Filtrar MAC Address no AP dá Segurança?

[grande999]

boa tarde a todos do forum...
estou pensando usar filtragem de MAC nos equipamentos...essa alternativa é uma seguraça? eu sei se alguem clonar a mac conecta...mas com essa filtragem dificulta um pouco...o espertinho se tiver a mac do ke adianta a filtragem?
aqui onde eu moro tem muitos espertinhos...entao qual a melhor alternativa para se parar esses "ackerzinhos" ....

mesmo fazendo controle por mac e ip...se ele tiver as informaçoes e login e senha...do ke adiantou tudo?
existe algum sistema de segurança melhor....

certa fez vi um sistema de autenticação...que fazia checagem do ID do hd do cliente....algo assim...
alguem conheçe esse sistema....

[sergio]

Criptografia WPA2/AES, esse é o caminho.

[grande999]

se o espertinho tbm tiver a chave...ai nao adiantou...<br>e a WPA2/AES é crackeavel...com ataque de wordlist...se eu nao me engano....<br>tem sim um sistema de autenticação mais seguro que esses mais comuns...hotspot, ppoe, wep, wpa2 psd, wpa2aes...mas nao me recordo do qual é o nome do sistema...

[sergio]

Se usar chaves individuais, somente o cliente que revelou sua chave terá problemas e você de quebra, ainda fica sabendo que está "entregando"...

O cara tem que ser bom, mas bom mesmo, para quebrar uma WPA2/AES. Eu duvido que alguém conseguiu até agora, pois o que conheço são apenas especulações.

Configura um WPA2/AES, com chaves individuais, de preferência gerenciada por RADIUS para nenhum funcionário "amigo da onça" copiar as chaves e passar para frente, e lança o desafio na sua cidade: "Quem quebrar eu pago um prêmio de 2 mil". Quero ver se aparecerá algum candidato.

Se aparecer os candidatos, me avise que eu patrocino o prêmio.

se o espertinho tbm tiver a chave...ai nao adiantou...<br>e a WPA2/AES é crackeavel...com ataque de wordlist...se eu nao me engano....<br>tem sim um sistema de autenticação mais seguro que esses mais comuns...hotspot, ppoe, wep, wpa2 psd, wpa2aes...mas nao me recordo do qual é o nome do sistema...

[grande999]

mas essa chave é a chave para entrar na rede...correto...mas isso nao satura a rb

elevando seus processos....existe outra autenticação

obrigado.

[sergio]

Não. Esquece essas lendas urbanas de aumento de processamento. Configura, usa e posta aqui se algum "super hacker" conseguiu acessar sua rede.

Existem N métodos de autenticação, mas todos tratam o que o nome diz: autenticação, ou seja usuário senha, que nada adiantarão se um cidadão capturar os dados na camada 2 e decrifrá-los. Por isso a dica: WPA2/AES. Configure e me conte o que ocorreu.

mas essa chave é a chave para entrar na rede...correto...mas isso nao satura a rb

elevando seus processos....existe outra autenticação

obrigado.

[grande999]

vc havia dito sobre servidor radius...eu utilizo mk-auth
lá quando cadastramos um cliente tem uma opção de criptografia...entao irei configurar lá...correto...
mas eu vou utilizar uma rb1100 servidor, fazer autenticação, controle de banda...etc...
na torre é uma rb433ah...
configurando no mk-auth ele envia automaticamente isso para rb da torre? ou temos que configurar direto no winbox da rb da torre....

obrigado.

[sergio]

vc havia dito sobre servidor radius...eu utilizo mk-auth
lá quando cadastramos um cliente tem uma opção de criptografia...entao irei configurar lá...correto...

Isso mesmo. Mas leia a documentação ou pergunte no fórum deles, como é que configura a WPA2/AES individual, senão configura errado e volta aqui pra dizer que não funcionou.

mas eu vou utilizar uma rb1100 servidor, fazer autenticação, controle de banda...etc...
na torre é uma rb433ah...
configurando no mk-auth ele envia automaticamente isso para rb da torre? ou temos que configurar direto no winbox da rb da torre....

obrigado.

Com radius, basta configurar na RB433AH para pesquisar no mesmo para checar a WPA2/AES. Isto também tem na documentação deles ou no fórum.

[grande999]

e se por exemplo se fosse Rocket M2 e basestation....os Rocket M2 sera que consegue realizar muitos processos de chave de rede...
pow ninguem sabe ou conheçe o sistema que eu estava falando...

obrigado.

[sergio]

Se não me engano já tem firmware com suporte a WPA2/AES por radius. Faz uma pesquisa aqui mesmo no forum ou no forum da UBNT que encontrará esse firmware.

Nem você sabe qual o software e o pessoal é que deve saber??

e se por exemplo se fosse Rocket M2 e basestation....os Rocket M2 sera que consegue realizar muitos processos de chave de rede...
pow ninguem sabe ou conheçe o sistema que eu estava falando...

obrigado.

[grande999]

em relação a suas ajudas agradeço...
e relação sobre o sistema...eu nao sei...por isso estou perguntando se alguem sabe...

obrigado.

[sergio]

Foi o que eu disse, se você não der uma dica sobre esse sistema, como é que alguém vai saber? Lembrando dos posts que já li por aqui (e olha que tenho memória excelente), acredito que esteja falando do hostcert, mas como te falei: do que adianta ter um método de autenticação, se os dados trafegam livre, leves e soltos (abertos, arreganhados) pelo ar para qualquer um, que saiba um pouco sobre métodos de burlar uma rede, conseguirem capturá-los? O software (hostcert, acredito que é isso mesmo) instala uma pá de coisas no cliente (no PC), mas ai pergunto a mesma coisa que perguntou: e se instala uma CPE no cliente com autenticação PPPoE, configurada como roteador? Como é que fica?

Entendeu o posicionamento? A questão é: proteja as camadas básicas da rede, depois pode pensar em métodos e heurísticas mais complexas, se a proteção básica não for suficiente.

em relação a suas ajudas agradeço...
e relação sobre o sistema...eu nao sei...por isso estou perguntando se alguem sabe...

obrigado.

[grande999]

hum...entendi...
obrigado...novamente...acredito ke irei utilizar wpa2/aes...mas vou fazer testes...
mas o meu maior medo é a questão do processador da rb...saturar....pq imagine
uma rede com 300...400...ou 100 em cada cartao....sao 100processos de senhas diferentes....isso deve elevar o processo...mas ainda nao montei...mas quando montar vou fazer teste...ae posto aki....
me diz..quais autenticaçãoe vc usa?

obrigado.

[sergio]

Rapaz 100 estações por cartão? Não está sendo otimista demais não?

Eu uso, além da WPA2/AES, autenticação dos usuários baseados em PPPoE/RADIUS. No caso o RADIUS é integrado a um sistema de gerenciamento administrativo e financeiro.

[oswaldo]

amigo não querendo me infiltrar,na conversa quando tinha provedor,aqui em Curitiba,tinha uns 3 hakersinhos que ficavam tentando entra, resolvi colocando o filtro de mac na rb nem tanto ip,mais apenas mac,e no servidor o bom e velho pppoe,depois que fiz isso,resolvi uns 30% de problemas da minha rede agora quanto a autenticação por wpa2\aes penso meio desnecessário,por que pelo que ja percebi o discador não é uma coisa tão popular,e tem como vc colocar no ap do cliente como o amigo citou(rotear),no mais por um filtro de mac,e um pppoe, que ta succi,por que o scan na rede so funfa se estiver conectado
no mais é isso ai...

[grande999]

amigo oswaldo ae que vc se engana sobre o scan....
esse scan é para pegar a mac? tipo pra poder fazer o scan pra pegar o mac de clientes da rede...precisa estar conecta?
nao...nao precisa estar conectado...ja fiz o teste...e sei que tem como capturar mac de todas as redes wireless que o dispositivo wireless alcance....e mostra as mac conctadas em um determinado bssid....por isso minha preocupação com a questao de autenticação...
obrigado.

[oswaldo]

Bom,entendi,testei aki uns programas que axei na net ,é por ai mesmo,estava enganado,
mais enfim,tenho um amigo começando uma rede do zero esta com um 40 clientes ele migrou para 5.8,resolveu alguns poblemas,mais quanto a autenticação tenta intaum a que o nosso amigo sugeriu,wpa2\aes...

[jmathayde]

desculpem hoje nao li mesmo todo o topico aqui relacionado so algumas coisas , mais vamos aos fatos


quero ver quem quebra senha wpa mesmo psk, com caracteris bem feita so isso depois tem o hotspot , nao quero saber de milongas


scan de mac é pra amador se fizer amaração certa ipxmacxloginxsenha da trabalho se der algo errado so ir no cliente e mudar o ip , claro isso com rede fechada

[grande999]

amigo jmathayde, existe sim formas de se quebrar wpa2-psk...mas nao é assim ...tipo
vou quebrar....puf...quebrei...
ate RSA ja descobriram que tem como querar...
ataque de força bruta....existe sim de fato o ataque...agora acerta a senha...sim...é muito dificiu...mas existe a possibilidade...e esse fato ja é o suficiente para um cara mais entendido tentar....
outra coisa...temos que entender...que a MAIOR falha não é do sistema...mas sim falha humana...tbm nao precisa muito para descobrir a chave de rede...muitas vezes...nem ter computador...mas sim conheçer alguem de dentro da rede....ai pronto...fica facil...ir a casa do seu amigo ke é cliente do provedor....usa o pc dele...e pegar a chave...sim..vai pegar a chave da quele cliente...mas eae? ...consegui....nao intereça os meios....mas sim o fim...