Certificado SSL no hotspot

[Gustavinho]

Poww maravilha cara...tomara que voce consiga, qualquer coisa tamo aee....flww

[caicarabruno]

Blza MANS

depois de muita pesquisa muito copo de café, água, bolacha e trakinas, terminei
porém como eu temia os certificados auto assinado (Self Signature) não é reconhecido pelos browsers por pura politicagem e claro segurança , somente empresas autorizadas ex> COMODO, RapidSSL entre outras, mas agora que consegui assinar o certificado podemos botar para funcionar com tranquilidade, pois será tão efetivo quanto os assinados pelas enpresas autorizadas.

segue em anexo o tutorial em .doc, só não coloquei imagens pois fiz com um pouco de pressa.
caso alguém queira tirar prints dos passos, me passe para o e-mail q esta no tutorial para que eu possa atualiza-lo.

4shared.com - document sharing - download Certificados SSL no Linux para mikrotik.doc

AGORA O TUTORIAL EM WINDOWS

http://www.4shared.com/file/93255857...INDOWS_XP.html
boa sorte e um ótimo domingo.

[Gustavinho]

Parabens Cara....vou testar por aqui e volto a postar....vlwww mesmooo....t+++

[Gustavinho]

Bruno fiz tudo aqui cara....só pra finalizar....é preciso remover o anterior que estava no sistema???

Se sim...tem algum método que deve seguir pra remover ou só deletar mesmo do diretorio????
vlww

[caicarabruno]

blza Gustavinho.

Sim, cara tem de remover, basta vc deletar os arquivos na pasta FILES do mikrotik, onde ficam os arquivos do hotspot.

OBS. Lembrando q sempre tem de fazer um baskup toda vez que for fazer uma modificação.

flw

[Gustavinho]

Maravilhaaa vou fazer isso entao e posto aqui os resultados...vlw mesmo cara...boa sorte ae...abração

[olivionet]

Mto bom tópico !!

Segurança é sempre essencial !!

[jardelalmeida]

NOVO TUTORIAL NA 5ª Página, FUNCIONAL
NOVO TUTORIAL NA 5ª PÁGINA EM WINDOWS

Blza Mans

Na minha busca para amenizar a insegurança do hotspot sem que eu colocase uma criptografia tipo wpa2 no meu hotspot, sai em busca dos certificado ssl para ao menos parar com a clonagem de MAC + IP(Problema de muitos), consegui um pequeno tutorial de autoria de Vladimir Aleskey.
Como não encontrei a versão citada no tutorial encontrei outra versão que para minha felicidade fundiona muito bem.

Segue os links
Gerador de Certificado SSL
4shared.com - online file sharing and storage - download Win32OpenSSL-0_9_7m.exe

Tutorial
4shared.com - document sharing - download Seguran%C3%A7a%20em%20HOTSPOT%20MIKROTIK%20com%20certificado%20SSL[1].pdf

Flw Galera tenham um ótimo Domingo

bruno

Amigo estou penando nos comandos, não sei bulufas de comandos em dos e afins, mas espero conseguir, ah tem nova versão do openssl para download no baixaki Win32 OpenSSL download

[gladstony]

Blza MANS

depois de muita pesquisa muito copo de café, água, bolacha e trakinas, terminei
porém como eu temia os certificados auto assinado (Self Signature) não é reconhecido pelos browsers por pura politicagem e claro segurança , somente empresas autorizadas ex> COMODO, RapidSSL entre outras, mas agora que consegui assinar o certificado podemos botar para funcionar com tranquilidade, pois será tão efetivo quanto os assinados pelas enpresas autorizadas.

segue em anexo o tutorial em .doc, só não coloquei imagens pois fiz com um pouco de pressa.
caso alguém queira tirar prints dos passos, me passe para o e-mail q esta no tutorial para que eu possa atualiza-lo.

4shared.com - document sharing - download Certificados SSL no Linux para mikrotik.doc

AGORA O TUTORIAL EM WINDOWS

4shared.com - online file sharing and storage - download GERANDO CERTIFICADO SSL COM O WINDOWS XP.docx
boa sorte e um ótimo domingo.

Parabens, sem comentarios...

[jardelalmeida]

Consegui fazer os arquivos lendo também outros materiais na net, mas estava pensando um pouco, me lembro que quando estava ativando o hotspot, o tutorial dizia que era melhor usar a opção "HTTP CHAP", pois com isso dificultaria a ação de sniffer de senhas.
Será que somente a opçao de http chap não seria sufuciente ?

[caicarabruno]

Consegui fazer os arquivos lendo também outros materiais na net, mas estava pensando um pouco, me lembro que quando estava ativando o hotspot, o tutorial dizia que era melhor usar a opção "HTTP CHAP", pois com isso dificultaria a ação de sniffer de senhas.
Será que somente a opçao de http chap não seria sufuciente ?

Melhorando a resposta.

o CHAP quando se utiliza o hotspot ela ja vem ativado por padrão pois ele utiliza criptografia baseado no MD5, que é discriptografado por java no browser do cliente, sendo assim ela passa em criptografia junto com os dados, e por isso um Snifer não consegue ver a senha porém se ele Clonar IPxMAC ele nem precisa saber da senah pois o browser fará isto por ele.
Usando HTTPS (SSL) por mais que a chave seja igual a todos é gerado um hash qeu é diferente a todos, portanto se um Snifer clonar MACxIP o browser dele irá gerar um hash diferente do cliente, então ele não conseguirá navegar, por falta de autenticação.
-------------------------------------------------------------------
Ex. Sem SSL, hotspot no padrão
cliente
Mac x Ip

Autenticação
Login X Senha

Snifer
Mac x Ip

Autenticação
Login X Senha

Com SSL em HTTPS

cliente
Mac x Ip

Autenticação
Login X ???????
????? X ??????
-----------------------------------------------------------------------
Mas o que muitas vezes acontece é que o cliente passa login e senha para um segundo usuário, ai não tem como, nem com ssl.
Ai para este problema temso a solução de Criptografia Wpa2 EAP TLS que usa ssl.
E também 1 Wpa2 por usuário gerada dinâmicamente utilçizando radius Maravilhoso(Coisa de biba).

flw amigo

[gladstony]

Já que o assunto é segurança, alguem poderia comnetar sobre o hostcert HostCERT - A Solução efetiva contra o uso não autorizado da infraestrutura de rede..

Este sistema é mesmo garantido, o investimento não é alto, porem precisa-se saber se é eficaz.

Abraço.

[caicarabruno]

Amigo estou penando nos comandos, não sei bulufas de comandos em dos e afins, mas espero conseguir, ah tem nova versão do openssl para download no baixaki Win32 OpenSSL download

Amigo, me passe os passos no qual você não esta conseguindo para que eu posssa lhe ajudar, pois no começo para entender os comando também penei.
Porém utilize os Tutoriais da PÁGINA 5, pois aqueles tutoriais são os finais. La tem tudo explicado passo a passo com imagens é exemplos que utilizei no meu laboratório.

Abraços

[caicarabruno]

Já que o assunto é segurança, alguem poderia comnetar sobre o hostcert HostCERT - A Solução efetiva contra o uso não autorizado da infraestrutura de rede..

Este sistema é mesmo garantido, o investimento não é alto, porem precisa-se saber se é eficaz.

Abraço.

Olha ja li sobre o hostcert quando o lauro postou no forum.
Não conheço, pois nunca utilizei, mas a criptografia que ele utiliza é o x509 o mesmo utilizado no tutorial, porém a diferença é que tem de ter um programa instalado no servidor e depois "instalar" outro no cliente.
É uam opção de segurança sim, mas quem pode lhe explicar melhor sobre o Hostcert é o Próprio Lauro.

Abraços

[jardelalmeida]

Amigo, me passe os passos no qual você não esta conseguindo para que eu posssa lhe ajudar, pois no começo para entender os comando também penei.
Porém utilize os Tutoriais da PÁGINA 5, pois aqueles tutoriais são os finais. La tem tudo explicado passo a passo com imagens é exemplos que utilizei no meu laboratório.

Abraços

Amigo eu finalmente consegui gerar os arquivos, mas desisti de usá-los aquela mensagem de erro de certificado, assustou muita gente acho que vou esperar mais e para ver se vale a pena pagar por uma empresa certificadora.

[caicarabruno]

Amigo eu finalmente consegui gerar os arquivos, mas desisti de usá-los aquela mensagem de erro de certificado, assustou muita gente acho que vou esperar mais e para ver se vale a pena pagar por uma empresa certificadora.

Bom aqui o pessoal também ficou meio assustado porém, deixei um aviso no hotspot ante sde colocar em produção, foi tranquilo só tive usn 10 chamados referente a isto.

mas tem sim algumas CAs bem em conta.
no-ip com valores baixissimos e também com garantia e se o seu certificado for burlado eles lhe pagam uma graninha ($50000,00), No-IP - Dynamic DNS, Static DNS for Your Dynamic IP

a COMODO com o instantssl que é gratuito por 3 meses depois pode ser renovado, porém vc deve ter uma domínio válido. SSL Certificates Comodo Free SSL Digital Server Certificate Authority

no meu caso utilizei o do tutorial, mas agora estou pegando com o pessoal do no-ip, atenciosos.
não tive mais problemas com caronas nas conexões inclusive eu testei ao maximo todas as possibilidades.

meu hotspot é secureht.meudomio.com.br.

no problemas e muito qualidade para os usuários

abraços

[underwanderson]

Bom aqui o pessoal também ficou meio assustado porém, deixei um aviso no hotspot ante sde colocar em produção, foi tranquilo só tive usn 10 chamados referente a isto.

mas tem sim algumas CAs bem em conta.
no-ip com valores baixissimos e também com garantia e se o seu certificado for burlado eles lhe pagam uma graninha ($50000,00), No-IP - Dynamic DNS, Static DNS for Your Dynamic IP

a COMODO com o instantssl que é gratuito por 3 meses depois pode ser renovado, porém vc deve ter uma domínio válido. SSL Certificates Comodo Free SSL Digital Server Certificate Authority

no meu caso utilizei o do tutorial, mas agora estou pegando com o pessoal do no-ip, atenciosos.
não tive mais problemas com caronas nas conexões inclusive eu testei ao maximo todas as possibilidades.

meu hotspot é secureht.meudomio.com.br.

no problemas e muito qualidade para os usuários

abraços

Bom dia, caicarabruno

olha so, se pesquisar vera que to doido pra arrumar uma solução para barrar tal incomodo que e a clonagem de MAC na minha rede ai pesquisando encontrei seu post, muito bom como outro colega disse em paginas anteriores quanto mais segurança melhor, fiz tudo de primeira consegui colocar tudo pra funcionar sem problema algum mas, nao obtive sucesso pois em laboratorio real (na minha rede) fiz todos os testes possivel e consegui clonar meus clientes e navegar mesmo com certificação SSL, apesar de estar doido por uma solução deixei ate de lado temporariamente os testes com o hostcert imaginando que esta seria uma solução menos trabalhosa mas ja estou correndo pro testes com o hostcert.
como muitos ainda estao com medo vou relatar meu entendimento sobre o SSL no MK, e o seguinte o certificado so serve para identificar a autenticidade do servidor a que estamos conectando pois se a minha conexao cair em outra rede por motivo de falta de sinal do meu provedor contratado iremos automaticamente ser redirecionado pela placa wireless ou windows a um ISP com mais sinal e nao vendo tal certificado saberemos que nao estamos no provedor contratado ou se alguem colocar um servidor no ar e criar um certificado parecido com o seu e o cliente tiver sido esperto em instalar o certificado que ele recebeu do ISP contratado no seu computador sera emitido um alerta de que aquele server pode nao ser o seu servidor de conexao pois ele sempre ira fazer as comparações dos dois certificados o que esta instalado e o que seria o novo certificado, por isso que a data de expiração e de mais ou menos 2 anos pois ja pensou quantas reclamações teria com relaçao a este problema de certificado se tivesse que fazer um a cada mes por exemplo.
e como os browser ja saem das empresas ensinados de que existe tal empresa certificadora (autenticadora) dos certificados o cliente sera avisado somente uma vez e nao tera nem que instalar se nao quiser pois toda vez que ele entrar para autenticar so tera que logar e apos logar e enviado para o servidor autenticador do certificado a chave que libera o trafego seguro SSL como nos mesmo criamos e validamos nosso certificado os browser's nao sabe quem somos nos e gritam logo como se fossemos falsarios de certificados, mas e so falar pros clientes instalar ele assim mesmo que so aparecera a opção de aceitar sim ou nao e cancelar, mas nao servira para navegação segura na internet e sim para autenticidade do servidor ou seja e como se falasse-mos aos clientes, (sim, voce esta se conectando no servidor certo pode logar) infelismente nao servira para barrar clonagem de MAC e navegação nao autorizadas pois como ja disse ele nao gera uma conexao segura para navegar na internet e nao separa quem e cliente e quem nao e cliente da sua rede entao quando o cliente a ser clonado passar por tudo isso bingoo o safado passara a navegar de graça e mais uma vez infelismente ira rir de nos, sem falar em bandidos hein!
desculpe mas esta nao sera a solução para evitar clonagem de MAC, teremos que correr contra o tempo e sanar este enorme buraco pois nao se trata de uma brecha e ate agora como o sergio ja disse no post que abri dias atraz temos que largar as facilidades do MK e implementar coisas concretas nas nossas rede, ppp0e eu nao quero pra nao perder esta "facilidade" do MK entao to aqui fazendo os testes com o hostcert pois ele cria um tunel seguro e criptografado pra cada cliente e e vc quem libera este tunel ou nao e claro que tera o inconviniente de ter que ir na casa de todos os clientes instalar um aplicativo que rodara em segundo plano e o cliente nem o vera trabalhar e se formatar teremos que instala-lo novamento se nao ele nao navegara ja tive o prazer de fazer uns teste aqui mas ainda nao implementei na rede por ser mais complexo quanto a hardware, para usar com o hotspot terei que implementar um servidor so pra rodar o hostcert pois nao tem como rodar direto no MK se o lauro estiver lendo isso que ele me corrija se estiver entendido errado.
entao nao se iludam com SSL para evitar a clonagem na rede corram atraz de coisas mais concretas pois as facilidades do MK se resumem a isso, facilidade tanto pra quem gerencia uma rede quanto para o cliente que nao tera que fazer nenhuma configuração e sim direcionar sua antena e melhor para os safados de plantão que vive disso trapacear, clonar e roubar sinal se nao tiverem roubando algo mais.
desculpe se fui muito direto mas isto e um caso muito serio.
obrigado

[jardelalmeida]

Pelo que eu entendi lendo sobre certificado ssl, ele consiste bascamente em dois pontos:

1- Dar uma garantia sobre a autenticidade do site que vc está inserindo dados, como login, senha, etc;

2- Criar uma criptografia no envio destes dados, de forma a evitar que snnifers vejam o conteúdo dos dados trafegados no envio dos dados no momento da conexão.

Então creio que o certificado seria somente, em tese, para proteger os dados de usuário e senha da página de login do hotspot contra snnifers, mas uma vez conectado o clone navegará tb sem problemas.
Isso já cria uma certa dificuldade pois o invasor terá que esperar o usuário logar para poder navegar
Saudações a todos !

[caicarabruno]

Bom dia, caicarabruno

olha so, se pesquisar vera que to doido pra arrumar uma solução para barrar tal incomodo que e a clonagem de MAC na minha rede ai pesquisando encontrei seu post, muito bom como outro colega disse em paginas anteriores quanto mais segurança melhor, fiz tudo de primeira consegui colocar tudo pra funcionar sem problema algum mas, nao obtive sucesso pois em laboratorio real (na minha rede) fiz todos os testes possivel e consegui clonar meus clientes e navegar mesmo com certificação SSL, apesar de estar doido por uma solução deixei ate de lado temporariamente os testes com o hostcert imaginando que esta seria uma solução menos trabalhosa mas ja estou correndo pro testes com o hostcert.
como muitos ainda estao com medo vou relatar meu entendimento sobre o SSL no MK, e o seguinte o certificado so serve para identificar a autenticidade do servidor a que estamos conectando pois se a minha conexao cair em outra rede por motivo de falta de sinal do meu provedor contratado iremos automaticamente ser redirecionado pela placa wireless ou windows a um ISP com mais sinal e nao vendo tal certificado saberemos que nao estamos no provedor contratado ou se alguem colocar um servidor no ar e criar um certificado parecido com o seu e o cliente tiver sido esperto em instalar o certificado que ele recebeu do ISP contratado no seu computador sera emitido um alerta de que aquele server pode nao ser o seu servidor de conexao pois ele sempre ira fazer as comparações dos dois certificados o que esta instalado e o que seria o novo certificado, por isso que a data de expiração e de mais ou menos 2 anos pois ja pensou quantas reclamações teria com relaçao a este problema de certificado se tivesse que fazer um a cada mes por exemplo.
e como os browser ja saem das empresas ensinados de que existe tal empresa certificadora (autenticadora) dos certificados o cliente sera avisado somente uma vez e nao tera nem que instalar se nao quiser pois toda vez que ele entrar para autenticar so tera que logar e apos logar e enviado para o servidor autenticador do certificado a chave que libera o trafego seguro SSL como nos mesmo criamos e validamos nosso certificado os browser's nao sabe quem somos nos e gritam logo como se fossemos falsarios de certificados, mas e so falar pros clientes instalar ele assim mesmo que so aparecera a opção de aceitar sim ou nao e cancelar, mas nao servira para navegação segura na internet e sim para autenticidade do servidor ou seja e como se falasse-mos aos clientes, (sim, voce esta se conectando no servidor certo pode logar) infelismente nao servira para barrar clonagem de MAC e navegação nao autorizadas pois como ja disse ele nao gera uma conexao segura para navegar na internet e nao separa quem e cliente e quem nao e cliente da sua rede entao quando o cliente a ser clonado passar por tudo isso bingoo o safado passara a navegar de graça e mais uma vez infelismente ira rir de nos, sem falar em bandidos hein!
desculpe mas esta nao sera a solução para evitar clonagem de MAC, teremos que correr contra o tempo e sanar este enorme buraco pois nao se trata de uma brecha e ate agora como o sergio ja disse no post que abri dias atraz temos que largar as facilidades do MK e implementar coisas concretas nas nossas rede, ppp0e eu nao quero pra nao perder esta "facilidade" do MK entao to aqui fazendo os testes com o hostcert pois ele cria um tunel seguro e criptografado pra cada cliente e e vc quem libera este tunel ou nao e claro que tera o inconviniente de ter que ir na casa de todos os clientes instalar um aplicativo que rodara em segundo plano e o cliente nem o vera trabalhar e se formatar teremos que instala-lo novamento se nao ele nao navegara ja tive o prazer de fazer uns teste aqui mas ainda nao implementei na rede por ser mais complexo quanto a hardware, para usar com o hotspot terei que implementar um servidor so pra rodar o hostcert pois nao tem como rodar direto no MK se o lauro estiver lendo isso que ele me corrija se estiver entendido errado.
entao nao se iludam com SSL para evitar a clonagem na rede corram atraz de coisas mais concretas pois as facilidades do MK se resumem a isso, facilidade tanto pra quem gerencia uma rede quanto para o cliente que nao tera que fazer nenhuma configuração e sim direcionar sua antena e melhor para os safados de plantão que vive disso trapacear, clonar e roubar sinal se nao tiverem roubando algo mais.
desculpe se fui muito direto mas isto e um caso muito serio.
obrigado

Anderson bom Dia!

Pelo pouco que entendi sobre o ssl, ele assim como o md5(chap) ele criptografa a sena e o usuário dos clientes, porém o ssl por se tratar de uma chave privada e uma pública e usa criptografia x509 é aquela mesma do Hostcert, ele simplesmente impede que um outro veja a senha no caso snifer, porém fiz vários testes com clone em laboratório e rede real não obtive sucesso em navegar clonando, não sei o que pode ter acontecido ou que você fez para que pudesse dar certo, mas aqui depois que implantei o ssl, não tive mais problema.

Agora se percistir o problema usa, wpa2 +eap+tls ai nme vc vai concegui entrar se esquecer alguma coisa.

abraços

[Gustavinho]

É aquela coisa amigos....hoje tem muito provedor pecando absurdamente na segurança da rede....achando que deixar o AP com rede aberta sem criptografia ajuda no desempenho da rede e N outras coisas....

Existem milhares de métodos de invasao para uma rede...então o que podemos fazer conforme nosso $$ permitir é garantir no minimo uma segurança para nossos clientes.

Como o amigo caicarabruno disse, o certificado SSL aqui criado serve para BARRAR os snifers de rede, onde ficam capturando login e senhas de usuarios, e não para bloquear a tentativa de clone de mac na rede.

Bom eu tenho uma prioridade muito grande quanto a segurança na rede...tanto como ataques como também a segurança dos dados dos usuarios.

Até entao o método que tenho usado pra garantir um POUCO mais a segurança é
Usando Hotspot com mascara /30 e AP nos clientes com senha no radio e rede com WPA.

Fica um pouco mais trabalhoso mais ja me ajuda e muitooooo.

Mais até aee...parabens pela galera daqui com os testes e soluções....vlwww