Controle de clientes por MAC X WPA ou WPA2 ou WEP - O que consome mais do AP ?

[mtrivela]

Depois de muito pesquisar neste forum surgiram ainda mais duvidas:

1 - O que consome mais o processamento de um AP ? Controlar os clientes conectados por MAC ou controle por Chave de segurança, seja ela WPA ou WPA2 ou até mesmo WEP ?

Sem falar de segurança, pois sabemos que o WPA2 é o mais seguro, o quesito aqui se trata de consumo de processamento do AP, seja ele um simples AP comum rtl8186 ou uma RB Mikrotik ou uma Rocket. Qual dessas opções de controle seria recomendado para um menor consumo do processador de um AP wireless.

Grato pelas interação de todos.

[RaposaNoturna]

Também já me fiz essa pergunta. Sempre uso WPA2, mas será que quanto mais seguro a chave, mais interfere no desempenho?

[aconpanho!]

[Aiomar]

Depois de muito pesquisar neste forum surgiram ainda mais duvidas:

1 - O que consome mais o processamento de um AP ? Controlar os clientes conectados por MAC ou controle por Chave de segurança, seja ela WPA ou WPA2 ou até mesmo WEP ?

Sem falar de segurança, pois sabemos que o WPA2 é o mais seguro, o quesito aqui se trata de consumo de processamento do AP, seja ele um simples AP comum rtl8186 ou uma RB Mikrotik ou uma Rocket. Qual dessas opções de controle seria recomendado para um menor consumo do processador de um AP wireless.

Grato pelas interação de todos.

Oque mais consome processamento do AP WIRELESS é a chave de segurança WAP2 pois ela é a mais segura e como ja sabe , Maior seguranca , Maior processamento requer...

Já a chave de segurança WEP é a que menos consome processamento, consome menos até que por Mac !

Porém de todos os metodos de segurança é a mais vulnerável !!! (existem programinhas que ficam por um tempo X rastreando tua rede e encontram a chave isso sem contar inumeras outras taticas de se invadir uma rede com WEP !

A segurança por MAC ADDRESS na minha opnião é a mais interessante pois requer pouco processamento e tem um bom nivel de segurança !
O Problema eque tem programas (meu amigo tem um instalado no pc dele o nome eu nao sei) que vc utilizando um simples USB + 10mts de cabo rgc058 + Antena 25dbi escaneia a rede do provedor , ve os clientes online , copia o mac deles e troca o mac do teu usb pelo do cliente liberado no provedor , isso vale tb para o ip que aparece na lista junto dos clientes que estao conectados e assim fica mtu facil para um usuario de medio conhecimento "Roubar" o seu Sinal !!

Conclusão: se vc quer mesmo segurança e nao quer que isso diminua o rendimento do seu AP (seja la qual for, Rtl8186 ou uma RB433AH) utilize MAC ADDRESS + WEP em sua rede !!

é até agora a melhor opção que achei e que irei adotar em minhas redes !!

Bom , se fui util agradeça amigos = )

Abraços t++

[AndrioPJ]

Ate mesmo para rede com controle por MAC existem programas que ficam rastreando e indentificam IP e MAC que esta trafegando ali.. e com isso, basta um clone e ja tera acesso.
a melhor opcao, querendo ou nao.. é wpa e/ou chave individual.

Oque mais consome processamento do AP WIRELESS é a chave de segurança WAP2 pois ela é a mais segura e como ja sabe , Maior seguranca , Maior processamento requer...

Já a chave de segurança WEP é a que menos consome processamento, consome menos até que por Mac !

Porém de todos os metodos de segurança é a mais vulnerável !!! (existem programinhas que ficam por um tempo X rastreando tua rede e encontram a chave isso sem contar inumeras outras taticas de se invadir uma rede com WEP !

A segurança por MAC ADDRESS na minha opnião é a mais interessante pois requer pouco processamento e tem um bom nivel de segurança !
O Problema eque tem programas (meu amigo tem um instalado no pc dele o nome eu nao sei) que vc utilizando um simples USB + 10mts de cabo rgc058 + Antena 25dbi escaneia a rede do provedor , ve os clientes online , copia o mac deles e troca o mac do teu usb pelo do cliente liberado no provedor , isso vale tb para o ip que aparece na lista junto dos clientes que estao conectados e assim fica mtu facil para um usuario de medio conhecimento "Roubar" o seu Sinal !!

Conclusão: se vc quer mesmo segurança e nao quer que isso diminua o rendimento do seu AP (seja la qual for, Rtl8186 ou uma RB433AH) utilize MAC ADDRESS + WEP em sua rede !!

é até agora a melhor opção que achei e que irei adotar em minhas redes !!

Bom , se fui util agradeça amigos = )

Abraços t++

[Aiomar]

Ate mesmo para rede com controle por MAC existem programas que ficam rastreando e indentificam IP e MAC que esta trafegando ali.. e com isso, basta um clone e ja tera acesso.
a melhor opcao, querendo ou nao.. é wpa e/ou chave individual.

Como eu disse, MAC ADDRESS + WEP é a melhor opção para segurança x processamento !
Quem me disse isso ? Aprendi observando o trabalho dos grandes provedores de minha regiao !
Wap querendo ou não requer processamento maior e tb tem alguns equipamentos usb e placas que nao sao compativeis e por isso nao conectam !
Wep e mac qualquer equipamento é ciompativel !!!

Abraços t++

[mtrivela]

Na verdade a minha intenção seria controlar por MAC ADDRESS no AP e deixar sem segurança alguma, pois mesmo que alguem clone MAC e IP terá ainda que passar pelo meu HOTSPOT ou pelo meu PPPOE que estão configurados para aceitar apenas 1 usuário conectado por MAC.
A opção do Aiomar é boa de utilizar WEP + Controle por MAC pois dificulta um pouco para os penetras menos experientes, porque na verdade mesmo quem vai liberar a NET é o servidor através de hotspot ou PPPOE.
O bloqueio no AP é mais por causa de uns gaiatos que na verdade não estão nem interessados em internet e sim em fazer rede com outros usuários em outros AP's de outras torres pra jogar Counter Strike por exemplo ou mesmo compartilhar a NET, isso mesmo, pois como tudo está em bridge nada impede de algém se conectar com um MAC clonado e jogar uma faixa de IP qualquer e compartilhar com outro conectado em outros ap's.

Pois na verdade ainda não achei um bloqueio decente pra esse fim. Mesmo ativando o block relay do ap, porque o block relay na verdade bloqueia os usuários de se comunicarem dentro do mesmo ap, mas não bloqueia por exemplo usuários que estão conectados em outros AP's de outras torres.

Se alguém tiver uma opção interessante pra isso me avisa por favor.

[Aiomar]

Na verdade a minha intenção seria controlar por MAC ADDRESS no AP e deixar sem segurança alguma, pois mesmo que alguem clone MAC e IP terá ainda que passar pelo meu HOTSPOT ou pelo meu PPPOE que estão configurados para aceitar apenas 1 usuário conectado por MAC.
A opção do Aiomar é boa de utilizar WEP + Controle por MAC pois dificulta um pouco para os penetras menos experientes, porque na verdade mesmo quem vai liberar a NET é o servidor através de hotspot ou PPPOE.
O bloqueio no AP é mais por causa de uns gaiatos que na verdade não estão nem interessados em internet e sim em fazer rede com outros usuários em outros AP's de outras torres pra jogar Counter Strike por exemplo ou mesmo compartilhar a NET, isso mesmo, pois como tudo está em bridge nada impede de algém se conectar com um MAC clonado e jogar uma faixa de IP qualquer e compartilhar com outro conectado em outros ap's.

Pois na verdade ainda não achei um bloqueio decente pra esse fim. Mesmo ativando o block relay do ap, porque o block relay na verdade bloqueia os usuários de se comunicarem dentro do mesmo ap, mas não bloqueia por exemplo usuários que estão conectados em outros AP's de outras torres.

Se alguém tiver uma opção interessante pra isso me avisa por favor.

Amigo para quem usa HOTSPOT deve-se utilizar somente o controle por MAC ADDRESS !!
Afinal é o servidor quem vai liberar o cliente e o controle por mac esta otimo afinal como vc mesmo disse, mesmo que o cara clone ele precisa se autenticar no HOTSPOT coisa que ele não vai conseguir fazer se nao tiver os dados de acesso entao somente controle de MAC no ap esta bom d++ , afinal é oq os grandes provedores daki que utilizam esse meio de conexao fazem !

Utilizam o WEP + MAC os que aki nao utilizam HOTSPOT !
Mas de qualquer modo , Mac + Wep continua sendo o maior custo x beneficio rsrsrs

[naldo864]

aqui estou usando senha wpa2 tkip no ponto de acesso e na antena e ainda cai no hotspot para autenticar ou seja o cara tem que ter a chave wpa da rede e ainda cai no hotspot que tem usuario e senha so se ele quizer mesmo entrar na rede sem pagar ai a gente tem que localizar o individuo e oferecer um plano de internet para ele com certos beneficios mas isto tem que ser pessoalmente e claro ......

[jodrix]

Salve Pessoal.

A questão de processamento nos dias de hoje esta totalmente fora do contexto, visto que as atuais RBs tem processsamento de sobra, eu por exemplo utilizo wpa2 com caracteres criptografados e nao chega nem a 30% da RB. Portanto resta apenas a questão de qual melhor sistema de segurança, que no caso é wpa2 que até agora nao foi hackeada utilizando chaves do tipo.

SHGSL1oQ#dCDEdcXw5O%Xt/bLmRjT%lwB#DW$$xsV/&jcX7ObUI-CHaY\#7Mvs9
n18VQdvoI#kX8g9#nEj5bzz%O%8%%YogZw2zPwdimC5utDlWRKb$9PvWI\PCR4t

e por ai vai.

um bom gerador dessas chaves esta aqui.

Yellowpipe - Free Webmaster ToolsWPA_key/generator.php

Bom dia a todos!.

[AndrioPJ]

Salve Pessoal.

A questão de processamento nos dias de hoje esta totalmente fora do contexto, visto que as atuais RBs tem processsamento de sobra, eu por exemplo utilizo wpa2 com caracteres criptografados e nao chega nem a 30% da RB. Portanto resta apenas a questão de qual melhor sistema de segurança, que no caso é wpa2 que até agora nao foi hackeada utilizando chaves do tipo.

SHGSL1oQ#dCDEdcXw5O%Xt/bLmRjT%lwB#DW$$xsV/&jcX7ObUI-CHaY\#7Mvs9
n18VQdvoI#kX8g9#nEj5bzz%O%8%%YogZw2zPwdimC5utDlWRKb$9PvWI\PCR4t

e por ai vai.

um bom gerador dessas chaves esta aqui.

Yellowpipe - Free Webmaster ToolsWPA_key/generator.php

Bom dia a todos!.

sim, exato amigo.

e outra, o pessoal ai em cima esta falando de hotspot ou PPOE com rede aberta... estao confiando na falsa ilusao de seguranca por parte do autenticador (Hotspot ou PPOE), tomem cuidado.
os problemas vao alem de um simples furto de internet.

se vc deixa a rede aberta, facilmente QUALQUER um consegue acesso.
se tiverem acesso na sua rede, O ESTAGO JA ESTA FEITO.
o camarada pode facilmente mandar um ataque no servidor, nos AP... ou pior, pode rodar um sniffer e conseguir muitas outras informacaoes, como: usuario, senha, ip, mac, etc.

ou, ele pode simplesmente pegar essas informacoes com o vizinho ao lado ou com o parente.
pois, qdo um nao esta conectado, o outro se conecta
e ai amigo?
quando a bomba estourar, para onde vai sua credibilidade? seguranca nenhuma...

autenticacao wireless por MAC? autenticacao wireless por WEP?
nenhuma dessas é segura, a melhor é wpa para cima... e mesmo assim, apenas um unico tipo de seguranca sozinha nao te tras seguranca.
veja que ate na vida real é assim, vc ja viu um unico seguranca protegendo uma empresa? concerteza nao.
hoje em dia eles possuem varios segurancas, cameras de vigilancia, alarme e algum outro tipo de indentificador.

juntar as duas (WEB e MAC) melhora?
sim, melhora.. mas continua insegura.

quer ter uma rede seguranca?
um unico meio de seguranca nao faz nada (deixe sua casa aberta, sem porta, janela, sem tranca... e construa um muro... e veja se vai ter seguranca?), use varios tipos de autenticacao...

aqui eu uso Hotspot+SSL
- USER+PASS+MAC
- 1 conexao por usuario e senha (Shared User)
- interface em reply only (Tabela ARP)
- Faixa de IP /29 e dinamico
- SW com vlan e AP com isolacao de cliente ativado
- autenticacao Wireless por WPA, somente eu conheco essa chave (diferente para cada AP)
- Cliente com Radio, e em modo "Cliente ISP"... Radio cliente com senha para acesso ao setup.

[naldo864]

rapas não quero te questionar mas voce não acha um pouco de exagero não .
quebrar uma passcode wpa2 ja não e facil ai o cara vai logar na rede e tem que ter usuario e senha .
se ele consueguir fazer isto ele não vai querer so usar internet ai ja e caso de invasão .

[AndrioPJ]

o camarada pode nao quebrar o wpa, mas pode descobri-lo.
ja vi provedores por ai onde o tecnico saiu e tinha senha dos AP, quem fez o estrago? o ex-tecnico.

Seguranca nunca é demais.
se tiver mais de 1 unico meio de seguranca, fica mais dificil de invasao ou "amigo" se conectar.

- autenticacao WPA e diferente para cada AP nos da uma garantia maior que o cliente somente vai se conectar naquela area... evitamos de que ele empreste seu equipamento para terceiros.
- AP no cliente e em modo "Cliente ISP", e com senha para acesso ao setup... dificultamos que o cliente saiba em que Painel esta conectado e dificultamos que ele tenha conhecimento da senha WPA, ip e mac.
- SW com vlan, AP com isolacao, IP /29... dificultamos o sniffer na rede... o clone, caso alguem consiga acesso a rede de alguma maneira.
- tabela arp, USER e SENHA preso ao IP e MAC, 1 conexao por USER... nos da uma garantia melhor que aquele que esta conectando la é REALMENTE nosso cliente.

rapas não quero te questionar mas voce não acha um pouco de exagero não .
quebrar uma passcode wpa2 ja não e facil ai o cara vai logar na rede e tem que ter usuario e senha .
se ele consueguir fazer isto ele não vai querer so usar internet ai ja e caso de invasão .

[Aiomar]

o camarada pode nao quebrar o wpa, mas pode descobri-lo.
ja vi provedores por ai onde o tecnico saiu e tinha senha dos AP, quem fez o estrago? o ex-tecnico.

Seguranca nunca é demais.
se tiver mais de 1 unico meio de seguranca, fica mais dificil de invasao ou "amigo" se conectar.

- autenticacao WPA e diferente para cada AP nos da uma garantia maior que o cliente somente vai se conectar naquela area... evitamos de que ele empreste seu equipamento para terceiros.
- AP no cliente e em modo "Cliente ISP", e com senha para acesso ao setup... dificultamos que o cliente saiba em que Painel esta conectado e dificultamos que ele tenha conhecimento da senha WPA, ip e mac.
- SW com vlan, AP com isolacao, IP /29... dificultamos o sniffer na rede... o clone, caso alguem consiga acesso a rede de alguma maneira.
- tabela arp, USER e SENHA preso ao IP e MAC, 1 conexao por USER... nos da uma garantia melhor que aquele que esta conectando la é REALMENTE nosso cliente.

Cara uma conexao por user ? se o cara instalar um roteador ou descer mais um cabo de rede do telhado so vai funcionar apenas um user ? ou seja vc vende acesso apenas a uma maquina ?
Vc nao deve fazer isso rapaz, vc deve entregar um cabo de rede com acesso a internet e ele coloca naquela cabo um roteador com quantos notebooks ele quiser !
A internet é livre !

Outra coisa , para que Wap se vc ja usa um monte de outras segurancas no servidor ? com isso vc so esta exigindo mais um pouco de processamento do teu radio coisa que nao precisava pq com o tanto d coisa q vc ja tem ate sem senha nenhum serve !

utilizar uma WEP ai seria interessante mas usar Wap mais esse monte de coisa no servidor ? poxa cara se alguem invadir tua rede vc ve no Log e retira ele ! para que tudo isso ? rsrsrs
Esta até paracendo que tua rede é segurança do governo kk (impressao digital necessaria para abrir) kk !

Abraços Brow t++++

[AndrioPJ]

Cara uma conexao por user ? se o cara instalar um roteador ou descer mais um cabo de rede do telhado so vai funcionar apenas um user ? ou seja vc vende acesso apenas a uma maquina ?
Vc nao deve fazer isso rapaz, vc deve entregar um cabo de rede com acesso a internet e ele coloca naquela cabo um roteador com quantos notebooks ele quiser !
A internet é livre !

Acho que nao fui suficientimente claro ou talves vc nao tenha conhecimento de todas as funcoes do Hotspot MK.
Pois bem, no Hotspot tem como habilitar para que Aquele "Usuario e Senha" possa ser usado mais de uma vez... feito a autenticacao 2, 3, 5, 10x... uma bela falha de seguranca, ja pensou um cliente fornecendo seu usuario e senha para o vizinho???
Na configuracao do Hotspot é aconselhavel permitir apenas 1 conexao por User, procure por "Shared User" no hotspot e coloque o valor 1.

e sim, o cliente faz o que quiser com a Internet dele... DENTRO DA RESIDENCIA DELE.

Outra coisa , para que Wap se vc ja usa um monte de outras segurancas no servidor ? com isso vc so esta exigindo mais um pouco de processamento do teu radio coisa que nao precisava pq com o tanto d coisa q vc ja tem ate sem senha nenhum serve !

Cara, processamento hoje em dia é de menos...
Antigamente ate dava para entender o uso de wep, mas hoje em dia?
um nano, uma rb hoje tem muito mais processamento que um equipamento de 2-3 anos atras.
prefiro usar um pouco mais o processamento e ter seguranca Do Que nao usa-lo e ficar inseguro.

(...)poxa cara se alguem invadir tua rede vc ve no Log e retira ele ! para que tudo isso ? rsrsrs
Esta até paracendo que tua rede é segurança do governo kk (impressao digital necessaria para abrir) kk !

Abraços Brow t++++

amigo, se alguem invadir a sua rede realmente, VC NUNCA VAI SABER...
principalmente se for clonagem, pergunto: como tu vai saber quem é o verdadeiro apenas olhando logs?

seguranca nunca é demais.

[RaposaNoturna]

Mas esse lance de uma senha pra cada ap não é exagero? Um provedor quem tem seus doze mil clientes, quando aps não existem nessa rede..? Aiomar, o cliente não fica limitado apenas a uma conexão, ele pode usar um roteador com dhcp... a primeira máquina que conectar já libera o acesso. saco?

[AndrioPJ]

Existem tecnicas para colocar a senha, por exemplo:
exemplo:
Senha padrao de 8 caracteres + codigo interno da regiao + numeracao do AP + SSID do AP.
assim fica facil para o administrador saber a senha de cada AP.
PS: essa sequencia pode mudar conforme seu cenario.

Mas esse lance de uma senha pra cada ap não é exagero? Um provedor quem tem seus doze mil clientes, quando aps não existem nessa rede..? Aiomar, o cliente não fica limitado apenas a uma conexão, ele pode usar um roteador com dhcp... a primeira máquina que conectar já libera o acesso. saco?

[Aiomar]

Acho que nao fui suficientimente claro ou talves vc nao tenha conhecimento de todas as funcoes do Hotspot MK.
Pois bem, no Hotspot tem como habilitar para que Aquele "Usuario e Senha" possa ser usado mais de uma vez... feito a autenticacao 2, 3, 5, 10x... uma bela falha de seguranca, ja pensou um cliente fornecendo seu usuario e senha para o vizinho???
Na configuracao do Hotspot é aconselhavel permitir apenas 1 conexao por User, procure por "Shared User" no hotspot e coloque o valor 1.

e sim, o cliente faz o que quiser com a Internet dele... DENTRO DA RESIDENCIA DELE.


Cara, processamento hoje em dia é de menos...
Antigamente ate dava para entender o uso de wep, mas hoje em dia?
um nano, uma rb hoje tem muito mais processamento que um equipamento de 2-3 anos atras.
prefiro usar um pouco mais o processamento e ter seguranca Do Que nao usa-lo e ficar inseguro.


amigo, se alguem invadir a sua rede realmente, VC NUNCA VAI SABER...
principalmente se for clonagem, pergunto: como tu vai saber quem é o verdadeiro apenas olhando logs?

seguranca nunca é demais.

Agora sim o amigo foi 100% CLARO !
Entendi bem oq vc queria dizer inclusive gostei de trocar dicas com vc , me add no msn ? [email protected] , Abraços t++

[Aiomar]

Mas esse lance de uma senha pra cada ap não é exagero? Um provedor quem tem seus doze mil clientes, quando aps não existem nessa rede..? Aiomar, o cliente não fica limitado apenas a uma conexão, ele pode usar um roteador com dhcp... a primeira máquina que conectar já libera o acesso. saco?

Sim , Entendi o propósito !
Vlww abracos t++ , e me add no msn tb , flww

[mtrivela]

Pessoal, minha preocupação não é nem tanto com a NET, porque ai o Mikrotik tira de letra no controle por Hotspot ou PPOE, a minha preocupação são os Gaiatos que entram no AP nas torres para jogar Counter Strike ou trocar arquivos com outros Gaiatos de outras torres.

Pois bem sabemos que o Block Relay ou Cliente Isolation, apenas isola os clientes de se comunicarem com AP dauqela torre, mas nada impede que um cliente conectado no AP de outra torre conecte com um cliente do AP de outra diferente.

Essa é minha maior preocupação, porque ai os cara tão usando minha estrutura de Graça, sem nem serem clientes da net. Entenderam, aí o tráfego de qualquer AP vai lá pra cima.

vlw.

[AndrioPJ]

Pessoal, minha preocupação não é nem tanto com a NET, porque ai o Mikrotik tira de letra no controle por Hotspot ou PPOE, a minha preocupação são os Gaiatos que entram no AP nas torres para jogar Counter Strike ou trocar arquivos com outros Gaiatos de outras torres.

Pois bem sabemos que o Block Relay ou Cliente Isolation, apenas isola os clientes de se comunicarem com AP dauqela torre, mas nada impede que um cliente conectado no AP de outra torre conecte com um cliente do AP de outra diferente.

Essa é minha maior preocupação, porque ai os cara tão usando minha estrutura de Graça, sem nem serem clientes da net. Entenderam, aí o tráfego de qualquer AP vai lá pra cima.

vlw.

Amigo, se vc usar Switch comum, realmente vai acontecer isso.
Qualquer AP conectado no Switch, nao importa em que porta esteja.. vai enchergar o outro AP.

por isso uso Switch com Vlan, nesses Switches essa comunicacao nao acontece.
se vc esta conectado na porta 1 por exemplo, vc somente ira conseguir enchergar a porta onde esta entrando o cabo da internet... o mesmo ocorre para as outras portas.
aqui vende Switch com Vlan: ISPShop - Equipamentos para Redes e Provedores de Internet
existem outras marcas alem da overtek, tal como: ecom.

mas eu geralmente compro esse da overtek, o modelo de R$ 66,00 ja resolve muitos problemas em uma rede bridge.
mas lembre-se, de nada adianta colocar isolacao de cliente nos Radios, Switch com Vlan... se a interface do Servidor esta em bridge.