Faça um testezinho básico...
Crie um servidorzinho dhcp com um hotspot-zinho e use dhcp fixo, clone o mac e veja se vai aparecer dois usuários na lease, aí tira um print screen e me envie.
Faça um testezinho básico...
Crie um servidorzinho dhcp com um hotspot-zinho e use dhcp fixo, clone o mac e veja se vai aparecer dois usuários na lease, aí tira um print screen e me envie.
Gente eu estive pensando aqui, não é mais vantagem fechar toda a rede com Vlan e fazer cada usuario ter um "PTP" até o servidor, e depois vc fazer um radius para o mikrotik autenticar mac e criar uma chave wpa para cada cliente no radius, o manga fez um pdf a respeito desse assunto do wpa.
Assim se o cara passar a wpa ele vai pegar apenas uma chave, e se mesmo que entre na rede quando der scan ele vai ver apenas a porta do servidor, não vai ter broadcast de clientes por causa do forward do cartão estar desligado e por que vc tem uma estutura de Vlan isolando os clientes.
Se eu estiver errado me corrijam por favor.
Será se todos os seus usuários vão suportar as vlan's?
wpa é muito simples de quebra , a formar mais segura mesmo é certificado digital. pois noa tem como clonar e quem quebra um certificador de 1024 ou 2048 bits,
so a nivel de informação para os amigos, a empresa que cria certificado de 1024bits, publicou na net, que para quebra um certificado de 1024bits levaria 5 anos para ser quebrado em força-bruta.
ai é simples so vc criar um certificado com validade de 3 anos, pois eu duvido quem tem windows instalado passar mais de 3 anos sem formata, pois o praga do windows com 1 ano instalado não tem quem aguenta de virus rsrsr...
lembrando aos amigos que wpa2-AES aceita certificado digital, então se o equipamento do cliente aceita certificado digital, vai ficar seguro tambem.
Última edição por edielsonps; 21-10-2009 às 20:09.
Mais seria uma wpa por cliente, se quebrar quebra apenas uma, trocou acabou, e foi o que eu disse antes, se o cara entra fica só falando com o servidor se vc fechar todas as suas torres e cartões em cima de uma estrutura de vlans, por que com as vlans vc faz um tipo de ptp virtual do cliente para o servidor. Só não indico wpa dinamica em cima do radius por que come muito processamento do rádio. E no caso das vlans os clientes não precisam suportar não, por que o que isola os clientes é o forward bloqueado no cartão do ap, a vlan serve para uma torre não comunicar com a outra e para um cartão não conversar com o outro dentro da routerboard.
Certificado digital é legal, porém vpn não é. Por que se vc vai usar vpn é melhor usar pppoe que também é uma vpn e é mais facil de o cliente configurar. Problema que tanto vpn quanto pppoe caem com latencia alta, e para manter esses serviços sua rede tem que ser impecavel. Eu estou pesquisando um pouco authpf do freebsd, se eu conseguir fazer um clientezinho para windows seria legal, ai vc cria um tunel ssh que suporta mais latencia que um tunel pppoe, e o tunel ssh não é para navegação é apenas para dizer que o cliente está ativo, e o legal que cada tunel ssh tem a sua criptografia sua chave ou seja ele faria o mesmo que um certificado só que de forma mais simples e o melhor dinamico, cada vez que o cara loga voce pode mudar a chave. Vou pesquisar como fazer um clientezinho para windows que faça esse tubo ssh num servidor freebsd ^^
E gente não tem por que fugir de freeradius, tem muita coisa aqui no forum a respeito, centraliza a configuração da rede, e vc pode permitir ou negar varias coisas como qual cliente pode conectar em qual cartão, freeradius é legal.
bom a apresentação do edielson, foi sensacional.
Funciona bem, sem gerar mensagens nos pcs dos clientes. nao importa o navegador. com um certificado para cada cliente.
Parabens Novamente Edielson
No caso de Provedores novos ou com muito problema de invasão é ideal.
se for mudar em um provedor ja existente é meio trabalhoso,
Mas esse metodo é sim segurança. e nao hotpot ou pppoe como muitos acham.
Ele funciona da seguinte forma:
a) tem-se os clientes e cada cliente sirvo internet com dhcp fixo e com hotspot;
b) tudo que precisarei está na a);
c) precisarei saber todos os nomes dos computadores dos pcs(host-name);
d) configurar um profile no hotspot dizendo: intruso, ou algo do tipo.
e) configurar um script para saber se o nome exibido no host-name do dhcp -> lease é realmente e nome dos pcs ativos no active do hotspot, se sim, ele passa, se não, ele remove do active, muda o profile;
f) assim que o intruso reconectar vai receber a mensagem no profile.
Isto que ele faz.
Veja na imagem a seguir:
http://img691.imageshack.us/img691/4649/tela5.png
Fiz esta configuração num provedor vizinho.
O problema é, não existe segurança nenhum apenas no Hospot.
So precisa cloca um ip e um mac de um cliente conecta e pronto ja vou navegar sem mais nada.
nem precisa passar pelo dhcp.
O pior é que ainda posso da um ataque "dhcp" "starvation" e lascou com o dhcp inteiro da rede ai para tudo de funcionar .
e so o atacante usar Aircrack-ng e manda ataque de tudo que é especie tanto wireless como servidor.
em breve estarei postando aki uma insegurança pior que ja estou fazendo os teste..
Temos que usar um filter para amenizar isto, por isto que é necessário bloquear o restante, liberando apenas o necessário.
Eu sei....
NÃO EXISTE SISTEMA 100% SEGURO!
muito interessnte
a pergunta é apos a palestra será postado aki no forum um wiki ensinando ?
ja está postado do wiki
MUM 2009 BR - MikroTik Wiki
Poderia dar mais detalhes pois não sou tão bom em scripts e não imagina como estou sofrendo aqui com clonagem de mac.
Já vi tambem em um outro provedor que quando o cara clona o mac em vez de o hotspot dar o mesmo ip para o cara que clonou ele gera um outro ip pedindo usuario e senha de novo, mas tentei aqui e não consegui fazer.
Última edição por gulinhaster; 06-12-2009 às 09:19.
Meu script funciona da seguinte forma:
*como explicado acima.
Toda vez que um usuário loga no hotspot, ele executa o script de verificação.
Dá um print em todos os active, verifica o hostname de um por um, se há algo errado, no hostname, ele remove o usuário do active do hotspot, desativa ele na lease por 5 segundos, muda o profile dele para outro, tipo o que mostrei acima.
Enquanto tiver com o nome errado, ele faz sempre esta alteração.
Edielson,
Acabei de ler seu pdf explicativo de como fazer o l2tp com certificados!
É mais uam forma de usarmos para que nossos clientes se conectem de forma segura.
Obrigado
Abraços
Bruno Queiroz