Comments on: Hosts certificados como solução contra uso indevido de infra-estrutura de rede sem fio

By: Olarva

Olarva — Sat, 05 Apr 2008 16:31:13 +0000

Sobre o excelente comentário do: thotypous

Concordo: Realmente as informações no site estão bem pobres.

“Duvido muito que tenham utilizado esse mecanismo, pois certificados X.509 válidos são difíceis de se emitir.”

Discordo, emite-se facilmente via Cacert.org. É o caso.

veja: http://www.cacert.org/index.php?id=12

“Isso dá a entender que o sistema não autentica todo o tráfego que é passado ao gateway, apenas a autenticação inicial, sendo a conexão liberada logo em seguida. Isso torna o sistema completamente inútil para combater uma clonagem de MAC + IP bem feita de um dos clientes atualmente conectados.”

Discordo parcialmente. Realmente o sistema não interfere no tráfego mas possui um tempo de reenvio do certificado, 5 minutos é o minimo pelo que sei, passou 5 minutos, não recebeu o certificado? Então fica bloqueado.

Se efetivamente clonarem, não navega, detecta a clonagem e asigna um novo ip para o cliente verdadeiro, assim o cliente não fica off-line.

By: rescbr

rescbr — Fri, 04 Apr 2008 02:19:20 +0000

Muitas veze já peguei redes não-criptografadas (nem com um wepzinho básico) de provedores wireless, que como “proteção” só tinham o SSID oculto. E o que sobe de mensagem do MSN e orkut…
Uma solução melhor pode ser encontrada de graça: se chama OpenVPN. Se for tudo tunelado e só a rede virtual for conectada à internet, você tem uma conexão bem mais segura que o famoso SSID oculto e evita clonagem de MAC e IP (o que não adiantaria nada). A desvantagem é a mesma: a necessidade de instalar o cliente do OpenVPN no computador do usuário.

By: thotypous

thotypous — Fri, 04 Apr 2008 01:51:42 +0000

Não sei dizer ao certo, pois a página apresenta informação realmente pobre sobre o funcionamento do produto, mas parece ser vulnerável a pelo menos dois tipos de ataque remotos:
1) “garante a segurança do certificado, transmitindo-o via conexão segura SSL de 128bits” - O protocolo SSL é vulnerável a ataques man-in-the-middle (que podem ser realizados muito facilmente) sempre que não é utilizado um mecanismo de comprovação de autenticidade do servidor. Duvido muito que tenham utilizado esse mecanismo, pois certificados X.509 válidos são difíceis de se emitir.

2) “responsável por permitir ou negar o NAT e FORWARD no gateway” - Isso dá a entender que o sistema não autentica todo o tráfego que é passado ao gateway, apenas a autenticação inicial, sendo a conexão liberada logo em seguida. Isso torna o sistema completamente inútil para combater uma clonagem de MAC + IP bem feita de um dos clientes atualmente conectados. Claro que após o cliente desconectar, a clonagem deixaria de funcionar, mas sempre que houvesse um cliente conectado, a rede poderia ser acessada de forma não autorizada.

Acima de tudo, me irrita esse desrespeito dos provedores com os clientes em fornecer um serviço tão facilmente sniffável. A maioria das pessoas não sabe disso e usa MSN e Orkut sem saber que pode ser espionada ou mesmo ter sua conta roubada por qualquer pessoa que tenha uma placa wireless.

By: Douglas Fischer

Douglas Fischer — Wed, 02 Apr 2008 22:44:42 +0000

NAC Network Acces Control 802.1X.. Um radius e tá tudo resolvido…
Inclusive pra rede cabeada(ambiente corporativo de grandes dimensões).

By: fureka

fureka — Wed, 02 Apr 2008 22:27:08 +0000

isso nao eh o tal do ieee 802.X ?

By: Lauro Cesar

Lauro Cesar — Wed, 02 Apr 2008 21:12:23 +0000

Realmente, há que se revisar o texto, apesar de eu estar extremamente constrangido com o fato.

Isto é o que acontece quando não há verba suficiente para contratar uma equipe para relações publicas e marketing :). porém meu consolo é que as qualidades da solução possam compensar essas deficiências, temporárias naturalmente.

Abraços.

By: rrbranco

rrbranco — Wed, 02 Apr 2008 20:22:38 +0000

Antes de lançar e publicar um site, ao menos uma revisão (gramatical e ortográfica) no texto faz-se necessário.

“com ferramenas de administração de cliente” ? (SIC)

“com base e 10 itens do computador” ? (SIC)

By: olarva

olarva — Wed, 02 Apr 2008 19:37:33 +0000

Realmente entendo esse teu ponto de vista.

Mas temos que agregar valor ao nosso produto, muitos provedores Wireless sub-utilizam sua infra-estrutura.

Quem tem SCM pode comercializar voip fácil. E hoje, voip é uma realidade, não dá mais para vender só internet.

By: BAyub

BAyub — Wed, 02 Apr 2008 19:31:46 +0000

Atualmente os Access Points contam com soluções nativas de segurança. Para redes caseiras ou redes pequenas, utilizando uma chave pré-compartilhada (WPA-PSK) já resolve o problema de autenticação e criptografia. Para uma solução corporativa, temos o EAP-TLS (facilmente implementado em ambientes linux) e EAP-PEAP (ambientes Microsoft).

Abraço!

BAyub.

By: sergio

sergio — Wed, 02 Apr 2008 19:24:09 +0000

Pelo preço cobrado, é mais barato deixar que roubem a banda..

O cliente só quer pagar 30 a 50 reais/mes… e o provedor tem que investir 200 para instalar o cliente (4 meses)… fora que a maquina ruindows do cliente ainda tem que instalar mais uma coisa… quando ele formata a maquina…. instala de novo… e se for o vista… ai ai….. nova licença… quem paga??
Com a concorrencia ofertado wireless quase gratis… fica dificil…

By: olarva

olarva — Wed, 02 Apr 2008 18:48:17 +0000

:) essa é boa.

Agora, você sabe o quanto “custa” esse sistema?

By: Do contra

Do contra — Wed, 02 Apr 2008 18:24:53 +0000

A única coisa free aqui é a propaganda.