Certificado SSL no hotspot

[caicarabruno]

NOVO TUTORIAL NA 5ª Página, FUNCIONAL
NOVO TUTORIAL NA 5ª PÁGINA EM WINDOWS

Blza Mans

Na minha busca para amenizar a insegurança do hotspot sem que eu colocase uma criptografia tipo wpa2 no meu hotspot, sai em busca dos certificado ssl para ao menos parar com a clonagem de MAC + IP(Problema de muitos), consegui um pequeno tutorial de autoria de Vladimir Aleskey.
Como não encontrei a versão citada no tutorial encontrei outra versão que para minha felicidade fundiona muito bem.

Segue os links
Gerador de Certificado SSL
4shared.com - online file sharing and storage - download Win32OpenSSL-0_9_7m.exe

Tutorial
4shared.com - document sharing - download Seguran%C3%A7a%20em%20HOTSPOT%20MIKROTIK%20com%20certificado%20SSL[1].pdf

Flw Galera tenham um ótimo Domingo

bruno

[Gustavinho]

Parabens amigo pelo post....vai ajudar muito....


So me diz uma coisa.....como eh feita a instalacao do certificado no cliente??
assim que ele logar ou eh preciso fazer de outra forma???

vlwww

[caicarabruno]

Blza

Não Precisa instalar nos clientes não, no caso ele irá criptografar a senha do usuário, fazendo isto evita q um carona use a mesma conexão q o seu cliente.

AteNÇão. O certificado esta com um erro vou verificar o que é.
Mas se puderem testem também.
abraços

[aleksei]

Blza Mans

Na minha busca para amenizar a insegurança do hotspot sem que eu colocase uma criptografia tipo wpa2 no meu hotspot, sai em busca dos certificado ssl para ao menos parar com a clonagem de MAC + IP(Problema de muitos), consegui um pequeno tutorial de autoria de Vladimir Aleskey.
Como não encontrei a versão citada no tutorial encontrei outra versão que para minha felicidade fundiona muito bem.

Segue os links
Gerador de Certificado SSL
4shared.com - online file sharing and storage - download Win32OpenSSL-0_9_7m.exe

Tutorial
4shared.com - document sharing - download Seguran%C3%A7a%20em%20HOTSPOT%20MIKROTIK%20com%20certificado%20SSL[1].pdf

Flw Galera tenham um ótimo Domingo

bruno

Fico feliz por ter dado tudo certo amigo. segue o post com as dicas e comentarios aqui no under!

Segurança em hotspot com certificado SSL

[laurocesar]

Blza Mans

Na minha busca para amenizar a insegurança do hotspot sem que eu colocase uma criptografia tipo wpa2 no meu hotspot, sai em busca dos certificado ssl para ao menos parar com a clonagem de MAC + IP(Problema de muitos), consegui um pequeno tutorial de autoria de Vladimir Aleskey.
Como não encontrei a versão citada no tutorial encontrei outra versão que para minha felicidade fundiona muito bem.

Segue os links
Gerador de Certificado SSL
4shared.com - online file sharing and storage - download Win32OpenSSL-0_9_7m.exe

Tutorial
4shared.com - document sharing - download Seguran%C3%A7a%20em%20HOTSPOT%20MIKROTIK%20com%20certificado%20SSL[1].pdf

Flw Galera tenham um ótimo Domingo

bruno

Caro colega, obrigado pela colaboração com o forum, agora pegando carona em sua excelente assinatura:

"O Conhecimento é como um circulo, tudo que se pega deve devolver" : )

Poderia explicar para nós como usar um certificado WEB SSL usado para evitar a captura de usuário e senha, pode evitar a clonagem de MAC?

[caicarabruno]

Em foruns, gringos e claro brasileiros e wiki da própria mikrotik, pude entender que usando SSL Web no caso dos que usam hotspot, mesmo um terceiro clonando o MAC do usuário ele não conseguirá navegar, pois a senha estará criptografada pelo ssl.
Mesma formulinha que os bancos e lojas on-line utilizam HTTPS, pora autenticarem seus usuários, sendo assim torna-se uma navegação mais segura para os usuário e claro elimina a chance de um carona na conexão

Obs.: se eu estier errado corrijam-me


flw abraços

[humbertoxxt]

Com o certificado de segurança SSL, ele protege o login do cliente, não deixando outra pessoa logar com a senha do cliente.

Mas depois do cliente logado um clone vai navegar normalmente?

[aleksei]

Com o certificado de segurança SSL, ele protege o login do cliente, não deixando outra pessoa logar com a senha do cliente.

Mas depois do cliente logado um clone vai navegar normalmente?

O certificado cria uma conexao segura no ato da autenticação do cliente, criptografando "senha" e "login". Sendo assim o "sniffer" nao vai capturar esses dados.

após a clonagem do MAC e IP o mikrotik vai reconhecer mais uma conexao com o mesmo login e vai pedir "login" e "senha".

Neste caso, usando o hotspot com apenas 1 endereço por MAC e autenticacao por HTTPS e protegendo a senha do cliente com criptografia, será praticamente impossível o clone capturar a senha e login.

cliente:

MAC: 1 por cliente
XXXXXXXXXXXX

IP:
10.10.10.13

autenticacao: HTTPS
loginxsenha

--------------------------------------------------------------------------------------------

clone:

MAC:
XXXXXXXXXXXX
IP:
10.10.10.13

Autenticação:
?

-------------------------------------------------------------------------------------------

em outras palavras, ele vai clonar mais nao vai navegar!


excessão:

o clone vai navegar somente se o cliente fornecer a senha e login, mesmo assim será apenas 1 por vez, ou navega o clone ou navega o cliente.

[Gustavinho]

amigo ainda esta tendo problemas com este certificado??? vlwww

[Gustavinho]

Amigo só uma duvida.....após eu ter executado o openssl.exe ele fica na tela esperando executar algum comando.....eu devo adicionar estes comandos?

SERVIDOR=(meu provedor)
CHAVE=xxx.key
CERTIFICADO=xxxxx
DIAS VALIDOS=1095
genrsa -des3 -out novanet.key1024
req -new -x509 -days 1095 -key novanet.key -out novanet

Pois tentei e deu comando invalido....vlwww

[aleksei]

Amigo só uma duvida.....após eu ter executado o openssl.exe ele fica na tela esperando executar algum comando.....eu devo adicionar estes comandos?

SERVIDOR=(meu provedor)
CHAVE=xxx.key
CERTIFICADO=xxxxx
DIAS VALIDOS=1095
genrsa -des3 -out novanet.key1024
req -new -x509 -days 1095 -key novanet.key -out novanet

Pois tentei e deu comando invalido....vlwww

genrsa -des3 -out seudnsname.key 1024
req -new -x509 -days 1095 -key seudnsname.key -out seudnsname

[Gustavinho]

Maravilha amigo...agora sim consegui fazer funfa aqui.....


Só uma coisa...ele da uma atrasada pra abrir a pagina de login, mais antes ele fala que tem um problema com o certificado e da opção para o usuario continuar ou fechar....se continuar...cai na tela de login....

Isso seria normal?

[caicarabruno]

SERVIDOR=(meu provedor)
CHAVE=xxx.key
CERTIFICADO=xxxxx
DIAS VALIDOS=1095
genrsa -des3 -out novanet.key1024
req -new -x509 -days 1095 -key novanet.key -out novanet

No terminal vai ficar da seguinte forma

1º - openssl > genrsa -des3 -out suachave.key 1024 <TECLE ENTER>
Digite uma senha e a confirme logo em seguida.

2º - openssl > req -new -x509 -days 1095 -key suachave.key -out certificado.pem <TECLE ENTER>
Digite a mesma senha anteriormente

3º - Após ter feito isso Copie os arquivos gerados para dentro do diretório principal do MIKROTIK
no menu winbox - FILE - clique na pastinha

4º - va em NEW TERMINAL

[Usuario@mikrotik] > certificates <TECLE ENTER>
[Usuario@mikrotik] / certificates > import <TECLE ENTER >
[Usuario@mikrotik] / certificates > print <TECLE ENTER>

neste momento vai aparecer seu certificado importado. porém como seeu certificado não é nativo do browser ou de alguma empresa que trabalha na área vai dar erro, porém após ser aceito a primeira vez, sempre será aceito.
Ainda estou em minhas pesquisas para solucionar este incoveniente mas logo estarei com a resposta se não tiver nenhum impessilio aqui na empresa.

flw
Abraços

[Gustavinho]

Maravilha amigo...tinha conseguido fazer funfar, mais foi muito bom descrever o passo a passo...vai ajudar a explicar melhor pro pessoal.

Então, aqui pelo menos tive que clicar em continuar nessa pagina....

Se pelo menos tivesse a opção de instalar o certificado neh!!!!.....mais vlwww vamo ve se da pra arrumar isso...ae fica maravilha.

flww

[caicarabruno]

Boa NOite.

Então Gustavinho na madrugada fiquei pesquisando mais afundo e descobri outras formas, porém alguns comandos não estão dando certo.

Mas estou estudando um pouco mais os comando para que eu possa disponibilizar para o pessoal.

já posso dizer que consegui gerar um certificado que pode ser instalado no cliente apenas clicando em cima dele, porém não queremos isto num é verdade !? Pois seria uma frustação ir de cliente em cliente para instalar um certificado.

O Openssl tem uma série de comandos e extenções, estou estudando a finco este comandos para que possa fazer o melhor.

os certificados são duas chaves a privada, pública

e tem mais um arquivo que precisa ser gerado para que a privada assine a pública como se fosse um documento
porem uns comando estão dando erro, conseguindo resolver este erro o certificado se instala sem a necessidade de clicar em nada. Amanhã tento trabalhar no linux pois é um sistema mais robusto e também tem a ferramenta ssltools.

Abraços

Flw

abraços

[Gustavinho]

pow show de bola bruno....tomara que de certo cara.....se for o caso de ter que instalar no cliente, podemos ver possibilidade de disponibilizar pro cliente fazer o download direto da pagina de login, hospedando no MK mesmo.....

Bom precisando tamo ae... abraçãooo

[edilmoura]

pessoal aqui eu nao estou conseguindo fufa, no 1 comando vai mas na 2 nao vai, o opssl dar um erro de req. error in req, o qui pode ser pessoal, ja estou querendo fazer isso ja faz ums 3 meses mas ainda nada. desde ja obrigado.

[aleksei]

pessoal aqui eu nao estou conseguindo fufa, no 1 comando vai mas na 2 nao vai, o opssl dar um erro de req. error in req, o qui pode ser pessoal, ja estou querendo fazer isso ja faz ums 3 meses mas ainda nada. desde ja obrigado.

Coloquei aqui os comandos que vc está digitando.

[edilmoura]

pos bem eu coloquei exadamente os comandos qui vc disse mas eu nao sei o qui eu estou fazendo de errado, obrigado.

[caicarabruno]

Blza Galera

Esta semana provavelmente estarei com a solução para nossos problemas com ssl

a questão do certificado não ser aceito pelo browser é que ela não é assinada por uma CA autorizada, ex.: verisgn, Comodo... entre outras.

As nossas sao auto assinadas ou ao menos deverião ser, no tutorial do Aleksei ele nos deu uma boa idéia de como começar os sertificados e claro nos explicou sobre as chaves.

Só para relembrar

Chave Proprietária - Fica no servidor ou seja no hotspot, com extenção .pem
Chave pública - é aquela quie é instalada no cliente, com extenção .crt

Porém faltou uma coisa importante. A chave pública tem de ser assinada pela chave proprietária ou seja a fechadura tende reconhecer aquela chave se não não abre.

O que estavamos tentando fazer era abrir a fechadura com um clips.
Mas pelo fato de ser autoassinada e não somos uma empresa reconhecida va dar aquele erro ainda porém teremos a certeza de que estará funcionando.

Estou em laboratório testando uns comandos, pois faço os dois certificados ( púnlico e privado ) porém não estou conseguindo fazer um assinar o outro.

mas até domingo tenho uma resposta.

abraço