dhcp statico /32
arp dos clientes
hotspot (usuario e senha) atrelado ao IPxMAC do cliente
configurado para somente 1 mac por user
paginas de login com ssl (para evitar sniffer nos logins)
radios conectados com wpa2 individual...
fica mtoo dificil de ser invadido.
bom, não existe nenhuma rede wireless inviolavel, todo mundo já deve ter tentado invadir alguma rede em algum momento... sinceramente eu costumo brincar de "wardriving" de vez em quando, mas costumes a parte... vamos ao que interessa!
o que émais seguro para você se precaver deste problema:
*primeiro mudar a sua rede de sistema de ip estatico, para sstema ppoe "usuario e senha"
*segundo, mudar a sua senha "master" dos radios, ou adotar mais de uma senha
*fazer o controle de banda por mac, não por ip (assim você evita que alguem consiga usar o exedente de banda da torre)
*e desativar os comandos ssh dos radios, assim você evita que algum espertinho recupere as senhas dos radios
espero ter sido util nas minhas dicas... porque eu afirmo, não existe rede inviolavel... sim hacker inesperiente ou despreparado... eu comecei no segmento de rede wireless como hacker, agora já estou estruturando a minha 3ª torre, e nas outras duas usei rados ap,mas agora quero mudar tudo para o so mikrotik... evolução é a chave... outra coisa procure explorar a polarização vertical, ela tem menos ruido e menos equipamentos instalados... sendo assim mais segura até contra invasão.
na verdade não existe sistema seguro, se colocar radio nos clientes com a configurações todas nele acho que dificulta um pouco, por que o radio chave mac e ip o cliente nem sabe qual e então fica mais forte um pouco, forte na questão de clientes que passam os dados para os espertos.
tenho, meu sistema de transmição em uma cidade com mais de 200 mil pessoas, realmente eu encontrei um espectro mais limpo na polarização horizontal... ai lógico, sempre tem o jogo de canal frequencia e potencia de saida... lógico que o o radio ap é mais seguro, mas o seguinte, se você proceder da maneira correta consegue recuperar a senha de administrador do radio "ap"... e com o programa (advanced ip scan) que você pode baixar do baixaki pode rastrear a rede toda... com o netstubler você pode vaer os mac´s que estão na rede transmissor "torre" aparece com criptografia, e na aba sem criptografia, aparece os mac´s dos clientes... para bom entendedor meia palavra basta... realmente não existe sistema wirelless 100% seguro, mas o sistema mac+usuário+senha é o mais seguro, porque a maquina para ter acesso ao sinall precisa conhecidir 3 dados principais, ai pode ser até com antena usb ou placa pci... realmente vai dos clientes se a pessoa tiver intenções ruins vai invadir mesmo... realmente pode ter problemas ai você limita o numero de conexões por mac, esse seria o sistema mais simples de resolver o seu problema! tente proceder desta forma... só mais uma pergunta qual é o seu sistema de transmição?
Desculpem em estar resgatando este tópico , mas eu estou com o mesmo problema...
Não queria perder o uso de hotspot , devido ao Marketing que posso fazer com o mesmo...
Deveria existir alguma forma do Hotspot trabalhar atras do PPPoE e radius, ou seja assim que usuario se logar pelo hotspot , o mesmo deverá informar o certicado usuario e senha para poder acessar a net , ficando desta forma:
Radius --> PPPoE --> Hotspot SSL
Alguém conseguiu uma solução pra isso?
Olá Amigo 1929
Estou usando sim.....WPA2 AES...
Mas não ache que o WPA2 seja inquebravel mesmo usando o AES...
Usando o Backtrack ,aircrack ,wireshark e kismet , quebrei minha própria criptografia....
Levei dias e horas e foi muito dificil......de fato enche o caso quebrar uma criptografia dessa..rsrs
mas seguindo os tutos pelo youtube e seguindo alguns tutos pelo pai google consegui entrar na minha rede...
levando em consideração de que não sabia de nenhuma informação de dentro...
Por tanto para o WPA2 , pretendo usa-lo no modo WPA2 EAP AES (certificado) , junto com radius...
ai sim....quero ver.....
Na verdade devemos sempre lembrar de que em uma rede ,é dificil ter uma rede 100% rapida e 100% segura ao mesmo tempo...
pois segurança de mais interfere no desempenho....
Pretendo então primeiramente fortalecer a segurança da rede , e suprir a queda de desempenho com equipamentos robustos , tentando retirar também a rede encapsulada... ou efeito cascata
Alguém ai ja fez o processo de Radius + PPoE + Hotspot ?
Sim, com mais proteção vai ficar "quase" impossível. Não existe 100% de garantia.
Mas você disse que levou dias para conseguir. Vamos supor que reiniciando os rádios em horários programados, será que não teria que começar o scan do início novamente?
Usando chave individual fica mais difícil ainda, pois daí a chave fica só para aquele assinante.
Quanto ao processamento, creio que só é exigido mais durante a autenticação. Depois normaliza.
Rs , é verdade .... "quase impossivel" , nesta area nada é impossivel , tenho certeza que quando encontrarmos uma solução , vão descobrir outra maneira de invadir , e assim fecha o ciclo...
Mesmo assim a tendencia é não facilitarmos esses invasores de bolso furado...
Sobre o tempo que levei para tentar entrar em minha rede usando wpa2 , creio que me expressei mal...
A quantidade de dias que levei , foi apenas para aprender como acessar o WPA2 , demorei muito por que achei que a mesma forma de acessar o wpa2 seria o mesmo do WPA.....ixiiii passei longe....
mas o tempo que levei mesmo para acessar minha rede , foram algumas horas e horas....
creio que se alguém tentar invadir , tenho a esperança de que acabe desistindo , por que é muito demorado.....tem que esperar a comunicação atingir um bom numero de "Beacons".....exportar a lista pro aircrack e tentar....
o que ajudou também na demora foi o hide SSID também , descobri que alguns aps meus (os que não estão no Mikrotik) mesmo marcando em Hide , o SSID é mostrando por Scanner simples...
Agora sobre o processamento em cima da segurança....
Creio que seja Variavel....
Não tenho certeza , me corrija(m) se estiver errado , mas quando você usa PPPoE com TLS/SSl criptografado ou Wpa2 com criptografia...essa "criptografia" , é processada durante toda a formação de pacotes criptografados , e no envio e recebimento desses pacotes criptografados...
Como se fosse um túnel...criptografado..rsrs
Devido ao processador te que executar toda essa formação de pacotes com criptografia , embaralhar os pacotes , enviar as e receber , desembaralhar os pacotes e descriptografar , confirmar (checksum) , creio que acaba sim acarretando um pouco no desempenho...
se fosse somente na autenticação , estariamos mortos....pois colocando estações no modo de escuta , fica muito mais facil capturar esses pacotes.
é por isso que muitos roteadores travam ao usar certos tipos de criptografias , por causa de seu processamento...
Realmente , distribuindo a chave individual para cada assinante dificulta sim....
Não sou perito em segurança , portanto caso eu tenha falado alguma caca , me avisem por favor..
o uso de somente uma ferramenta de seguranca nao te da nenhuma seguranca.
o uso de varias ferramentas de seguranca te da uma pequena seguranca... mas nenhuma rede é segura.
tanto Hotspot, como PPOE sao snnifavel.
porem, somente no Hotspot é possivel navegar juntamente com o cliente verdadeiro, simplesmente clonando o MAC. No PPOE, quando um conecta, o outro cai.
Se quer melhorar a seguranca da sua rede, devera usar mais de uma seguranca...
vamos la:
- Roteador no cliente (nunca use placa pci ou USB), faça NAT no roteador (assim voce separa a rede do cliente da sua), coloque senha para acesso ao Setup (assim evitamos o cliente de ter conhecimento do MAC, IP e a Chave para conexao Wireless).
Se nao usar esse primeiro, esqueça as outras Dicas, de nada adiantara... pois qualquer cliente podera ver as senhas que estao no computador ou ate mesmo copiar os certificados.
- Na torre use alguma Chave Criptografia para Conexao e somente a empresa pode ter conhecimento, assim evitamos de pessoas nao autorizadas se conectar na Torre... nao use WEP ou WPA TKIP, essa é quebravel ou parcialmente-quebravel... use WPA AES ou WPA2 com chaves longas, exemplo: Sk$y^aVdG&(SAEGF123F62)KhvaE24
(o WPA2, por enquanto é inquebravel... mas Chaves curtas podem ser quebradas facilmente atraves de ataque de dicionario)
-- Ainda na torre, ative a isolacao de cliente (assim evitamos dos clientes se enchergar no mesmo AP)
- Use Switch com VLAN ou rede Roteada para interligar os pontos (inclusive para interligar os APs na torre), assim evitamos de cliente de um AP ou Torre enchergar clientes de outro AP ou Torre... alem de eliminar o Broadcast.
- Use IPs /32
- Na autenticacao, so permita um usuario por mac (uma unica autenticacao).
Se usar Hotspot, use SSL junto
Como eu disse anteriormente, nao existe rede completamente segura, mas Com essas medidas voce conseguira dificultar que uma pessoa nao Autorizada acesse sua rede.
- Com WPA AES ou WPA2 para conexao wireless, voce dificultou que uma pessoa nao autorizada se conecte na sua rede.
- Com o Switch com vlan, isolacao de cliente no AP e IP/30... voce dificultou que fizessem um scan e descobrisse o MAC e IP dos clientes.
-------------------------------------------
Para usar PPOE e Hotspot para autenticacao, faz necessario 2 Servidores distintos.
um para autenticar PPOE e o outro a frente para autenticar Hotspot
precisa usar IP valido nos clientes
[QUOTE=didism2;587897]
Mas não ache que o WPA2 seja inquebravel mesmo usando o AES...
Usando o Backtrack ,aircrack ,wireshark e kismet , quebrei minha própria criptografia....
Levei dias e horas e foi muito dificil....../QUOTE]
kkkkkkkkkk
vejo que andou lendo "algumas coisas"
mas nao é bem assim.
o WEP sim é quebravel com essas ferramentas.
o WPA Tkip pode ser quebrado PARCIALMENTE com essas ferramentas... por que parcialmente? pois somente a chave do lado do cliente pode ser quebrada, a chave do AP nao pode ser quebrado... PS: nao estamos falando da chave original, visto que essa chave nao trafega no wireless, mas é usada para gerar uma criptografia que so pode ser decriptada se tiver essa chave. apos isso a comunicacao realizada, é usada OUTRA chave, que é renovada contantemente, a cada ciclo.
WPA AES e WPA2 continuam inquebravel.
Salvo ataque por dicionario... que conciste em um tipo de ataque onde a maquina fica tentando milhares de senhas possiveis.
Valem dizer que uma senha com 20 algoritimos, entre letra maiscula/minuscula, numeros e simbolos... demorariam mais de 50 anos para ser quebrada dessa forma
kkkkkkkkkk<br>vejo que andou lendo "algumas coisas"
mas nao é bem assim.
o WEP sim é quebravel com essas ferramentas.
o WPA Tkip pode ser quebrado PARCIALMENTE com essas ferramentas... por que parcialmente? pois somente a chave do lado do cliente pode ser quebrada, a chave do AP nao pode ser quebrado... PS: nao estamos falando da chave original, visto que essa chave nao trafega no wireless, mas é usada para gerar uma criptografia que so pode ser decriptada se tiver essa chave. apos isso a comunicacao realizada, é usada OUTRA chave, que é renovada contantemente, a cada ciclo.
WPA AES e WPA2 continuam inquebravel.
Salvo ataque por dicionario... que conciste em um tipo de ataque onde a maquina fica tentando milhares de senhas possiveis.
Valem ressaltar que uma senha com 20 algoritimos, entre letra maiscula/minuscula, numeros e simbolos... demorariam mais de 50 anos para ser quebrada dessa forma
Amigo mascarapj....
Realmente é uma ótima idéia , usar as configurações que você mencionou.....
Vlan's , IP/30 - 32 , SSl , fazem a diferença ,e são ainda os unicos que ainda não usei.....o restante uso aqui no dia dia.....
embora seria bom que leia "algumas coisas" , aqui mesmo no forum e outros pelo mundo ai fora...e verás que bloqueio por subrede não é nada , mas já é algum empecilio...
Sobre WPA2 , digo que é quebravel SIM.....quando li também não acreditei , mas quando testei e consegui , vi que é quebravel sim...
Mas depois do seu pot ,lembrei que minha senha contém 15 caracteres , usando numeros e letras minusculas.....
Talvez o que tenha facilitado tenha sido isto...
Aconselho , quando usarem o WPA2 , acompanharem ele com AES e SSL...
Vou testar hoje a possiblidade de usar Vlan's , e outras dicas que você passou aqui...
e a senha do Wpa2 aes , vou mesclar com alguns simbolos , e letras maiusculas minusculas e numeros....e depois tento quebra-la novamente pra ver se vou conseguir...
posto o resultado ai....
Última edição por didism2; 17-11-2011 às 15:38.
Por favor,
me passe as telas ou export que usou nas configurações da WPA2 AES (não preciso da passfhrase, apenas das configurações usadas). Até onde eu sei, ninguém havia conseguido método para quebrar a mesma (japoneses e e alemães até conseguiram explorar uma falha da TKIP do WPA, mas ficou por ai... até onde eu sei, mas posso estar desatualizado)