A idéia do hostcert é interessante. Mas hoje eu acredito ser melhor pppoe servidor dhcp desligado. Mas o sinal tem que estar bom para o pppoe funcionar direito.
A idéia do hostcert é interessante. Mas hoje eu acredito ser melhor pppoe servidor dhcp desligado. Mas o sinal tem que estar bom para o pppoe funcionar direito.
PPPoeE é encriptado mesmo?
Se eu me lembro, não, dava para sniffar.
Pode ser quebrado c/ certa facilidade até...
Para não complicar muito e generalisar um pouco (facilitar o entendimento) o que acontece é uma VPN (Virtual private network) a nivel de protocolo (PPOE), Essa VPN se baseia em "caracteristicas" de cada um dos "comunicadores" ou seja, ela responde e ouve somente os dois PCs que tem certas qualidades unicas... Dentro delas estão chaves de criptografia como SSL e IPSec... Uma forma de "escutar" o que é dito nesse tunel é exatamente aproveitando uma falha no VPN usado pelo PPPOE, para "desligar" essa VPN mas manter a troca de pacotes entre os comunicantes.
Se baseia no Spoofing (para fingir ter as qualidades para "ouvir" a VPN e mandar comando como se fosse um dos 2 ou mais comunicantes).
Acho que seria melhor vc dar uma lida sobre falhas no PPTP de VPNs para entender melhor... Vou colocar aqui um link de um video (5,5Mb) de como fazer isso na pratica.
http://crimemachine.com/Tuts/Flash/pptp-vpn.html
Espero ajudado. Clica na estrelinha se foi útil.
Opa, beleza?
Olha, eu implantei esse sistema aqui na empresa e ele é infinitamente mais seguro do que qualquer outra forma de autenticação de usuário. O problema é que se não tiver um script que faça todo o trabalho de gerar o certificado o trabalho fica muito "árduo".
Eu até tentei criar um script, mas sem sucesso. Tipo... ele enviar o comando e a linha a ser executada para poder gerar o certificado automaticamente, utilizando uma página em PHP para gerenciar os certificados. Como não consegui e me faltou a paciência, estou usando PPPoE e somente nas empresas é que utilizo esta forma de autenticação (a VPN).
Se alguém poder dar uma ajuda de como criar um srcript que gere os certificados... a comunidade inteira ficaria muito agradecida.
Valeu e fiquem com Deus!
Ô irmão... tudo na paz??
Rapaz, eu acho que não compensa montar um gerador de certificados. É trabalho demais para uma coisa que já existe. Mas se formos analisar as estatísticas não nos preocuparíamos tanto. Às vezes a quantidade de banda que você perde com uma invasão é insignificante. O importante é dificultar, mas uma coisa eu te digo: A maioria dos invasores se aproveita do sistema baseados em informações dos próprios usuários, isso quando não são os próprios usuários. É por isso que tem camarada aí quebrando a cabeça em mudar senhas e não adianta, porquê está dando seu segredo ao próprio inimigo. É bem complicado, mas achando invasor e se ele for cliente a primeira coisa é cortar. Quem tem SCM sabe que o contrato prevê o corte de invasores.
Galera eu, tive uma Idéia aonde poderia tá diminuindo o clone de mac na rede
colocando cada cliente com ranges de ip diferentes e gateways.... assim ficaria bem mais dificil bater o scaner na rede....
Cara, imagina fazer isso em uma rede com 600 clientes?
Outra coisa, falando de sniffer... eu configurei uma VPN com Certificado Digital e, não se se vou falar demais, não consegui capturar nenhum pacote que fosse relevante, quanto a clonagem de MAC. Para falar a verdade utilizando o wireshark não consegui ler nenhum pacote da minha rede.
Imagino que isso tenha acontecido pela própria "arquitetura" de uma VPN, pois tudo que passa por ela é criptografado em 512 bits (se não estou enganado), no mínimo.
Galera outra idéia tá estudando as portas que os escanner usa para sniffer as rede e bloquear no Filter Rules do mikrotik e usar faixa de ips diferenrte.
Um amigo me comentou sobre essa idéia e funcionou na rede dele...
Qualquer coisa estamos ai......
Realmente é impossível pois o sniffer não precisa passar pelo servidor para funcionar. É erro comum que vejo muito o cara falar que vai bloquear alguma porta na rede e esquece que estão todos na camada física. Pelo pouco que sei, ou é VLAN ou segmentação física, o resto é complicado.
Já usei esse brisanet no ceará, não gostei dava 30kbps rssrsr... Com esse certificado a rede nao fica mais lenta ou trafegando mais dados?
Acredito que o certificado seja usado SOMENTE na hora do login e só.
Estou pensando no MUM 2011 no Brasil, novamente aprender a palestra Anti-Clone (MikroTik) que apresentei em 2009, o que os amigos do fórum e participantes do MUM acham???
estou falando isto por que vejo ainda muitos amigos com duvidas no que foi falado ai seria bom mostrar mais uma vez com alguma inovações..
Última edição por edielsonps; 24-03-2011 às 14:55.
Rapaz, toda iniciativa de ajudar é sempre bem vinda!
O único trabalho que tive, para implantar o sistema, foi ter que gerar um certificado para cada cliente (não queria que todos tivessem o mesmo certificado), o que leva tempo com um Debian, pois não consegui terminar o script para gerar certificados automáticos, por falta de tempo.
Ola, amigo olhando aqui no forum, estou querendo colocar uma segurança no meu servidor mikrotik esta sua solução poderia compartilhar?
sds
entre em contato por msn [email protected] que lhe dou mais informação
entre em contato por msn [email protected] que lhe dou mais informação