Segurança wireless para feras !!!

[infotec]

Galera, seguinte:

Acabei de perder um projeto de interligação ptp, pois os diretores da empresa ouviram falar muito mal da segurança wireless. O projeto seria o seguinte: Fazer um ptp de 20 km interligando a empresa com a casa de 5 diretores. Onde os mesmos pudessem ter acesso a web e aos programas de automação da empresa. Dai depois que o ptp estivesse pronto haveria um AP e uma omini para distribuir o sinal até as casas.

A empresa:

Recebe um link de 2 mb telefonica. Entra num cisco, dele entra hum server linux com firewall, depois por Swith que distribui a net aos pcs da rede.

Meu projeto:

Colocar um cabo no swith mandar para o AP que faria o ptp quando chegasse até a torre da cidade, ligaria num outro AP que mandaria o sinal para omini e dai para as casas.

O Medo:

Que algum hacker invadisse o AP e consecutivamente a rede deles, tendo acesso ao servidor e aos programas causando assim danos irreversíveis.

Sugestão

Meu projeto esta correto, tirando o cabo do swith e mandando o sinal ja filtrado para o AP. Ou haveria alguma outra possibilidade de tirar o sinal de forma que mesmo que o cara invadisse o AP, não pudesse acessar o servidor linux e os programas.

Esse tópico como disse é só para feras. Aguardo sugestões.

[Pedro0278]

Olha amigo, nao existe seguranca 100% no acesso Wireless, ainda hoje fi no UOL Tecnologia que é necessáraio apenas alguns minutos (IDG Now! - Pesquisadores alemães advertem para uso do protocolo WEP em Wi-Fi) entao nao espere convencer seus contratadores da seguranca ja que eles estao com um pé atras.
Mostre que as vantagens são maiores...
Alem do mais existem no mercado exelentes radios que dificultam o acesso restrito.
Ao mesmo tempo nao se desanime, eles ainda poderao voltar atras na decisao em frente as necessidades.

Quanto mandar diretamente para o AP o sinal, seria bom que voce usasse um servidor com firewall antes...

Boa sorte.

[sergio]

Uma maneira eficiente para deixar a rede wireless com um bom nível de segurança é estabelecer uma VPN, onde todos os hosts clients trafegarão pelo túnel. Para fazer isso, esses equipamentos de plástico não possuem a robustez necessária e se houver espectro poluído, mais problemas à vista, grandes problemas.

Uma outra solução seria o uso de equipamentos sem fio com tecnologia proprietária que oferece além de protocolo(s) próprio(s) de comunicação, soluções de segurança. Empresas como proxim, alvarion, motorola, wi-lan, entre outras, possuem equipamentos sem fio com alto padrão de qualidade nos aspectos conexão e segurança.

[admskill]

Pois é amigo, toda rede está sujeita à ataques, mas o bom estruturamento e desenvimento da proteção dos dados é que define o nivel de segurança, bom no seu caso vc deveria por alguns pontos positivos para o seu cliente, como protocolo WPA bem mais seguro que o WEP, autenticação Radius, Controle de Mac Adress que podem ser feitos no rádio tb e alguns rádios que trabalham com o sistema que oculta o SSID, tudo isso é válido na hora de se avaliar uma conexão de rede sem fio, é preciso fazer uma analise, e por na balança os prós e os contras, acredito eu que no seu caso ai em que a empresa citou que um usuário mal intecionado pode invadir o servidor e causar danos irreversiveis é meio que relativo falar disso, pois se vc tem um servidor linux com firewall e um nivel de segurança definido para que os usuários trabalhem dentro dessa rede vai permitir das permissões e configurações em que vc setou nesse servidor, o que pode acontecer eh a invasão da rede para a interceptação de pacotes ( Snifer ), mas como vc mesmo disse até em uma rede de cabo estruturado isso pode acontecer através da internet, o carinha pode invadir e simplesmente detonar com tudo no servidor, ou simplesmente roubar as informações que ele quer. Eu acho que ajudaria bastante se o programa que a empresa usasse trabalhasse com algum tipo de criptografia de dados, e no caso de site de bancos e etc... existem vários métodos de segurança que ajudam à proteger os dados trafegados tais como Certificado com chave encriptada e etc... e por fim uma VPN como o amigo ali em cima disse seria uma mais uma segurança que vc poderia acrescentar à rede e expor ao seu cliente que isto é mais um ponto em positivo em pró da segurança da sua rede. Enfim eu acho que está faltando é vc levar mais conhecimento ao seu cliente e expor mais pontos positivos sobre a tecnologia de rede sem fio.

[GrayFox]

A melhor recomendacao seria contratar serviços de "feras".

[infotec]

A melhor recomendacao seria contratar serviços de "feras".

Tb acho que vc tem razão. Mas vc se acha capaz ??

[infotec]

Galera são interessantes todas as respostas. Mas eu gostaria de uma opnião.

Analisando a rede:

O link chega até a empresa, entra num roteador CISCO, depois sai para um servidor linux, depois para um swith. Até ai tudo bem. Quando eu tiro o sinal do swith e mando para o AP que fara o ptp. O sinal ja sai filtrado, ou seja, ele esta após as seguranças da rede. Isso signifca que quem invadir, ja teria pulado o roteador e o servidor. O mais correto seria eu colocar o sinal do AP saindo do CISCO, mas para isso eu teria que configurar algo nele ??

[GrayFox]

Existe um topico para "prestacao de servicos" aqui no forum.


O ideal seria utilizar WPA ou AES. Esqueca de WEP.

[tuxbrasil]

amigo você evitar o servidor não vai mudar muita coisa, o pessoal do warchalking ta ai sempre tentando quebrar as formas de segurança que axiste e nos administradores estamo ai para barra isso ai, nesse projeto eu compraria radios proprietarios como os canopy por exemplo ou mp11a da proxim e fazia tuneis VPN e ainda alguma outra forma de autenticação...seria complicado invadir isso...mais não impossivel, pois saiba que seu servidor ja tando com ipreal basta para ser alvo e se pegar um cara bom vai passar por ele então fala pro seu chefe as vantagens e pergunta se estão dispostos a gastar heheh
ahh contrato algum muito bom para montagem da infrestutura

[marcelomg]

Amigo, vc pode começar por amarar ip com o mac na tabela arp, tambem rodar uma VPN e deixar o ssid oculto, com isso vc pode ficar tranquilo em relação a warchalking.
Não acho que usar uma solução proprietária seja nescessário mas se o cliente pagar...

[leobsl]

ola grande pelo que entendi vc administra essa rede ,, entaum nao tera problema fazer algumas mudança ,, olha so . sugiro o seguinte

1 colocar uma outra placa de rede no servidor linux ... ( ligar o ap do ptp nessa placa )
2 gerar uma faixa de ip diferente da faixa da rede interna onde esta o switch .

3 esconder o ssid

4 nos ap's como serao poucos clientes coloque amarraçao pelo mac ....

5 se vc quiser realmente uma confiabilidade 80% fassa o que ja foi comentado acima coloque radios com suporte a tunel (vpn)

[josedr]

Não perca tempo com elucubrações. Instala logo VPN ou PPPoE.
Se está em dúvidas como se faz isto, contrate profissional da área de redes para implantar na empresa.
Há firmwares para AP que implementam VPN nativamente, sem necessidade de configurar nada nos servidores da empresa.