Hosts certificados como solução contra uso indevido de infra-estrutura de rede sem fio
“Hoje é realmente simples descobrir o SSID de uma rede wireless, a partir daí clonar MAC de um cliente passando a utilizar a rede e consumir banda internet. Para provedores interessados em combater este problema, existe agora mais uma solução. Dêem uma olhada em:
Certificação de computadores, eu testei e funciona com perfeição.”
Enviado por Danielle Rossi (escolavisionΘgmail·com) – referência (hostcert.com.br).
• Publicado por Augusto Campos em
2008-04-02
@brlinuxblog
Feed RSS
A única coisa free aqui é a propaganda.
:) essa é boa.
Agora, você sabe o quanto “custa” esse sistema?
Pelo preço cobrado, é mais barato deixar que roubem a banda..
O cliente só quer pagar 30 a 50 reais/mes… e o provedor tem que investir 200 para instalar o cliente (4 meses)… fora que a maquina ruindows do cliente ainda tem que instalar mais uma coisa… quando ele formata a maquina…. instala de novo… e se for o vista… ai ai….. nova licença… quem paga??
Com a concorrencia ofertado wireless quase gratis… fica dificil…
Atualmente os Access Points contam com soluções nativas de segurança. Para redes caseiras ou redes pequenas, utilizando uma chave pré-compartilhada (WPA-PSK) já resolve o problema de autenticação e criptografia. Para uma solução corporativa, temos o EAP-TLS (facilmente implementado em ambientes linux) e EAP-PEAP (ambientes Microsoft).
Abraço!
BAyub.
Realmente entendo esse teu ponto de vista.
Mas temos que agregar valor ao nosso produto, muitos provedores Wireless sub-utilizam sua infra-estrutura.
Quem tem SCM pode comercializar voip fácil. E hoje, voip é uma realidade, não dá mais para vender só internet.
Antes de lançar e publicar um site, ao menos uma revisão (gramatical e ortográfica) no texto faz-se necessário.
“com ferramenas de administração de cliente” ? (SIC)
“com base e 10 itens do computador” ? (SIC)
Realmente, há que se revisar o texto, apesar de eu estar extremamente constrangido com o fato.
Isto é o que acontece quando não há verba suficiente para contratar uma equipe para relações publicas e marketing :). porém meu consolo é que as qualidades da solução possam compensar essas deficiências, temporárias naturalmente.
Abraços.
isso nao eh o tal do ieee 802.X ?
NAC Network Acces Control 802.1X.. Um radius e tá tudo resolvido…
Inclusive pra rede cabeada(ambiente corporativo de grandes dimensões).
Não sei dizer ao certo, pois a página apresenta informação realmente pobre sobre o funcionamento do produto, mas parece ser vulnerável a pelo menos dois tipos de ataque remotos:
1) “garante a segurança do certificado, transmitindo-o via conexão segura SSL de 128bits” – O protocolo SSL é vulnerável a ataques man-in-the-middle (que podem ser realizados muito facilmente) sempre que não é utilizado um mecanismo de comprovação de autenticidade do servidor. Duvido muito que tenham utilizado esse mecanismo, pois certificados X.509 válidos são difíceis de se emitir.
2) “responsável por permitir ou negar o NAT e FORWARD no gateway” – Isso dá a entender que o sistema não autentica todo o tráfego que é passado ao gateway, apenas a autenticação inicial, sendo a conexão liberada logo em seguida. Isso torna o sistema completamente inútil para combater uma clonagem de MAC + IP bem feita de um dos clientes atualmente conectados. Claro que após o cliente desconectar, a clonagem deixaria de funcionar, mas sempre que houvesse um cliente conectado, a rede poderia ser acessada de forma não autorizada.
Acima de tudo, me irrita esse desrespeito dos provedores com os clientes em fornecer um serviço tão facilmente sniffável. A maioria das pessoas não sabe disso e usa MSN e Orkut sem saber que pode ser espionada ou mesmo ter sua conta roubada por qualquer pessoa que tenha uma placa wireless.
Muitas veze já peguei redes não-criptografadas (nem com um wepzinho básico) de provedores wireless, que como “proteção” só tinham o SSID oculto. E o que sobe de mensagem do MSN e orkut…
Uma solução melhor pode ser encontrada de graça: se chama OpenVPN. Se for tudo tunelado e só a rede virtual for conectada à internet, você tem uma conexão bem mais segura que o famoso SSID oculto e evita clonagem de MAC e IP (o que não adiantaria nada). A desvantagem é a mesma: a necessidade de instalar o cliente do OpenVPN no computador do usuário.
Sobre o excelente comentário do: thotypous
Concordo: Realmente as informações no site estão bem pobres.
“Duvido muito que tenham utilizado esse mecanismo, pois certificados X.509 válidos são difíceis de se emitir.”
Discordo, emite-se facilmente via Cacert.org. É o caso.
veja: http://www.cacert.org/index.php?id=12
“Isso dá a entender que o sistema não autentica todo o tráfego que é passado ao gateway, apenas a autenticação inicial, sendo a conexão liberada logo em seguida. Isso torna o sistema completamente inútil para combater uma clonagem de MAC + IP bem feita de um dos clientes atualmente conectados.”
Discordo parcialmente. Realmente o sistema não interfere no tráfego mas possui um tempo de reenvio do certificado, 5 minutos é o minimo pelo que sei, passou 5 minutos, não recebeu o certificado? Então fica bloqueado.
Se efetivamente clonarem, não navega, detecta a clonagem e asigna um novo ip para o cliente verdadeiro, assim o cliente não fica off-line.