Uma sugestao se ainda for possivel implantar em sua rede, utilize PPPoE vc nao vai ter essas dores de cabça,muito mais seguro.
Versão Imprimível
Uma sugestao se ainda for possivel implantar em sua rede, utilize PPPoE vc nao vai ter essas dores de cabça,muito mais seguro.
Em uma rede aberta não existe a possibilidade de evitar clone de MAC Address e, consequentemente, evitar o uso indevido. A forma de garantir a privacidade da rede é utilizar criptografia WPA2 AES, de preferência usando chaves individuais para cada estação.
Amigos ....
Obrigado por me acompanhar neste caso..
Estou pretendendo ,trabalhar com Hotspot ,trabalhando atrás do PPPoE....
Onde quando o usuario se autenticar no WPA2 COM CERTICADO (WPA2- EAP), chegue no PPPoE coloque o usuario e senha e só navegue na internet , após se logar no hotspot.....
De fato sei que o hotspot , não oferece praticamente nenhuma segurança.....é muito facil de burlar....pretendo posteriormente usar SSL no Hotspot para tentar entrar em uma zona de conforto....
Pois não posso abrir mão do hotspot , devido ao merketing e comunicados que realizo junto á eles...
Sobre o WPA , na verdade nem o WPA2 com aes é inquebravel , pois estudando em cima da criptografia , consegui quebrar minha criptografia.....demorou horas e não foi facil mas é possivel....
Então afim de assegurar isto , estou pretendo usar:
WPA2 EAP + PPPoE + Hotspot
Usuario primeiramente terá que passar pelo WPA2 EAP (usando certificado) para se comunicar com a interface wireless do meu dispositivo , depois disso o mesmo precisara se conectar via PPPoE , e para entrar na NET o usuario terá que se logar no hotpot com o usuario e senha para navegar tranquiliamente....
Para o usuario não ter que fazer um monte de volta para acessar a internet , buscarei ferramentas que auxiliam na conexão com meu provedor...softwares como o do Railink que auxilia na conexão e criptografia do WPA2 no cliente ....
Buscarei ferramentas que cerregue o certificado do WPA2 e se logue automaticamente no PPPoE , desta forma o usuario ao ligar o computador , irá usar apenas o usuario e senha do hotspot para se logar acessar a internet....
Ficando Muito mais pratico e seguro...
A pergunta que não quer calar é:
É possivel fazer isto?
Alguém já fez algo parecido?
Se alguém já fez isto ou algo parecido e puder nos ajudar , sei que estara ajudando muita gente...
Se ninguém nunca fez isto , esta ai um novo desafio.....
Vamos lutar nesta campanha de provedor sem invasores com bolso furado , rsrs
Amigo, me deparei com o mesmo problema que o seu porém em um cenário REAL!
Um cliente inadimplente meu, resolveu "pendurar" uma antena com placa pci no telhado e fazer algumas artimanhas para conseguir "filar" internet mesmo estando bloqueado...
Ele não fez isso com o nosso equipamento em comodato porque o equipamento é travado com user e senha e o mesmo não se aprofundou muito pra quebrar nosso login dos radios (eu também deixo desativado o ssh nos equip. clientes).
Pois bem, sem muito esforço, esse cliente clonou um MAC de um de nossos BULLETS da torre, e como o mesmo eu preciso deixar no IP BINDINGS pra poder acessá-lo, o dito-cujo conseguiu navegar, sem login no hotspot pois o mesmo esta no IP BINDINGS.
A Unica maneira que resolvi foi colocar os rádios das torres (52 rádios) em uma outra classe IP, e bloquear o NAT dessa classe no meu BSD.
Mas, tô de cabelo em pé também porque; mesmo sabendo da vunerabilidade do Hotspot, como um dos amigos acima citaram, eu também não queria abrir mão do Marketing do Hotspot.
Mas estou começando a enchergar que não vale o risco! Estou prestes a trocar toda a minha rede por PPPoE!
Certa vez quando eu ainda usava o bom e velho BFW, eu testei PPPoE nele e o mesmo tinha um mecanismo que "GERAVA" uma chave VPN (se não me engano, faz muito tempo) e essa mesma chave deveria ser inserida no COMPUTADOR do cliente que fosse discar...
Lembrando que meu cenário na época era plaquinha nos clientes, logo entao o cliente discava a conexão por meio de um discador.
Hoje meu cenário mudou, uso somente rádios nos clientes...E pretendo discar o PPPoE somente nos rádios!
se quer manter o Hotspot
- comece a usar alguma criptografia (WPA AES ou WPA2), que seja conhecida somente pela empresa.
- ative a isolacao de clientes (ubnt) ou desmarque o default forward (mk)
- use IP /30
- Use Switch com VLAN para interligar os AP ou onde for necessario um Switch (ou seja, nao use Switch comum)
pronto, dificilmente algum engraçadinho nao autorizado ira acessar sua rede.
e mesmo que consiga acesso a sua rede, dificilmente ira conseguir rodar um scann/sniffer.