+ Responder ao Tópico



  1. #41

    Padrão

    Faça um testezinho básico...
    Crie um servidorzinho dhcp com um hotspot-zinho e use dhcp fixo, clone o mac e veja se vai aparecer dois usuários na lease, aí tira um print screen e me envie.

  2. #42

    Padrão Vlan

    Gente eu estive pensando aqui, não é mais vantagem fechar toda a rede com Vlan e fazer cada usuario ter um "PTP" até o servidor, e depois vc fazer um radius para o mikrotik autenticar mac e criar uma chave wpa para cada cliente no radius, o manga fez um pdf a respeito desse assunto do wpa.
    Assim se o cara passar a wpa ele vai pegar apenas uma chave, e se mesmo que entre na rede quando der scan ele vai ver apenas a porta do servidor, não vai ter broadcast de clientes por causa do forward do cartão estar desligado e por que vc tem uma estutura de Vlan isolando os clientes.
    Se eu estiver errado me corrijam por favor.

  3. #43

    Padrão

    Será se todos os seus usuários vão suportar as vlan's?

  4. #44

    Padrão

    Citação Postado originalmente por lienkarf Ver Post
    Gente eu estive pensando aqui, não é mais vantagem fechar toda a rede com Vlan e fazer cada usuario ter um "PTP" até o servidor, e depois vc fazer um radius para o mikrotik autenticar mac e criar uma chave wpa para cada cliente no radius, o manga fez um pdf a respeito desse assunto do wpa.
    Assim se o cara passar a wpa ele vai pegar apenas uma chave, e se mesmo que entre na rede quando der scan ele vai ver apenas a porta do servidor, não vai ter broadcast de clientes por causa do forward do cartão estar desligado e por que vc tem uma estutura de Vlan isolando os clientes.
    Se eu estiver errado me corrijam por favor.

    wpa é muito simples de quebra , a formar mais segura mesmo é certificado digital. pois noa tem como clonar e quem quebra um certificador de 1024 ou 2048 bits,

    so a nivel de informação para os amigos, a empresa que cria certificado de 1024bits, publicou na net, que para quebra um certificado de 1024bits levaria 5 anos para ser quebrado em força-bruta.
    ai é simples so vc criar um certificado com validade de 3 anos, pois eu duvido quem tem windows instalado passar mais de 3 anos sem formata, pois o praga do windows com 1 ano instalado não tem quem aguenta de virus rsrsr...

    lembrando aos amigos que wpa2-AES aceita certificado digital, então se o equipamento do cliente aceita certificado digital, vai ficar seguro tambem.
    Última edição por edielsonps; 21-10-2009 às 20:09.

  5. #45

    Padrão wpa

    Mais seria uma wpa por cliente, se quebrar quebra apenas uma, trocou acabou, e foi o que eu disse antes, se o cara entra fica só falando com o servidor se vc fechar todas as suas torres e cartões em cima de uma estrutura de vlans, por que com as vlans vc faz um tipo de ptp virtual do cliente para o servidor. Só não indico wpa dinamica em cima do radius por que come muito processamento do rádio. E no caso das vlans os clientes não precisam suportar não, por que o que isola os clientes é o forward bloqueado no cartão do ap, a vlan serve para uma torre não comunicar com a outra e para um cartão não conversar com o outro dentro da routerboard.
    Certificado digital é legal, porém vpn não é. Por que se vc vai usar vpn é melhor usar pppoe que também é uma vpn e é mais facil de o cliente configurar. Problema que tanto vpn quanto pppoe caem com latencia alta, e para manter esses serviços sua rede tem que ser impecavel. Eu estou pesquisando um pouco authpf do freebsd, se eu conseguir fazer um clientezinho para windows seria legal, ai vc cria um tunel ssh que suporta mais latencia que um tunel pppoe, e o tunel ssh não é para navegação é apenas para dizer que o cliente está ativo, e o legal que cada tunel ssh tem a sua criptografia sua chave ou seja ele faria o mesmo que um certificado só que de forma mais simples e o melhor dinamico, cada vez que o cara loga voce pode mudar a chave. Vou pesquisar como fazer um clientezinho para windows que faça esse tubo ssh num servidor freebsd ^^
    E gente não tem por que fugir de freeradius, tem muita coisa aqui no forum a respeito, centraliza a configuração da rede, e vc pode permitir ou negar varias coisas como qual cliente pode conectar em qual cartão, freeradius é legal.

  6. #46

    Smile Comoseria esse script?

    Citação Postado originalmente por Raniel Ver Post
    Olha só, configurando dhcp com ip fixo e não deixar que o hotspot libere os ips de uma determinada pool, como na maioria das vezes, quando uma pessoa clona o mac a outro fica sem pegar o ip, por isto que uso um script. Lembre-se do host-name...
    Amigo, se possivel poderia postar esse script para analisar-mos e também para termos noção como funciona. abraços!!!

  7. #47

  8. #48

    Padrão

    bom a apresentação do edielson, foi sensacional.
    Funciona bem, sem gerar mensagens nos pcs dos clientes. nao importa o navegador. com um certificado para cada cliente.

    Parabens Novamente Edielson
    No caso de Provedores novos ou com muito problema de invasão é ideal.
    se for mudar em um provedor ja existente é meio trabalhoso,
    Mas esse metodo é sim segurança. e nao hotpot ou pppoe como muitos acham.

  9. #49

    Padrão

    Citação Postado originalmente por cleijean Ver Post
    Amigo, se possivel poderia postar esse script para analisar-mos e também para termos noção como funciona. abraços!!!
    Ele funciona da seguinte forma:
    a) tem-se os clientes e cada cliente sirvo internet com dhcp fixo e com hotspot;
    b) tudo que precisarei está na a);
    c) precisarei saber todos os nomes dos computadores dos pcs(host-name);
    d) configurar um profile no hotspot dizendo: intruso, ou algo do tipo.
    e) configurar um script para saber se o nome exibido no host-name do dhcp -> lease é realmente e nome dos pcs ativos no active do hotspot, se sim, ele passa, se não, ele remove do active, muda o profile;
    f) assim que o intruso reconectar vai receber a mensagem no profile.

    Isto que ele faz.

    Veja na imagem a seguir:
    http://img691.imageshack.us/img691/4649/tela5.png

    Fiz esta configuração num provedor vizinho.

  10. #50

    Padrão

    O problema é, não existe segurança nenhum apenas no Hospot.
    So precisa cloca um ip e um mac de um cliente conecta e pronto ja vou navegar sem mais nada.
    nem precisa passar pelo dhcp.
    O pior é que ainda posso da um ataque "dhcp" "starvation" e lascou com o dhcp inteiro da rede ai para tudo de funcionar .

    e so o atacante usar Aircrack-ng e manda ataque de tudo que é especie tanto wireless como servidor.


    em breve estarei postando aki uma insegurança pior que ja estou fazendo os teste..

  11. #51

    Padrão

    Temos que usar um filter para amenizar isto, por isto que é necessário bloquear o restante, liberando apenas o necessário.
    Eu sei....
    NÃO EXISTE SISTEMA 100% SEGURO!

  12. #52

    Padrão

    muito interessnte
    a pergunta é apos a palestra será postado aki no forum um wiki ensinando ?

  13. #53

    Padrão

    Citação Postado originalmente por Raniel Ver Post
    Ele funciona da seguinte forma:
    a) tem-se os clientes e cada cliente sirvo internet com dhcp fixo e com hotspot;
    b) tudo que precisarei está na a);
    c) precisarei saber todos os nomes dos computadores dos pcs(host-name);
    d) configurar um profile no hotspot dizendo: intruso, ou algo do tipo.
    e) configurar um script para saber se o nome exibido no host-name do dhcp -> lease é realmente e nome dos pcs ativos no active do hotspot, se sim, ele passa, se não, ele remove do active, muda o profile;
    f) assim que o intruso reconectar vai receber a mensagem no profile.

    Isto que ele faz.

    Veja na imagem a seguir:
    http://img691.imageshack.us/img691/4649/tela5.png

    Fiz esta configuração num provedor vizinho.
    vc poderia disponibilizar o script aki no forum ?

  14. #54

    Padrão

    Alguem sabe se vai sair tutorial ou wiki sobre o assunto?

  15. #55

    Padrão

    ja está postado do wiki

    MUM 2009 BR - MikroTik Wiki

  16. #56

    Padrão

    Citação Postado originalmente por Raniel Ver Post
    Ele funciona da seguinte forma:
    a) tem-se os clientes e cada cliente sirvo internet com dhcp fixo e com hotspot;
    b) tudo que precisarei está na a);
    c) precisarei saber todos os nomes dos computadores dos pcs(host-name);
    d) configurar um profile no hotspot dizendo: intruso, ou algo do tipo.
    e) configurar um script para saber se o nome exibido no host-name do dhcp -> lease é realmente e nome dos pcs ativos no active do hotspot, se sim, ele passa, se não, ele remove do active, muda o profile;
    f) assim que o intruso reconectar vai receber a mensagem no profile.

    Isto que ele faz.

    Veja na imagem a seguir:
    http://img691.imageshack.us/img691/4649/tela5.png

    Fiz esta configuração num provedor vizinho.
    Poderia dar mais detalhes pois não sou tão bom em scripts e não imagina como estou sofrendo aqui com clonagem de mac.
    Já vi tambem em um outro provedor que quando o cara clona o mac em vez de o hotspot dar o mesmo ip para o cara que clonou ele gera um outro ip pedindo usuario e senha de novo, mas tentei aqui e não consegui fazer.
    Última edição por gulinhaster; 06-12-2009 às 09:19.

  17. #57

    Padrão

    Meu script funciona da seguinte forma:
    *como explicado acima.
    Toda vez que um usuário loga no hotspot, ele executa o script de verificação.
    Dá um print em todos os active, verifica o hostname de um por um, se há algo errado, no hostname, ele remove o usuário do active do hotspot, desativa ele na lease por 5 segundos, muda o profile dele para outro, tipo o que mostrei acima.
    Enquanto tiver com o nome errado, ele faz sempre esta alteração.

  18. #58

    Padrão Parabéns

    Edielson,
    Acabei de ler seu pdf explicativo de como fazer o l2tp com certificados!
    É mais uam forma de usarmos para que nossos clientes se conectem de forma segura.

    Obrigado

    Abraços

    Bruno Queiroz

  19. #59

    Padrão

    Edielson, muito bom trabalho, inclusive assisti sua palestra, achei fantastica a ideia. Mas so depois me veio uma duvida, como eu faria com meus clientes que possuem servidores linux como gerenciadores de internet e na maioria sem modo gráfico.

    Abracos


    Citação Postado originalmente por edielsonps Ver Post
    ja está postado do wiki

    MUM 2009 BR - MikroTik Wiki

  20. #60

    Padrão

    Citação Postado originalmente por standart Ver Post
    Edielson, muito bom trabalho, inclusive assisti sua palestra, achei fantastica a ideia. Mas so depois me veio uma duvida, como eu faria com meus clientes que possuem servidores linux como gerenciadores de internet e na maioria sem modo gráfico.

    Abracos

    No linux voce poder configura um discador l2tp+ ipsec sem problema algum, tanto em desktop quanto em modo console.