Sistema Anti-Clone (MIkroTik)

[caicarabruno]

Alguem já descobriu como fazer o proprio certificado, sem apresentar a mensagem de alerta nos browsers??

Amigo boa sorte na sua apresentação no MUM, qeu de tudo certo!

Sobre certificado até entendo um pouco pois fiz um pequeno tutorial sobre SSL, porém o mesmo pode ser criado no XP mesmo, da mesma forma que no linux, porém sempre tem um problema para ser resolvido e este problema é a ENTIDADE CERTIFICADORA, as famosas CA's. Dei uma pesquisada sobre o assunto e para ser uma empresa certificadora além de ter uma grana tem de ser certificado no mínimo ISO 9001 e 27002, então para ser tem qeu ter.

Amigo infelizmente não pois ja imaginou se todos pudessem fazer suas criptografias, o SSL iria perder seu valor de mercado, por isso as empresas que mantem os browsers não liberam isto, pois eles ganham com isto.

abraços

[pedrovigia]

Amigo infelizmente não pois ja imaginou se todos pudessem fazer suas criptografias, o SSL iria perder seu valor de mercado, por isso as empresas que mantem os browsers não liberam isto, pois eles ganham com isto.

abraços

Pior que estão até pirateando certificados agora, veja esse do paypal:

Full Disclosure: null-prefix certificate for paypal

[edielsonps]

Pior que estão até pirateando certificados agora, veja esse do paypal:

Full Disclosure: null-prefix certificate for paypal

certificado de 1024 e 2048bits impossivel até hoje de ser quebrando.

agora existe algumas empresas que vendem certificado de 128 e 256bits este são mais fracos mesmo.

a maior empresa de certificado digital do brasil, cria os certificados de 1024bits,
Eles lançaram um nota afirmando que se pegarmos a melhor maquina do mundo pra quebrar um certificado de 1024 na força bruta, elevaria 5 anos para ser quebrado , agora lembrando que ele criam certificado com validade de 1 anos a até 3 anos , entao ate antes mesmo que eles seja quebrado ja não serviria pois o certificado para de funcionar quando ele venci.

hoje a melhor forma e mais segurado do mundo de autenticação e por certificador digital.

queria desde ja convidar os amigos do Forum para o MUM 2009
estarei la palestrando
autenticação 100% segura L2tp+IPsec+Certificador de 1024 e 2048bits
espero ver os amigos lá

[edielsonps]

vejam ai
Certificados Digitais SSL

CertificadoCodificaçãoPrazo de emissão Custo anual
(R$)RapidSSL128 bits 1 dia útil 149,00*Geotrust QuickSSL Premium 128 bits 1 dia útil 590,00Geotrust True Business ID
CertificadoCodificaçãoPrazo de emissão Custo anual
(R$)RapidSSL128 bits 1 dia útil 149,00*Geotrust QuickSSL Premium 128 bits 1 dia útil 590,00Geotrust True Business ID
Geotrust True Business ID 128 bits 5 dias úteis 730,00

eles vender certificador de 128bits

mais se os amigos quizerem dentro do linux voces mesmo podem criar certificado de 1024 ou 2048 bits gratis

voces podem cria um entidade certificadora local ai é so criar os certificados para cada host dentro da sua entidade local e instalar no cliente windows que ou cliente linux que navegador do seu cliente vai reconhecer como certificado como valido valido

[pedrovigia]

certificado de 1024 e 2048bits impossivel até hoje de ser quebrando.

agora existe algumas empresas que vendem certificado de 128 e 256bits este são mais fracos mesmo.

a maior empresa de certificado digital do brasil, cria os certificados de 1024bits,
Eles lançaram um nota afirmando que se pegarmos a melhor maquina do mundo pra quebrar um certificado de 1024 na força bruta, elevaria 5 anos para ser quebrado , agora lembrando que ele criam certificado com validade de 1 anos a até 3 anos , entao ate antes mesmo que eles seja quebrado ja não serviria pois o certificado para de funcionar quando ele venci.

hoje a melhor forma e mais segurado do mundo de autenticação e por certificador digital.

queria desde ja convidar os amigos do Forum para o MUM 2009
estarei la palestrando
autenticação 100% segura L2tp+IPsec+Certificador de 1024 e 2048bits
espero ver os amigos lá

Quem falou em quebra, é pirataria mesmo cópia do original, acesse o site e veja ....

[edielsonps]

Quem falou em quebra, é pirataria mesmo cópia do original, acesse o site e veja ....

entendi que o amigo folou,
a forma correta de se trabalhar com certificador é o seguinte 1 certificado para cada cliente. ai nao tem como piratear, se acontecer algum problema com o cliente ou com o certificado dele é so preciso gerar um novo certificado so para ele. a chave é diferente para cada cliente

[O-Ren]

Faça um alguns perderem umas ou até mesmo várias noites e, se for o caso, partindo para outro, usando scripts no próprio mikrotik.

[Raniel]

Também tenho um esquema usando hotspot, o sujeito recebe uma telinha de aviso "Fora invasor!".

[cesarpsa]

Alguem conhece alguma Entidade Certificadora que faz certificados que alem de ser reconhecido pelo MK sejá tambem reconhecido pelo IE e elo Mozilla sem que der aquela mensagem chata e que tenha um custo anual baixo e que aceite pessoa fisica?!?

[caicarabruno]

Pedro blza man!

Bom a solução na qual eu estou tentanto você ja tem no seu sistema porém na hora de registra-lo!
O código que é gerado do HD.

A minha idéia é essa! para seguraça no hotspot todo hd tem um registro, Qual a idéia em si, quando o cliente autentica no hotspot auto maticamente podemos saber qual o seu MAC, porém teoricamente falando poderiamos ter algum aplicativo rodando na página de autenticaçao que pegue o registro do hd e salve num banco utilizado pelo radius, ou no primeiro acesso este número seria gerado e o cliente entra em contato, ou acessa a central do assinante e cadastra este número! Pronto

Um clonador, pega o mac e o ip do cliente porém quando o sistema verificar o id do HD ele simplesmente ignora requisição do ID do clonador.

Bom pegar o id ja concegui mas o restante esta um tanto enrolado pois sem tempo e emferrujado para programar, pois trabalho e aidna tenho o provedor hehe.

E não posso esquecer MULHER!

Abraços

flw

[pedrovigia]

Pedro blza man!

Bom a solução na qual eu estou tentanto você ja tem no seu sistema porém na hora de registra-lo!
O código que é gerado do HD.

A minha idéia é essa! para seguraça no hotspot todo hd tem um registro, Qual a idéia em si, quando o cliente autentica no hotspot auto maticamente podemos saber qual o seu MAC, porém teoricamente falando poderiamos ter algum aplicativo rodando na página de autenticaçao que pegue o registro do hd e salve num banco utilizado pelo radius, ou no primeiro acesso este número seria gerado e o cliente entra em contato, ou acessa a central do assinante e cadastra este número! Pronto

Um clonador, pega o mac e o ip do cliente porém quando o sistema verificar o id do HD ele simplesmente ignora requisição do ID do clonador.

Bom pegar o id ja concegui mas o restante esta um tanto enrolado pois sem tempo e emferrujado para programar, pois trabalho e aidna tenho o provedor hehe.

E não posso esquecer MULHER!

Abraços

flw

é uma boa ideia, mais meu sistema usa shell script para pegar o serial e com o windows para fazer isso com o hotspot acho que o unico meio é com java ou flash-actionscript ai tem o problema que o cliente irar precisar ter um dos dois instalados ....

[caicarabruno]

é uma boa ideia, mais meu sistema usa shell script para pegar o serial e com o windows para fazer isso com o hotspot acho que o unico meio é com java ou flash-actionscript ai tem o problema que o cliente irar precisar ter um dos dois instalados ....

Então brother é possivel com vbscript + php, vbscript rodando na página do hotspot, assim poderia gravar op id no freeradius.

Sim a idéia de usas javascript ja passou pela minha mas como disse enferrujado haushas



flw

brother qnt é a licença do mk-auth ?? brother

Bruno

[Gustavinho]

Ja acompanhei o Tutorial do caicarabruno e realmente funciona o certificado...o problema é só os Browsers darem a msg de certificado não assinado.....

No entanto seria ótimo mesmo trabalhar com cert. nas autenticações.

[caicarabruno]

Ja acompanhei o Tutorial do caicarabruno e realmente funciona o certificado...o problema é só os Browsers darem a msg de certificado não assinado.....

No entanto seria ótimo mesmo trabalhar com cert. nas autenticações.

É realmente é um problema, porém se o certificado for instalado na máquina do cliente não vai aparecer aquela menssagem.
Uma solução interessante seria disponibilizar como se fosse um link na página de hotspot para que as pessoas fizessem o download e aplicassem em seus PC's.

fiz isso e funcionou, porém alguns ligaram para mim, ai então coloquei uma menssagem de que teriam de instalar com urgencia para maior segurança deles mesmos, ai então todos instalaram e ativei o HTTPS. Ficou show.

Porém deixei meu sócio. Safado rsss. Me roubou (desabafo _ Agora quero ver ele se virar sozinho, eu cuidando das partes tecnicas e clientes ele administrando, boa sorte.).


Agora vou começar do zero rsss.

abraços

bruno Queiroz

[edielsonps]

Não adianta de nada usar certificado + Hostpot e pensar que sua conexão ficou segura , pois a unica coisa que vai diferenciar é que ninguem consiguirar capturar o login e senha do hotspot quando usamos o HTTPS, mais quero lembra aos amigos que para burlar uma conexao hotspot, não precisamos saber login ou senha se alguem não, precisamos apenas clona o IP e MAC de alguem que esta conectado no momento, e ja vamos navegar junto com o cliente pegando uma carona ca sessão do seu cliente, e sem aparecer mensagem de conflito.

e se voce usar hotspot com dhcp é mais simples só precisa clonar o MAC.

[pedrovigia]

Não adianta de nada usar certificado + Hostpot e pensar que sua conexão ficou segura , pois a unica coisa que vai diferenciar é que ninguem consiguirar capturar o login e senha do hotspot quando usamos o HTTPS, mais quero lembra aos amigos que para burlar uma conexao hotspot, não precisamos saber login ou senha se alguem não, precisamos apenas clona o IP e MAC de alguem que esta conectado no momento, e ja vamos navegar junto com o cliente pegando uma carona ca sessão do seu cliente, e sem aparecer mensagem de conflito.

e se voce usar hotspot com dhcp é mais simples só precisa clonar o MAC.

isso é verdade o lance aqui é o tunel seguro para se usar a internet e não certificados ssl em navegadores ...

[caicarabruno]

Não adianta de nada usar certificado + Hostpot e pensar que sua conexão ficou segura , pois a unica coisa que vai diferenciar é que ninguem consiguirar capturar o login e senha do hotspot quando usamos o HTTPS, mais quero lembra aos amigos que para burlar uma conexao hotspot, não precisamos saber login ou senha se alguem não, precisamos apenas clona o IP e MAC de alguem que esta conectado no momento, e ja vamos navegar junto com o cliente pegando uma carona ca sessão do seu cliente, e sem aparecer mensagem de conflito.

e se voce usar hotspot com dhcp é mais simples só precisa clonar o MAC.

Bom isto eu já sabia! POis fiz uns testes e vi que não adiantava porém só deles não saberem a senha e usuário ja é uma vitória, imaginem ele nem precisaria trocar mac, bastaria apenas colocar um IP ou pegar via DHCP para logar!

MAs no meu caso estou migrando para PPPoE em sima do hotspot, desta forma resolvo o problema do cliente ficar com a menssagem de "conexão nula ou Limitada"

abraços
Bruno Queiroz

[interhome]

A preocupação que tenho é o quanto cada vpn na rede representa para o servidor e como esta rede tem que esta certinha para manter estável a conexão?
Na idéia do hostcert, eles controlam os clientes diretamente na maquina do cliente.
Vou ta lá no MUM para assistir a palestra.

[Raniel]

...se voce usar hotspot com dhcp é mais simples só precisa clonar o MAC.

Olha só, configurando dhcp com ip fixo e não deixar que o hotspot libere os ips de uma determinada pool, como na maioria das vezes, quando uma pessoa clona o mac a outro fica sem pegar o ip, por isto que uso um script. Lembre-se do host-name...

[edielsonps]

Olha só, configurando dhcp com ip fixo e não deixar que o hotspot libere os ips de uma determinada pool, como na maioria das vezes, quando uma pessoa clona o mac a outro fica sem pegar o ip, por isto que uso um script. Lembre-se do host-name...

se o cara da um scan na sua rede ele pega todos os ips e mac's, se ele clona um que esteja conectado pronto, já navega os 2 cliente ao mesmo tempo, ou se tiver 10 pessoas clonando os mesmo ip e mac funcionar tambem os 10 vai navegar sem problemas.

entao nao adiante usar script ou coisa 0e género hotspot apenas não tem solução, o que daria segurança par vc seria criptográfica com certificador ou túnel com certificado..