sergio,
quero aqui em nome de todos os interessados na questão te agradecer por ter entrado no tópico, pois além de você convidei outros mas você apareceu mais rápido do que imaginei e nos ajudou mais uma vez, lembrando que como eu muitos aqui deve ter procurado bastante mas sem sucesso pois como ver muitos tópicos não descreve corretamente o assunto abordado e fica difícil a identificação do material, mas fica aqui meu agredecimento por aparecer por aqui.
parabéns
Sim, sempre que eu posso, e quando a questão não é pedir soluções prontas, com tudo mastigado, eu ajudo.
Conforme mencionei e no material que enviei o link, vocês poderão entender o que ocorre com as redes sem fio. E desde, já, é a única coisa que podemos implementar, atualmente, que realmente garante uma proteção adequada as mesmas. Não é difícil fazer, mas requer leitura e entendimento dos parametros a controlar. Usando apenas Mikrotik ROS, fica mais fácil ainda, mas como mencionei, particularmente, não gosto, pois com o uso do radius, tornam-se bem mais simples as tarefas de gerenciamento, assim como a possibilidade de união do mesmo com algum sistema administrativo/gestão.
As vezes temos medo do desconhecido, é natural do ser humano, uma das preocupações que sempre tive com uso da criptografia era o processamento, pelo exemplo mostrado no material que o sérgio postou, podemos observar que é praticamente desprezível.
Outro medo era a questão da compatibilidade, pude ver que não chega a ser um problema pois podemos criar perfis difentes para atendes cada cliente;
pesa agora só o fato de ter que mudar a rede para mk 3.0 e readptar meu sistema administrativo / suporte etc..
Vale lembrar que no proprio material postado, mencionam a autenticação feita no estilo do hostcert, embora não entre em detalhes, no entanto hoje me parece ser a alternativa mais viável, quando queremos apenas coibir o uso não autorizado da internet, e no caso do hostcert ainda acrescenta a vantagem da criptografia do tráfego de forma a garantir o sigilo das informacoes trocadas.
Última edição por JHONNE; 02-03-2009 às 14:36.
Para que tudo não parece flores, vejo também alguns problemas na implementação do hostcert
Um deles é o possível aumento da manutenção, que também é notável quando se usa criptografia, outro é o caso do compartilhamento interno, visto que a máquina precisa ser autenticada e é criada uma conexão vpn com o servidor.
Em empresas que utilizam roteador interno esta prática pode ser inviável, mas neste caso a criptografia caíria como uma luva, até porque normalmente podemos proteger o ap com senha e garantir o sigilo de algumas informacoes: como chave, ip e em certos casos até mac;
Exatamente isto que eu pensei para a solução do problema, mas que um programa tipo hamachi que conectaria, claro, autenticando alguma chave escondida no código do programa no servidor.conexão vpn com o servidor.
na terra quase nada é impossível, mas é bem duvidoso que alguém consiga invadir já que ele utiliza técnicas de proteção de software.
mesmo assim sabemos que softwares muitas vezes são crackeados, burlados, no entanto, softwares que não tem uma escala muito grande de uso não custumam ter esse problema, além de tudo problemas criar uma nova chave sempre que necessário, lembrando que as chaves são criadas com base nas informações do hardware do cliente, o que dificulta em muito a ação dos clonadores
A "aulinha" completa:
Quem configurou esse MK deveria desistir da profissão!!!
Última edição por Magal; 03-03-2009 às 00:25.
Opa, saudações!
Meu nome é Lauro e sou consultor HC, fico a disposição dos colegas para sanar quaisquer dúvidas acerca da segurança do sistema.
Podem me add no msn: [email protected], ou skype: hostcert
Quando a questão proposta pelo Sergio, tipica de todo bom administrador, sem dúvida, qualquer programador conhece essa probabilidade, sendo binário pode ser lido e interpretado, porém o fato é que o sistema é muito simples, o que pessoalmente considero seu maior mérito.
Para resumir, o sistema utiliza um conceito de "Single Sign-On" na criação das chaves, sempre baseado nos itens raramente substituídos do computador do cliente, portanto, mesmo que alguem descubra quais são os itens, e mais, descubra como gerar o hash, ele ainda precisa saber como o servidor espera receber essa informação, e ai que a coisa pega, pois é randomico, numa combinação que somente cliente e servidor sabem.
Então, assim como é simples capturar uma informação enviada via ssh, eu digo, é simples burlar o HC. : )
A propósito, o HC Gateway é perfeito para complementar a segurança em conjunto com o MK Router.
Nosso blog: HostCERT » Blog de suporte aos clientes HostCERT. com alguns clientes listados.
HostCERT - A Solução efetiva contra o uso não autorizado da infraestrutura de rede.
O site com os beneficios diretos, há varios outros, mas dependem da topologia da rede.
O Hc é um projeto nacional, e ajuda em muitos aspectos da segurança, por exemplo, usando HC gateway, consegue-se a condição de identificar de forma inequivoca de onde saiu determinada requisição, então se um dia o provedor precisar informar judicialmente a origem de determinada conexão, consegue facilmente, nos sistema atuais consegue-se rastrear o ip, mas você não tem certeza se é seu cliente realmente naquele ip, com HC tem.
Abraços para todos.
Atenciosamente
Lauro Cesar
Hack to learn, not learn to hack.
voce tera alguma soluções:
1- usar pppoe
2- usar o software HOSTCERT
3- uma chave wpa para cada cliente (isso aqui eh mais complexo)
... eu aconselho migrar para ppppoe OU usar o HostCert !! HostCERT - A Solução efetiva contra o uso não autorizado da infraestrutura de rede.
alexandrecorrea,
como foi eu quem abriu o topico e fui pedir ajuda a vocês, da mesma forma que fiz com o sergio quero tambem te agradecer em nome da galera aqui interessada na questão, por ter entrado no tópico, fica aqui meu agredecimento por aparecer por aqui e tentar nos ajudar.
obrigado
solucao postada!
Segurança em HOTSPOT com certificado SSL
Esse cara ai é o conheço, e os clonadores que eu não conheço, outra coisa, não se acusa sem provas, pode dar danos morais, e infelizmente não há como provar
Seguinte pessoal,
a unica coisa que me encomoda no hostcert é a utilização de um programa na maquina do cliente, que pode gerar mais manutenção e alguns problemas quando se trata de redes empresarias pelo fato que ter que haver uma maquina central autenticadora.
A solução ideal para o meu caso seria o hotspot com a seguinte implentação:
1 - cliente conecta e recebe um cookie informado a hora da última conexão,
2 - no proximo login o cookie é verficado e se os dados baterem o acesso é autorizado e um novo cookie é enviado para que seja atualizado
infelizmente hotspot não suporta php e não sei como implementar isso.
Parceiros do Forum bom dia
Sei que isto é discussao para horas de conversa, afinal a criatividade do ser humano nao tem limites.
Estamos falando de redes sem fio, e como o nosso companheiro falou la no inicio do post, nada é 100% seguro, sempre havera uma falha nao importa se voce ta usando o sistema mais caro do mundo, sempre ira ter alguem para tentar burla-lo.
Porem podemos tentar dificultar ao maximo a vida do cara que esta tentando invadir nossa rede, e gostaria muito de deixar aqui a experiencia (apesar de simploria) que tivemos em nosso provedor.
Aqui desde que integramos o radius ao mikrotik diminuimos muito as tentativas de invasoes, nos usamos Login + Senha + Mac + IP + SSid ou nome da torre por onde o cara se conecta, alem de dispormos da possibilidade de bloquear o horario de acesso do cliente, sem contar tambem a verificação se o cara ta em dia com os pagamentos ou nao;
Sei que a solução é bem simples, mas ajuda muito a dificultar a vida do cara;
É logico criptografia, chaves, tudo isso ajuda muito mas como administradores temos que ter em mente que sempre ira ter alguem com criatividade suficiente para de alguma maneira procurar falhas. O que nao devemos é perder nossos cabelos (prezo muito o pouco que ainda me resta) com estes caras.
E realmente o topico é de muita valia, com ideias das mais variadas, e com certeza vao me ajudar a enriquecer meu conhecimento.
Agradeço a todos
Abraços
Marcelo
Fazer isso é bem simples, mas não com MK.
Myauth poderia fazer talvez.
Porém, não iria adiantar nada contra a clonagem.
Veja bem, esse sistema manteria o ip/mac liberado para navegar apenas.
Serviria apenas para saber que um cliente que sabe login/senha conectou.
E mesmo assim, depois de autenticado, como Não liberar para um possivel clone? Pois após o cookie ser validado o ip/mac fica liberado, por um tempo.
Como atualizar o cookie? Fazendo o cliente acessar o hotspot de tempos em tempos? E se o cliente deixar o pc ligado para baixar um documento muito importante de 350mega a respeito de uma ilha, onde um avião caiu, partindo da Austrália, como fica?
: )
O Hostcert resolve o problema e oferece comodidade para o cliente, na minha opinião, devemos pensar sempre em primeiro lugar em deixar o cliente satisfeito, com medidas restritivas que dão trabalho para o cliente acabamos perdendo-o.
Abraços.
Atenciosamente
Lauro Cesar
Hack to learn, not learn to hack.