortável. Mas se a segurança for só aí, isso também é facilmente burlado conforme explicado nas duas apresentações que postei.

    A segurança vai ser dada pelo conjunto de medidas. Nem todas aquelas lá nós utilizamos mas devíamos.
    Se não começar pela criptografia forte, nada está seguro, nem hotspot nem pppoe.



  3. Usaria PPPoE + Hotspot (se fosse realmente vantajoso)!

    - PPPoE com um /30 pra evitar o broadcast e bloqueio + filtro bloqueando descoberta de rede;
    - evitaria interceptação de conteúdo protegido por https (SSL) por ser crime, segundo o Marco Civil da Internet;
    - não permitir logins simultâneos;
    - mesmo com PPPoE, amarrar MAC a IP só pra saber se o MAC do "Fulano" (que encontra-se bloqueado) está tentando usar o login/senha do Beltrano que, com isso, cairia por não permitir login simultâneo. Então saberíamos QUEM realmente está tentando burlar a rede (no caso, o Fulano). Sendo assim, pediria que Beltrano trocasse a senha e não a distribuísse a ninguém (DE NOVO!);
    - bloqueio de ping para que evitemos vírus/spywares/malwares de ficarem tentando se propagar a todo o tempo, uma vez que as eles ficam tentando quando alguém responde a ping na rede interna;

    (E por último, mas não menos importante...)
    - usaria Hotspot em uma rede separada. Apenas para divulgação de formas de contato, promoções e informações gerais a respeito dos serviços disponibilizados, e ponto! E isso, é claro, usando todas as configurações já citadas acima. E nada de tornar essa rede roteável para a internet.

    O problema do hotspot é que gera muito tráfego! Qualquer um vai se conectar e é aí que mora o problema. Hoje em dia, existem muitos vídeos e programas de invasão "for dummies". E qualquer "noob" pode se conectar à sua rede, rodar um sniffer, bruteforce ou algo do gênero, que a sua rede irá "sentar" e seus clientes na mesma hora irão te ligar (malditos bônus de operadora HAHAHA) a hora que for! Por isso que aconselho a deixa o hotspot numa rede separada e não-roteável.

    Desculpem a extensão do post, mas só assim para expressar as ideias que vieram à minha mente! rs..

    Abraços!

  4. Citação Postado originalmente por surfinhu Ver Post

    O problema do hotspot é que gera muito tráfego! Qualquer um vai se conectar e é aí que mora o problema. Hoje em dia, existem muitos vídeos e programas de invasão "for dummies". E qualquer "noob" pode se conectar à sua rede, rodar um sniffer, bruteforce ou algo do gênero, que a sua rede irá "sentar" e seus clientes na mesma hora irão te ligar (malditos bônus de operadora HAHAHA) a hora que for! Por isso que aconselho a deixa o hotspot numa rede separada e não-roteável.

    Desculpem a extensão do post, mas só assim para expressar as ideias que vieram à minha mente! rs..

    Abraços!
    Mas se a rede em hotspot estiver com uma boa chave de criptografia WAP2 + AES?

    E se uma rede em PPPOE não tiver uma boa chave criptografada?



  5. Mas se a rede em hotspot estiver com uma boa chave de criptografia WAP2 + AES?
    Aí o cara pode não conseguir quebrar senhas por causa da criptografia, mas o scan que ele usará, irá criar um broadcast e tráfego absurdos!

    E se uma rede em PPPOE não tiver uma boa chave criptografada?
    Se não tiver criptografia(ou de baixa complexidade), o cara sniffa a rede e quebra as senhas dos clientes.






Tópicos Similares

  1. Respostas: 10
    Último Post: 10-09-2012, 17:18
  2. Arquivo PHP dentro do Hotspot, tem como?
    Por pardz no fórum Redes
    Respostas: 2
    Último Post: 19-04-2010, 11:48
  3. load por grupos +hotspot, tem como?
    Por diox no fórum Redes
    Respostas: 7
    Último Post: 05-09-2009, 02:34
  4. Respostas: 1
    Último Post: 26-05-2008, 12:57
  5. Respostas: 0
    Último Post: 18-05-2008, 21:40

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L