Resultados da Enquete: o que você acha da segurança do mikrotik depois deste tópico?

Votantes
22. Você não pode votar nesta enquete
  • Excelente, acho muito seguro.

    7 31,82%
  • Bom, serve somente para hotspot de autenticação.

    2 9,09%
  • Prefiro Linux configurado na unha.

    5 22,73%
  • Existe opções melhores no mercado.

    3 13,64%
  • Uma merda, sem segurança nenhuma.

    5 22,73%
Página 3 de 10 PrimeiroPrimeiro 12345678 ... ÚltimoÚltimo
+ Responder ao Tópico



  1. #41

    Padrão

    Citação Postado originalmente por fernandofiorentinn Ver Post
    desculpa ai amigão, mas enquanto eu formulava a pergunta vc respondia ela, só pra constar eu nao estava inscrito no topico e só tinha 4 paginas quando o li logo de manhã, quanto a explanação ele só mostra uma breve descrição... mas tudo bem deixe que outra pessoa me responda..
    Breve descrição não, está mastigado cara, o tópico tem a explicaçõ para toda implementação.

  2. #42

    Thumbs up

    Citação Postado originalmente por sergio Ver Post
    Já postei, nem uma nem duas, mas várias vezes... Não existe proteção para redes sem fio que não seja por criptografia, e criptografia que presta, ou seja, WPA2.

    Abaixo uma apresentação do Maia da MD Brasil, realizada no MUM Brasil pela Mikrotik. Por favor leiam e se não entenderem leiam quantas vezes forem necessárias e a partir dai comecem a tomar atitudes quanto às suas redes.

    http://mum.mikrotik.com/presentation...ranca_Maia.pdf

    sergio,
    quero aqui em nome de todos os interessados na questão te agradecer por ter entrado no tópico, pois além de você convidei outros mas você apareceu mais rápido do que imaginei e nos ajudou mais uma vez, lembrando que como eu muitos aqui deve ter procurado bastante mas sem sucesso pois como ver muitos tópicos não descreve corretamente o assunto abordado e fica difícil a identificação do material, mas fica aqui meu agredecimento por aparecer por aqui.
    parabéns

  3. #43
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por underwanderson Ver Post
    sergio,
    quero aqui em nome de todos os interessados na questão te agradecer por ter entrado no tópico, pois além de você convidei outros mas você apareceu mais rápido do que imaginei e nos ajudou mais uma vez, lembrando que como eu muitos aqui deve ter procurado bastante mas sem sucesso pois como ver muitos tópicos não descreve corretamente o assunto abordado e fica difícil a identificação do material, mas fica aqui meu agredecimento por aparecer por aqui.
    parabéns
    Sim, sempre que eu posso, e quando a questão não é pedir soluções prontas, com tudo mastigado, eu ajudo.

    Conforme mencionei e no material que enviei o link, vocês poderão entender o que ocorre com as redes sem fio. E desde, já, é a única coisa que podemos implementar, atualmente, que realmente garante uma proteção adequada as mesmas. Não é difícil fazer, mas requer leitura e entendimento dos parametros a controlar. Usando apenas Mikrotik ROS, fica mais fácil ainda, mas como mencionei, particularmente, não gosto, pois com o uso do radius, tornam-se bem mais simples as tarefas de gerenciamento, assim como a possibilidade de união do mesmo com algum sistema administrativo/gestão.

  4. #44

    Padrão

    As vezes temos medo do desconhecido, é natural do ser humano, uma das preocupações que sempre tive com uso da criptografia era o processamento, pelo exemplo mostrado no material que o sérgio postou, podemos observar que é praticamente desprezível.

    Outro medo era a questão da compatibilidade, pude ver que não chega a ser um problema pois podemos criar perfis difentes para atendes cada cliente;

    pesa agora só o fato de ter que mudar a rede para mk 3.0 e readptar meu sistema administrativo / suporte etc..


    Vale lembrar que no proprio material postado, mencionam a autenticação feita no estilo do hostcert, embora não entre em detalhes, no entanto hoje me parece ser a alternativa mais viável, quando queremos apenas coibir o uso não autorizado da internet, e no caso do hostcert ainda acrescenta a vantagem da criptografia do tráfego de forma a garantir o sigilo das informacoes trocadas.
    Última edição por JHONNE; 02-03-2009 às 14:36.

  5. #45

    Padrão

    Para que tudo não parece flores, vejo também alguns problemas na implementação do hostcert

    Um deles é o possível aumento da manutenção, que também é notável quando se usa criptografia, outro é o caso do compartilhamento interno, visto que a máquina precisa ser autenticada e é criada uma conexão vpn com o servidor.

    Em empresas que utilizam roteador interno esta prática pode ser inviável, mas neste caso a criptografia caíria como uma luva, até porque normalmente podemos proteger o ap com senha e garantir o sigilo de algumas informacoes: como chave, ip e em certos casos até mac;

  6. #46
    MODERADOR-CHEFE Avatar de osmano807
    Ingresso
    Aug 2008
    Localização
    Araguari - Minas Gerais
    Posts
    1.980
    Posts de Blog
    5

    Padrão

    conexão vpn com o servidor.
    Exatamente isto que eu pensei para a solução do problema, mas que um programa tipo hamachi que conectaria, claro, autenticando alguma chave escondida no código do programa no servidor.

  7. #47

    Padrão

    Citação Postado originalmente por sergio Ver Post
    certo, se alguém descobre uma vulnerabilidade, sempre outro alguém implementa uma solução nova. A propósito, você sabe como funciona este hotscert? Acredita que seja invulnerável?
    pois eh mas parece ser bem seguro!
    mas nada q nao seja ipossivl de invadir!
    é o negocio é critico

  8. #48

    Padrão

    Citação Postado originalmente por gzanatta00 Ver Post
    pois eh mas parece ser bem seguro!
    mas nada q nao seja ipossivl de invadir!
    é o negocio é critico

    na terra quase nada é impossível, mas é bem duvidoso que alguém consiga invadir já que ele utiliza técnicas de proteção de software.

    mesmo assim sabemos que softwares muitas vezes são crackeados, burlados, no entanto, softwares que não tem uma escala muito grande de uso não custumam ter esse problema, além de tudo problemas criar uma nova chave sempre que necessário, lembrando que as chaves são criadas com base nas informações do hardware do cliente, o que dificulta em muito a ação dos clonadores

  9. #49
    Moderador Avatar de Magal
    Ingresso
    Mar 2007
    Localização
    Rio de Janeiro
    Posts
    2.041
    Posts de Blog
    118

    Padrão

    A "aulinha" completa:

    Quem configurou esse MK deveria desistir da profissão!!!
    Última edição por Magal; 03-03-2009 às 00:25.

  10. #50

    Padrão

    Opa, saudações!

    Meu nome é Lauro e sou consultor HC, fico a disposição dos colegas para sanar quaisquer dúvidas acerca da segurança do sistema.

    Podem me add no msn: [email protected], ou skype: hostcert

    Quando a questão proposta pelo Sergio, tipica de todo bom administrador, sem dúvida, qualquer programador conhece essa probabilidade, sendo binário pode ser lido e interpretado, porém o fato é que o sistema é muito simples, o que pessoalmente considero seu maior mérito.

    Para resumir, o sistema utiliza um conceito de "Single Sign-On" na criação das chaves, sempre baseado nos itens raramente substituídos do computador do cliente, portanto, mesmo que alguem descubra quais são os itens, e mais, descubra como gerar o hash, ele ainda precisa saber como o servidor espera receber essa informação, e ai que a coisa pega, pois é randomico, numa combinação que somente cliente e servidor sabem.

    Então, assim como é simples capturar uma informação enviada via ssh, eu digo, é simples burlar o HC. : )

    A propósito, o HC Gateway é perfeito para complementar a segurança em conjunto com o MK Router.

    Nosso blog: HostCERT » Blog de suporte aos clientes HostCERT. com alguns clientes listados.

    HostCERT - A Solução efetiva contra o uso não autorizado da infraestrutura de rede.
    O site com os beneficios diretos, há varios outros, mas dependem da topologia da rede.

    O Hc é um projeto nacional, e ajuda em muitos aspectos da segurança, por exemplo, usando HC gateway, consegue-se a condição de identificar de forma inequivoca de onde saiu determinada requisição, então se um dia o provedor precisar informar judicialmente a origem de determinada conexão, consegue facilmente, nos sistema atuais consegue-se rastrear o ip, mas você não tem certeza se é seu cliente realmente naquele ip, com HC tem.


    Abraços para todos.


    Atenciosamente
    Lauro Cesar
    Hack to learn, not learn to hack.

  11. #51

    Padrão

    voce tera alguma soluções:

    1- usar pppoe
    2- usar o software HOSTCERT
    3- uma chave wpa para cada cliente (isso aqui eh mais complexo)

    ... eu aconselho migrar para ppppoe OU usar o HostCert !! HostCERT - A Solução efetiva contra o uso não autorizado da infraestrutura de rede.

  12. #52

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    voce tera alguma soluções:

    1- usar pppoe
    2- usar o software HOSTCERT
    3- uma chave wpa para cada cliente (isso aqui eh mais complexo)

    ... eu aconselho migrar para ppppoe OU usar o HostCert !! HostCERT - A Solução efetiva contra o uso não autorizado da infraestrutura de rede.

    alexandrecorrea,
    como foi eu quem abriu o topico e fui pedir ajuda a vocês, da mesma forma que fiz com o sergio quero tambem te agradecer em nome da galera aqui interessada na questão, por ter entrado no tópico, fica aqui meu agredecimento por aparecer por aqui e tentar nos ajudar.
    obrigado

  13. #53

    Padrão

    Citação Postado originalmente por underwanderson Ver Post
    ola aleksei,
    permitir um usuario por mac eu ja uso mas explica ai como se instala este certificado, e os clientes tem que esta com ip fixo ne?
    manda ai talves seja a soluçao e todos vao te agradecer.
    obrigado

    solucao postada!
    Segurança em HOTSPOT com certificado SSL

  14. #54

    Padrão

    Citação Postado originalmente por aleksei Ver Post

    desculpe minha ignorância, mas:

    como isso pode resolver o problema? Não vejo nada que garanta que o computador que solicitou é realmente aquele que queremos autenticar

  15. #55

    Padrão

    Citação Postado originalmente por JHONNE Ver Post
    desculpe minha ignorância, mas:

    como isso pode resolver o problema? Não vejo nada que garanta que o computador que solicitou é realmente aquele que queremos autenticar
    Amigo essa solucao eh para o certificado.

    quanto ao funcionario da farmacia, vc ja pensou em ir la e explicar o que ele anda fazendo?

  16. #56

    Padrão

    Esse cara ai é o conheço, e os clonadores que eu não conheço, outra coisa, não se acusa sem provas, pode dar danos morais, e infelizmente não há como provar

  17. #57

    Padrão

    Seguinte pessoal,

    a unica coisa que me encomoda no hostcert é a utilização de um programa na maquina do cliente, que pode gerar mais manutenção e alguns problemas quando se trata de redes empresarias pelo fato que ter que haver uma maquina central autenticadora.

    A solução ideal para o meu caso seria o hotspot com a seguinte implentação:


    1 - cliente conecta e recebe um cookie informado a hora da última conexão,
    2 - no proximo login o cookie é verficado e se os dados baterem o acesso é autorizado e um novo cookie é enviado para que seja atualizado

    infelizmente hotspot não suporta php e não sei como implementar isso.

  18. #58

    Padrão

    Citação Postado originalmente por JHONNE Ver Post
    Esse cara ai é o conheço, e os clonadores que eu não conheço, outra coisa, não se acusa sem provas, pode dar danos morais, e infelizmente não há como provar

    tudo bem, mas se o clone for somente de IP e MAC ainda se faz necessario o uso de login e senha, que eh de responsabilidade do cliente.

    quanto aos outros clonadores, com o uso de certificado de 1024 bits fica muito mais dificil sniffar pra conseguir os dados.

  19. #59

    Padrão

    Parceiros do Forum bom dia

    Sei que isto é discussao para horas de conversa, afinal a criatividade do ser humano nao tem limites.

    Estamos falando de redes sem fio, e como o nosso companheiro falou la no inicio do post, nada é 100% seguro, sempre havera uma falha nao importa se voce ta usando o sistema mais caro do mundo, sempre ira ter alguem para tentar burla-lo.

    Porem podemos tentar dificultar ao maximo a vida do cara que esta tentando invadir nossa rede, e gostaria muito de deixar aqui a experiencia (apesar de simploria) que tivemos em nosso provedor.

    Aqui desde que integramos o radius ao mikrotik diminuimos muito as tentativas de invasoes, nos usamos Login + Senha + Mac + IP + SSid ou nome da torre por onde o cara se conecta, alem de dispormos da possibilidade de bloquear o horario de acesso do cliente, sem contar tambem a verificação se o cara ta em dia com os pagamentos ou nao;

    Sei que a solução é bem simples, mas ajuda muito a dificultar a vida do cara;

    É logico criptografia, chaves, tudo isso ajuda muito mas como administradores temos que ter em mente que sempre ira ter alguem com criatividade suficiente para de alguma maneira procurar falhas. O que nao devemos é perder nossos cabelos (prezo muito o pouco que ainda me resta) com estes caras.

    E realmente o topico é de muita valia, com ideias das mais variadas, e com certeza vao me ajudar a enriquecer meu conhecimento.

    Agradeço a todos


    Abraços



    Marcelo

  20. #60

    Padrão

    Fazer isso é bem simples, mas não com MK.

    Myauth poderia fazer talvez.

    Porém, não iria adiantar nada contra a clonagem.

    Veja bem, esse sistema manteria o ip/mac liberado para navegar apenas.

    Serviria apenas para saber que um cliente que sabe login/senha conectou.

    E mesmo assim, depois de autenticado, como Não liberar para um possivel clone? Pois após o cookie ser validado o ip/mac fica liberado, por um tempo.

    Como atualizar o cookie? Fazendo o cliente acessar o hotspot de tempos em tempos? E se o cliente deixar o pc ligado para baixar um documento muito importante de 350mega a respeito de uma ilha, onde um avião caiu, partindo da Austrália, como fica?

    : )

    O Hostcert resolve o problema e oferece comodidade para o cliente, na minha opinião, devemos pensar sempre em primeiro lugar em deixar o cliente satisfeito, com medidas restritivas que dão trabalho para o cliente acabamos perdendo-o.

    Abraços.

    Atenciosamente
    Lauro Cesar
    Hack to learn, not learn to hack.