Re: Perfil do meu Provedor! Oque preciso melhorar?
Eu acho que ainda assim deveria colocar criptografia sim, pois evita que os dados dos clientes sejam capturados por algum pseudohacker.
No mais, gostei da estrutura. Sei lá, voce poderia colocar a criptografia mas indicar qual é a senha, ainda assim os dados estariam seguros.
Re: Perfil do meu Provedor! Oque preciso melhorar?
Criptografia e access list seriam interessantes em sua rede, pq mesmo vc tendo controle por login e senha amarrado ao mac vc corre o risco de causarem um loop em sua rede.
Re: Perfil do meu Provedor! Oque preciso melhorar?
Citação:
Postado originalmente por
PauloMassa
- RB 1100 Mikrotik:
--Autenticação HOTSPOT com User+senha nos clientes
--Autenticação IPxMAC clientes corporativos
-Switch 3COM 16portas 10/100 na saída da RB para as torres.
Nas torres:
-Enlaces PTP para repetidoras todas com NanoBridge M5 e Rocket M5+Basestation16dbi 120º
-Bullet2 100mW acoplado em OMNI Aquário
-RB 433 com cartões R52H e setoriais Hyperlink
--Torres todas em BRIDGE, NAT feito no rádio do cliente exceto nos casos do equip. do cliente ser plaquinha ou usb.
--Torres sem criptografia, limpa, aberta ( optei por deixar livre pois ganho clientes que se conectam no provedor e se cadastram através do meu HotSPOT **Cadastre-se )
Nos Clientes:
-Residencial: CPE OIW / Aquario GridStation 20e25dbi / Nanostation2 / NanoLoco2 / Grade+usb (alguns que ainda não consegui trocar)
-Corporativo: NanoBridge M5
Se quer ficar com o Hotspot, tera que aumentar a seguranca da sua rede... pois o Hotspot sozinho nao seguro.
Se alguem conectar na sua rede, ele pode simplesmente:
- Rodar um sniffer para pegar dados dos seus clientes
- Rodar um sniffer obter o IP e o MAC, clona ele e consegue navegar tranquilamente, SEM PRECISAR DO USUARIO E SENHA... faca um teste ai, conecte-se na sua rede e clone apenas o MAC de algum cliente que esteja online, voce vai receber o IP e vai conseguir navegar sem precisar do USUARIO E SENHA.
- o Visitante tbm pode fazer um ataque direto aos seus servidores, AP e derrubar a rede.
- o Visitante pode jogar DHCP errado na sua rede
- o Visitante pode causar um loop e derrubar a rede toda
bom, sao inumeras as possibilidades.
Entao, para começar:
1- Retire todas as placas pci e usb que tiver na sua rede, troque tudo por Radio.
2- Faça NAT nos radios e coloque senha para acesso ao setup.
3- Use criptografia WPA (no minimo) para conexao com a Torre.
Com esses passos anteriores voce ja conseguira dificultar o acesso de pessoas nao autorizadas na sua rede. Dificultar que o cliente saiba dados importantes da sua conexao (Senha WPA, IP, MAC). Dificultar que o cliente clone (IPxMAC) algum outro cliente.
continuando...
4- Usar somente SW com VLAN (seja fixa ou nao)
5- Ative a isolacao de clientes no AP
6- User IPs /30
Com esses passos acima, voce conseguira dificultar o compartilhamento, dificultar que os clientes se encherguem entre si, e dificultar que alguem rode um sniffer e consiga dados sigilosos de seus clientes.
continuando...
7- Se quer usar Hotspot (usuario e senha), prenda-o ao IP e MAC (tabela ARP)
8- User Hotspot com SSL (HTTPS)
Com esses passos acima, voce ira dificultar que um cliente use o Usuario e Senha de algum outro cliente.
E ira dificultar o sniffer da senha, pois com o SSL voce faz login em uma pagina segura (HTTPS)
Bom, sao essas minhas dicas.
Re: Perfil do meu Provedor! Oque preciso melhorar?
LINK DEDICADO ---> Abre Navegação, bancos, conectividade, downloads de windows update, etc.
LINK ADSL1 ----> Abre JPEG, GIF, PNG, TIF, RAW,
LINK ADSL2 ----> Abre Videos YouTube, Globo Videos, RedTube
LINK ADSL3 ----> Abre P2P e tudo quanto é lixo da internet... (hehehe)
LINK ADSL4 ----> Está em uma RB750G esperando configuraçao PCC para somar com LINK ADSL2 e fazer
Ola Paulo, achei muito bom esse topico, acho que sera uma boa contribuiçao para a comu, me tire uma duvida, vc roteou os videos no adsl2 atraves do range de ip dos sites? se sim, como vc faz para o cliente nao abrir os videos dos sites que vc separou no no adsl2 usando o link dedicado, pois youtube tambem e navegaçao correto?
sobre a autenticaçao, ate tenho vontade de usar hotspot, mas pelos inumeros tutoriais disponiveis na net, vejo que realmente a segurança e um pouco falha se nao houver uma atençao redobrada, por isso ainda estou no pppoe, seria bom uma autenticaçao com a segurança pppoe juntada ao marketing do hotspot, ai ficaria show, sobre o acesso as rbs, acho que o acl e essencial para garantir que sinais ruins de clientes nao prejudiquem a rede, e criptografia muitas pessoas dizem que aumenta o processamento da rb, nao sei se e um aumento consideravel, pois nao paguei pra ver.
Re: Perfil do meu Provedor! Oque preciso melhorar?
bom na realidade a criptografia não amenta o processamento da RB só do radio que vc está usando para jogar sinal, no meu caso NANO e Bullet mais é simples WAP2 o melhor!!