HOTSPOT Mikrotik

[Vinicius_PG]

Boa tarde.


Pessoal, preciso de um “clareia mente” aí dos mais entendidos.

Mais uma vez bate à porta a questão SEGURANÇA HOTSPOT no Mikrotik.

O cenário aqui é simples, é simplesmente uma RB1100AHX2 que roda alguns serviços, entre eles um HOTSPOT, e algumas dezenas de AP´s espalhados pela empresa cobrindo alguns pontos estratégicos.

A tela de login também não tem nada de escalafobético, é só usuário/senha. Existe um usuário/senha geralzão e alguns específicos para outras pessoas. DHCP com reserva de IP para os AP’s; rede /21.

Nos “Perfis de Usuário” tem as delimitações de banda: 1Mb, 2Mb,800K, etc... e cada usuário vai inserido dentro de uma limitação nos perfis, dependendo do contexto.

Os AP's estão sem criptografia. (A intenção é essa mesmo, é uma espécie de rede visitante), por isso o usuário e senha em comum para a maioria.
Não importa a quantidade de usuários conectados nem a quantidade que banda TOTAL que está sendo consumida.

O Grande lance é que, vira e mexe me deparo com alguns poucos usuários que estão em algum perfil limitado e estão acessando a 8Mb, 10Mb, ficam assim por alguns poucos minutos e depois normaliza, depois volta d novo.... Obs. A maioria é celular.

Já sei que existe muito material pela rede falando a respeito, mas nenhum efetivo AINDA.

Alguma recomendação efetiva de alguém que tenha passado por esse problema (acredito que todos que tenham trabalhado com HOTSPOT)?? Podem ser algum tipo de aplicativo que fecha alguma VPN ao algo do tipo?

ROS 6.38.3

Grato a todos!

[PabloDelfino]

Boa tarde Colega,

Usei muito o Hotspot dessa forma também! em alguns pontos da cidades eu deixava a rede aberta para os clientes se conectar e logar pelo hotspot, que era pago por dia usado.
Porem acabei parando com isso pois passei muitos problemas semelhantes ao seu, fiquei de cabelo branco, envelheci uns 10 anos a mais, fiz de tudo que me disseram, e pode acreditar!
Nunca consegui barrar uma meia duzia de espertinhos.
Existe algumas regrinhas e alguns macetes que vc encontra na internet facilmente para Mikrotik, vai amenizar, mas sempre vai ter um enxerido metido a racker que vai da um jeito de burlar

Nunca mais me esqueço da ultima ves, cheguei no local e a rede estava fora, eu abri o mikrotik e notei que o infeliz havia mexido em todas configurações da RB433 colocou ate o nome de um comercio proscimo na interface do cartão só para avacalhar, foi ai a ultima gota dagua, desliguei tudo e fiquei so com meus clientes pppoe.

Abraço.

[eduardomazolini]

A questão da banda ser usada, só olhando todas as regras referente a isso. Como o Mikrotik é muito versátil tem mil modos diferentes de fazer e errar.

[PabloDelfino]

Mas pro cara conseguir acessar seu roteador deveria estar com usuário e senha padrão né? Se essa meia dúzia de espertinhos conseguir quebrar uma criptografia de um provedor estão todos fodidos.

Não estava padrão não amigo! estava admin e minha senha particular, Sinceramente não sei como conseguiu, e também não me preocupei mais em saber simplesmente desisti de Hotspot em redes abertas.
Mas essa foi apenas uma unica vês que aconteceu! agora espertinhos burlando Hotspot foram varias.

[Vinicius_PG]

Pois é.. Muita gente aparece com receita de bolo pra HOTSPOT; falando de regras, filtros, certificados de autenticação.... mas nenhuma efetiva.
Óbvio que o serviço de HOTSPOT por si só, rodando direto da RB, não é efetivo! Deve ser aliado a algum serviço do tipo proxy, sei lá...
Só precisamos que o fabricante coloque o "k-c-te" deles na mesa e assuma que realmente não funciona.

Enfim... é o que eu acho!

[1929]

Numa pesquisa do Google foi a primeira indicação...

https://mum.mikrotik.com//presentati...ranca_Maia.pdf

Não existe segurança em wireless sem criptografia WPA2 AES. Não interessa a forma de autenticação, se é hotspot, pppoe ou ip X mac.
Isto dito pelo Wardner Maia, o sujeito que trouxe o Mikrotik para o Brasil

[Vinicius_PG]

Então #1929 concordo tanto com vc quanto com o Maia, inclusive eu baixei essa
apostila dele tbm. tudo que está dito lá eu assino embaixo.

Mas como eu disse, cada caso é um caso. Nesse meu caso específico é uma rede /21,
sem muita condição de ficar colocando senha de rede em todos os usuários.

A questão proposta no tópico é justamente a SEGURANÇA do H.S no Mikrotik, que não tem.
Das 2, 1: ou os caras não conseguem arrumar o serviço de H.S deles ou realmente o
serviço, de uma forma geral, não funciona de forma alguma sem ter algum intermediário pelo meio.

[1929]

mas não é deficiência do hotspot.

Como ele diz lá, hotspot ou pppoe são formas de autenticação mas não dão segurança em si.
A segurança é algo mais profundo e vai depender da topologia de cada um.

Eu parto do principio que uma rede wireless sem criptografia WPA2 AEs não tem segurança.