Segurança em hotspot com certificado SSL

[aleksei]

Como forma de agradecimento a todos que me ajudaram a resolver problemas no MK, deixo minha contribuicao:

Segurança em HOTSPOT MIKROTIK com certificado SSL

para garantir que usuarios nao autorizados nao naveguem na sua rede!

quem gostar pode agradecer!

[NicoLai]

muito bom o tutorial, obrigado!

[Mr_Dom]

muito bom, agradeço

mas tenho uma dúvida

depois de criado e configurado, quando o cliente for acessar a net, vai solicitar para aceitar o certificado ? ele vai ser mostrado como um certificado válido ? depois de aceito uma vez, nao pede mais para aceitar ?


obrigado...agradeço antecipadamente...passar bem

[djacesso]

Como forma de agradecimento a todos que me ajudaram a resolver problemas no MK, deixo minha contribuicao:

Segurança em HOTSPOT MIKROTIK com certificado SSL

para garantir que usuarios nao autorizados nao naveguem na sua rede!

quem gostar pode agradecer!

muito bom amigo. Agora eu fiz tudo como ta no arquivo pdf so q to com esse erro
Falha na conexão segura


Ocorreu um erro durante uma conexão com djacesso.net.

Não foi possível comunicar-se de forma segura com o sistema remoto: não há algoritmos de criptografia em comum.

(Código do erro: ssl_error_no_cypher_overlap)

A página que você está tentando abrir não pode ser exibida porque a autenticidade dos dados recebidos não pôde ser comprovada.

* Por favor, contate os responsáveis pelo site para informá-los sobre este problema.

[UlissesCampos]

Boa dica alexsei, mais vale lembrar que o certificados que vc gera nao e reconhecido como confiável pelo browser gerando uma mensagem de aviso no cliente falando que apesar do certificado ser valido nao e reconhecido e que isso pode ser perigoso...

a chave de criptografia ssl funciona muito bem, inclusive quando bem gerada e quase impossível de quebrar, mais se vc tem acesso a senha vc quebra fácil, por isso a mensagem, tem alguns site reconhecidos mundialmente que fornecem certificados reconhecidos pelo browser o inconveniente e que e pago antigamente a única empresa que fornecia este serviço era a VeriSign hoje tem diversas empresas fazendo isso.

o certificado e o mesmo a única diferença e que o o da empresa nao aparece a mensagem no browser mandando vc desconfiar

volto a dizer que a dica do alexsei e muito boa, meu post e mais uma daquelas coisas de nerd que sempre explica demais...

[aleksei]

muito bom, agradeço

mas tenho uma dúvida

depois de criado e configurado, quando o cliente for acessar a net, vai solicitar para aceitar o certificado ? ele vai ser mostrado como um certificado válido ? depois de aceito uma vez, nao pede mais para aceitar ?


obrigado...agradeço antecipadamente...passar bem

depois que ele é aceito pela primeira vez não será necessário outra vez!

[aleksei]

muito bom amigo. Agora eu fiz tudo como ta no arquivo pdf so q to com esse erro
Falha na conexão segura


Ocorreu um erro durante uma conexão com djacesso.net.

Não foi possível comunicar-se de forma segura com o sistema remoto: não há algoritmos de criptografia em comum.

(Código do erro: ssl_error_no_cypher_overlap)

A página que você está tentando abrir não pode ser exibida porque a autenticidade dos dados recebidos não pôde ser comprovada.

* Por favor, contate os responsáveis pelo site para informá-los sobre este problema.

amigo,

aconteceu comigo uma vez, eu nao havia dado o print apos cada comando. outra coisa, tem q ser pelo terminal, pelo botao certificate do winbox tbm nao funciona.

dica:
apague o certificado pelo botao certificate e refaça o processo dando print apos cada comando.

[interhome]

Esta certificação ssl será util como segurança para proteger a senha de usuário e login na rede. Depois do cliente autenticado o que muda entre a comunicação cliente e servidor ?

[aleksei]

Esta certificação ssl será util como segurança para proteger a senha de usuário e login na rede. Depois do cliente autenticado o que muda entre a comunicação cliente e servidor ?

O certificado age no momento da autenticação do cliente/servidor. ajuda no combate aos sniffers de rede que fazem a captura de login e senha.

O certificado é criado com criptografia de 1024 bits, superior aos 128 bits que são vendidos por aí.

Após a autenticacao tudo passa a ser como o padrão do hotspot.

[HENET]

O certificado age no momento da autenticação do cliente/servidor. ajuda no combate aos sniffers de rede que fazem a captura de login e senha.

O certificado é criado com criptografia de 1024 bits, superior aos 128 bits que são vendidos por aí.

Após a autenticacao tudo passa a ser como o padrão do hotspot.

olá, e se o cara clonar mac / ip do cliente ? o certificado vai bloquear isso??

[interhome]

olá, e se o cara clonar mac / ip do cliente ? o certificado vai bloquear isso??

O uso do certificado é proteger o "usuário" e "senha". Para isso esses dados passaram pela rede criptografado. Ou seja, se o camarada clonar mac / ip e não souber a senha, não irá navegar.

[SantiagoMG]

O uso do certificado é proteger o "usuário" e "senha". Para isso esses dados passaram pela rede criptografado. Ou seja, se o camarada clonar mac / ip e não souber a senha, não irá navegar.

Mas tem um problema: caso o "verdadeiro" usuário já tenha feito login, o invasor vai sim conseguir navegar com o mac / ip clonados, principalmente se o DHCP Server estiver ativo.

Esse invasor poderá ainda causar conflito e derrubar o "verdadeiro" usuário.

Pelo que andei lendo aqui no fórum, me parece que a forma mais prática de ter segurança, de fato, com hotspot é usar criptografia WAP2 com chaves individuais.

Mas de qualquer forma, embora não seja suficiente, utilizar certificado de segurança já melhora a segurança.

[Mr_Dom]

Mas tem um problema: caso o "verdadeiro" usuário já tenha feito login, o invasor vai sim conseguir navegar com o mac / ip clonados, principalmente se o DHCP Server estiver ativo.

Esse invasor poderá ainda causar conflito e derrubar o "verdadeiro" usuário.

Pelo que andei lendo aqui no fórum, me parece que a forma mais prática de ter segurança, de fato, com hotspot é usar criptografia WAP2 com chaves individuais.

Mas de qualquer forma, embora não seja suficiente, utilizar certificado de segurança já melhora a segurança.

é por ae o caminho, to tentando a alguns dias implementar as chaves individuais com radius, mas nao tá facil...

qq coisa q tiver agradeço se postar...

[Mr_Dom]

tenho uma dúvida, estou comprando um certificado válido pela VeriSign, queria saber dos colegas se usando esse certificado o cliente prescisa mesmo assim aceitar o certificado ou instalar, ou vai passar direto pra tela do login do hostpot e mostrar q o site é seguro ?


agradeço a qq explicação...

passar bem..

att.

[caicarabruno]

tenho uma dúvida, estou comprando um certificado válido pela VeriSign, queria saber dos colegas se usando esse certificado o cliente prescisa mesmo assim aceitar o certificado ou instalar, ou vai passar direto pra tela do login do hostpot e mostrar q o site é seguro ?


agradeço a qq explicação...

passar bem..

att.

CAro Dom

pelo fato de a VeriSign ser uma empresa CA ( Autoridade Certificadora ) Não apresentará nenhum pedido aos usuários ( nada de instalação nem avisos) apenas vai aparecer o cadeado nos browsers.

Abraço

[sharknet]

meu dhcp esta dando ip para qualquer pessoa tenho reparado que uns 20 por dia estava achando isso bom para o negocio porque assim divulgava com hotspot minha pagina agora queria saber se tem como uma pessoa navegar ou coisa do genero sem passar pela pagina de login?
uso edimax em bridge(sem chave)+mikrotik+hotspot+webproxy
Nao queria por chave em minha rede pois recebo muita ligaçoes de pessoas que dividia a net com visinhos e agora estou fornecendo para os dois atraves desta pagina --
so que quero ter segurança nessa rede e possivel redirecionar ou sei lá!!!!



obrigado pela ajuda do post acima me ajudaram muito
!!!!

[1929]

meu dhcp esta dando ip para qualquer pessoa tenho reparado que uns 20 por dia estava achando isso bom para o negocio porque assim divulgava com hotspot minha pagina agora queria saber se tem como uma pessoa navegar ou coisa do genero sem passar pela pagina de login?
uso edimax em bridge(sem chave)+mikrotik+hotspot+webproxy
Nao queria por chave em minha rede pois recebo muita ligaçoes de pessoas que dividia a net com visinhos e agora estou fornecendo para os dois atraves desta pagina --
so que quero ter segurança nessa rede e possivel redirecionar ou sei lá!!!!



obrigado pela ajuda do post acima me ajudaram muito
!!!!

Acho que não tem. Para o que voce quer, tem que deixar a rede aberta.
Segurança mesmo não existe. Existem meios que melhoram a segurança, mas sabe como é: Sempre tem alguém disposto a quebrar uma segurança. O que podemos fazer é dificultar bastante.
Veja este artigo do Maia, que o Sérgio postou algum tempo atrás.
Aí tem tudo que devemos levar em conta com relação a segurança, no cenário atual.

[caicarabruno]

Realmente de acordo com o 1929 ou tem segurança ou não tem, mas só é possível navegar sem passar pela página de login se algum individuo clçonar o mac address de um cliente seu ja logado, ou ele logar como guest(visitante) mas a segunda opção depende de você liberar no mikrotik.

mas se isso não sanou sua dúvida poste novamente.

Abraços

att

Bruno

[SantiagoMG]

Existe sim uma forma de se implementar a segurança da criptografia WPA2 e continuar com a vantagem COMERCIAL do hotspot sem criptografia, mas tem que ser com Mikrotik.

Fazendo assim, por exemplo:

Substitua esse AP Edimax por uma Routerboard em Bridge. Configure a rede com os mesmos parâmetros que utiliza no Edimax (SSID, canal, etc) e nessa mesma interface crie um VirtulAP com criptografia e de preferência com SSID oculto.

Aí é só ir migrando todos seus cliente para a rede criptografada. Quando seus clientes estiverem todos nessa rede com criptografia, ficará difícil (bem difícil) deles conseguirem escanear a rede e navegarem de graça.

E no final vc ainda vai continuar com o hotspot sem criptografia para angariar novos clientes.

[sharknet]

dei uma ideia em um amigo meu que e porgramador html e ele me mandou uma maneira de criptografar tudo que passa na minha red ele me passou um certificado da minha empresa mesmo ele criou igual a de banco usa e ate agora nao vi nenhum engraçadinho
fiquei sabendo que os invasores conectavam em minha rede (sen chave ) depois no navegador eles colocavam o ip do site e a porta por qual irian pasar tip 65.0.0.0:996 ai ele navegava , dava trabalho ne agora minha rede usa o navegador criptografado (IE7) .

ta resolvendo ate agora