es vulnerable una vpn en MK ?

Publicado en 'Redes Inalámbricas' por usb, 19 Ene 2011.

Estado del tema:
cerrado.




  1. usb

    usb Miembro de bronce

    Registro:
    22 May 2010
    Mensajes:
    1,622
    Likes:
    148




    hola amigos quisiera preguntarles que tan seguro es implementar una vpn con mikrotik ayudara a la seguridad y que desventajas hay

    parece que los usuarios saltan la seguridad del portal cautivo de mikrotik y pensaba si seria mas seguro una vpn

    si alguien lo implemento en su sistema logro ver algun intruso despues de poner la vpn

    gracias por la respuesta
     


  2. MikroRAT

    MikroRAT Miembro maestro

    Registro:
    22 Oct 2009
    Mensajes:
    415
    Likes:
    48
    PPPOE seria una solucion , el problema es que recarga tu red
     
    Última edición: 19 Ene 2011
    A ingjaab le gustó este mensaje.
  3. rojocesar

    rojocesar Miembro de bronce

    Registro:
    3 May 2009
    Mensajes:
    1,770
    Likes:
    298
    Haber aqui existe un problema.. el VPN sirve para comunicar a una o mas computadoras y encriptarlas (esto ultimo se cumple si trabajan con certificados de seguridad) sus conversaciones.. ahora si deseas que no entren a internet.. esa es otra cosa.. si crees que no podran saltar el portal cautivo.. no tiene nada que ver.. es como hablar de un kilo de naranjas y compararlas con un kilo de aluminio...
     
  4. jhonnathan0103

    jhonnathan0103 Miembro de plata

    Registro:
    25 Dic 2009
    Mensajes:
    2,504
    Likes:
    158
    Haber como dijo Cesar no confundas las cosas. Una VPN es una red privada virtual, es decir puedes enlazar 2 pc´s, servidores etc etc.... Ahora tu pretendes hacer una VPN para cada uno d tus clientes?? pues si es eso tu cometido t aseguro q tu red no durara en pie ni 1 dia. Ya que las VPN son pesadas, sobretodo x la encriptacion y autenticacion q usan. Con solo decirte que IPSec no llegaria ni a la mitad d tu enlace inalambrico jejej se caeria en pleno viaje.
    Si deseas seguridad, para q no entren a tu internet, pues sencillo primero q nada q no entren a tu AP. Usa WPA mas AES y veras la diferencia y deja de creer q las personas q t digan q el MK "DA SEGURIDAD" xq eso es falso.
     
  5. usb

    usb Miembro de bronce

    Registro:
    22 May 2010
    Mensajes:
    1,622
    Likes:
    148
    bueno disculpen mi ignorancia en el tema tal vez debi decir como aumentar la seguridad de mi mikrotik ya que el portal cautivo que tengo no parece muy seguro

    porque al hacer un escaneo veo cosas extrañas que ustedes entenderan
    parece que hay algunos que estan utilizando mi linea de inter sin pagar
    y quisiera poder aumentar mucho mas la seguridad

    que me recomiendan uno dijo wpa pero me gaste un monton compradno el server almenos no quisiera perder ese dinero y votar el server lo que yo deseo de que manera asegurar mas eficientemente mi red
     
  6. peruanoaz

    peruanoaz Miembro de bronce

    Registro:
    21 Feb 2009
    Mensajes:
    1,525
    Likes:
    259
    No te hagas tantos problemas amigo, usa lo que te recomienda jhonnathan : encriptación wpa + aes. Ahora si usas tarjetas pci o dispositivos usb ese sí es un problema, por eso no se recomienda el uso de ellos, mejor trabajar con ap para tus clientes.
     
  7. ingjaab

    ingjaab Miembro maestro

    Registro:
    12 Jul 2010
    Mensajes:
    494
    Likes:
    0
    Hola primero debes de analizar que ataque es , despues de eso pones que seguridad que sea mas adecuado , por que no vas a matar un pajarito con un misil o bomba nuclear :):hi:
     
  8. jhonnathan0103

    jhonnathan0103 Miembro de plata

    Registro:
    25 Dic 2009
    Mensajes:
    2,504
    Likes:
    158
    Haber primero que nada RECUERDA ESTO:
    MIKROTIK ES UN ROUTER FIREWALL NO ES UN SERVER DE SEGURIDAD, asi que si compraste un server MK es para que administres mejor y controles tu red. No para seguridad. Si kerias un server exclusivo de seguridad pues entoncs hubieras optado x ISA server, centOS, o cualkier firewall fisico (como los firewall barracuda).
    Ahora el q uses WPA, no implica ningun gasto extra de dinero, lamento informarte que si t vendieron el MK diciendo q iba a dar "SEGURIDAD" a tu red, pues TE ESTAFARON.
    Ademas que usa wps, no kiere decir q botes tu MK, como router es bueno.

    Bueno otra opcion es q cojas esas ip q estan de intrusas, y les limites el ancho de banda a 1k de upload y 1k de download, vas a ver q se va a aburrir de tu red ya que estara sumamente lenta y te va a dejar en paz.
     
    Última edición: 20 Ene 2011
  9. DvilPriest

    DvilPriest Miembro maestro

    Registro:
    17 Ago 2009
    Mensajes:
    575
    Likes:
    4
    En realidad kon MK t puede dar un tanto d seguridad kon el sistema hotspot pero = es hackeable.
    En hotspot puede validar logeos x ip y mac con su respectivo amarre ip y mac dan un tanto de seguridad ojo k logico k tienes k poner algun tipo d encriptacion.
    Tbm 0tro forma komo dice bernado PPPOE SERVER.
     
    Última edición: 21 Ene 2011
    A ingjaab le gustó este mensaje.
  10. ingjaab

    ingjaab Miembro maestro

    Registro:
    12 Jul 2010
    Mensajes:
    494
    Likes:
    0
    Quien te ha engañado que pppoe server es seguridad , sirve mas que lo virus no molesten a la red :hi:, ahora el hotpost copiando la mac e ip ya tiene internent ya que mk le sa acceso por lo ve en su lista , ahora para que sea un poco seguro los dos debe de estar autenticado por otro equipo llamado radius :hi:
     
  11. jhonnathan0103

    jhonnathan0103 Miembro de plata

    Registro:
    25 Dic 2009
    Mensajes:
    2,504
    Likes:
    158
    Wowww la verdad nose si escribes x molestar a otros o es q de verdad tienes muchos conocimientos errados con muchos vacios. Bueno aclaremos lo que has dicho.
    PPPOE server es un servidor basaso en el protocolo de punto a punto cuya FUNCION ES: ES LA DE AUTENTICAR, CIFRAR Y COMPRIMIR todo el trafico que pasa a traves de "ESE TUNEL".
    No entiendo xq dics q PPPOE no es seguridad, cabe recordar que en redes existen DIVERSOS NIVELES DE SEGURIDAD, bueno no es una medida robusta pero es confiable para enlazar ciertos datos dentro de una red , conectando un cliente con un server. O acaso tu hs logrado "hackear" un server PPPOE jajajajaja. Ademas xq dices q sirve para q los virus no molesten a la red???
    Bueno creo q tu te has kedado medio "impactado" con el server radius nop?? jejej. Mira Radius es un servidor de autenticacion NO RECOMENDADO PARA REDES INALAMBRICAS sino solo para redes cableadas ya que es muy pesado. Como mencione en un post anterior, solo imaginate cifrar un pakete con IPSEC y mandarlo a traves de Wi-Fi, seria sumamente pesado y encima una ves q los paketes lleguen autenticarlos a traves de kerberos (bueno eso es en windows, MK nose q autenticador usará :errr:)
    Bueno ojala quede claro d una vez todo esto de seguridad.
     
    A ingjaab le gustó este mensaje.
  12. ingjaab

    ingjaab Miembro maestro

    Registro:
    12 Jul 2010
    Mensajes:
    494
    Likes:
    0
    doc tienes que mirar siempre que hacen los extranjeros si mira nivel local fue , ahora si he hakeado un pppoe es mas facil que una wep es el mismo principio con lo que paso con el hotpsot .

    Mira aqui http://www.foromikrotik.com.ar/foro/viewtopic.php?f=14&t=2943&p=15616&hilit=radius#p15616

    http://www.foromikrotik.com.ar/foro/viewtopic.php?f=14&t=3277&p=15795&hilit=radius#p15795

    http://www.foromikrotik.com.ar/foro/viewtopic.php?f=14&t=2217&p=10692&hilit=radius#p10692

    usan radius no solo para autenticar usuarios sino para adminstrar sus cuentas
     
    Última edición: 21 Ene 2011
  13. jhonnathan0103

    jhonnathan0103 Miembro de plata

    Registro:
    25 Dic 2009
    Mensajes:
    2,504
    Likes:
    158
    :plop: CITO ALGO INTERESANTE Q DICE EN UNO DE LOS LINK´S Q MANDASTE : "el hotspot le va a preguntar al radius para autentificar y el radius lo va a dejar pasar o no, entonces una vez conectados los vas a ver en activos."

    Por lo visto tu mas perdido que atahualpa en discoteca jaja. Aca se esta hablando de 2 cosas. Una de ellas es el SERVER PPPOE y la otra es RADIUS.

    En los link´s q m mandaste se habla sobre Radius, y esta bien se usa para autenticar usuarios con hotspot. Pero quieres realizarlo aca?? con las caracteristicas d esta zona?. Si quieres solo autenticar (ojo: sin cifrar) pues tendrias q tener un buen troughput en tus enlaces y si kieres ponlo en marcha vas a ver q esas conexiones no t van a rendir. Ten en cuenta q los contextos son otros. Como dicen en uno de los post como harias un nodo con 4000 usuarios aka en lima?? jajajaja

    Ahora sobre el server pppoe, asi q es mas facil q wep?? jajaj ENTONCS T INVITO A HACKEAR LAS CUENTAS PPPOE DE TELEFONICA. Haber si lo logras jajajajajaja :risota:

    PD: QUIEN ME KITA ESTA DUDA ¿QUE USA MK PARA AUTENTICAR???? (asi como windows usa a kerberos , MK a quien recurre para la autenticacion) o como lo autentica??? :biggrin:
     
    A ingjaab le gustó este mensaje.
  14. ingjaab

    ingjaab Miembro maestro

    Registro:
    12 Jul 2010
    Mensajes:
    494
    Likes:
    0
    la verdad tu esta perdido por que primero dices que radius no va en una red inalambrica en ese link hacen con radius y pppoe

    ----- mensaje añadido, 21-ene-2011 a las 12:26 -----

    exacto es para autenticar

    ----- mensaje añadido, 21-ene-2011 a las 12:28 -----

    en eso estoy

    ----- mensaje añadido, 21-ene-2011 a las 12:31 -----

    no solo te puse como ejemplo para que vieras que usan radius en una red wifi , usan proxy parent ( parecido al thunder ) , yo implentarlo esa cantidad de usuario no ni loco
     
  15. jemersonalonso

    jemersonalonso Miembro maestro

    Registro:
    4 Mar 2010
    Mensajes:
    978
    Likes:
    305

    Entiende usted el siguiente grafico???

    [​IMG]
     
    A ingjaab le gustó este mensaje.
  16. ingjaab

    ingjaab Miembro maestro

    Registro:
    12 Jul 2010
    Mensajes:
    494
    Likes:
    0
    Ahora telefonica no esta autenticando pon un anexo speedy como usuario , y contraseña speedy y ya tienes acces a internent , un ejemplo por mi zona los mismo tecnico por 60 soles estan poniendo cable modem de telefonica ( cable mas internent ) ojo pirata es decir un solo pago :), ahora sino me crees bueno
     
  17. rojocesar

    rojocesar Miembro de bronce

    Registro:
    3 May 2009
    Mensajes:
    1,770
    Likes:
    298
    ¬¬
    la verdad mi estimado amigo cuando lei estas palabras que sirve para que los virus no molesten.. me cai de mi asiento... PPPoE existen varios tipos.. tambien con cifrados y llaves.. pero aca si no aguanto de abrir mi boca... Bueno mis letras jaja

    TAS MEZCLANDO ARROZ CON MANGO jajaj... ya pareces moderador jajaja

    ----- mensaje añadido, 21-ene-2011 a las 17:53 -----

    WTF... jajaja pera pera... hay otros VPN que tienen llave... no generalizes... si dijeras eso en un salon de las clases de INICTEL creo que no saldrias vivo jajajaj...
    take it easy... take it easy... toma con pinzas lo que vas a decir... un consejo de un amigo.. no puedes estar diciendo tantas cosas (por no decir barbaridades con todo el cariño que te mereces jaja) asi alegremente... aca estamos para aprender y para preguntar si algo no esta bien entendido..
     
    Última edición: 21 Ene 2011
    A ingjaab le gustó este mensaje.
  18. ingjaab

    ingjaab Miembro maestro

    Registro:
    12 Jul 2010
    Mensajes:
    494
    Likes:
    0
    Uhs un lapsus trabaja en capa 2 el cual no genera trafico de ip sorry :hi:

    ----- mensaje añadido, 21-ene-2011 a las 19:00 -----

    yo moredarador :Pno , nada un años luz jejejejej :P te pusiste sentimentl otra vez:P

    ----- mensaje añadido, 21-ene-2011 a las 19:01 -----

    jejejejjejeje no ps te pasas asi no es

    ----- mensaje añadido, 21-ene-2011 a las 19:07 -----

    en eso si te doy la razon lo generalize

    ----- mensaje añadido, 21-ene-2011 a las 19:10 -----

    Ok pero PPPoe server de mk es vulnerable el incomiente es que el mk no autentica., ni para hotpost , ni para pppoe , por eso copiando mac e ip puede saltar el hotpost, de igul manera con dos truquitos puedes saltar pppoe :hi:
     
    Última edición: 21 Ene 2011
  19. jhonnathan0103

    jhonnathan0103 Miembro de plata

    Registro:
    25 Dic 2009
    Mensajes:
    2,504
    Likes:
    158
    Haber Sr ingjaab vamos a aclarar d una vez las cosas para q deje de estar malinformando a las personas del foro.
    En redes inalambricas lo que mayormente se asegura es la capa 1 y capa 2 del modelo OSI, utilizando el cifrado WEP WPA y WPA2 por medio de la clave compartida o llamado PSK (de la cual yo recomiento WPA con encriptacion AES), tambien los llamados filtros MAC y oculatamiento de SSID (mm medidas no muy robustas)
    Pero cuando nos referimos en utilizar un servidor Radius para realizar la autenticación, hay q tener en cuenta lo siguiente:

    El servidor Radius utiliza WPA-Enterprise (WPA-802.1x/EAP)
    WPA-enterprise permite realizar la autenticación con ayuda de un servidor RADIUS a través de protocolo 802.1X.
    El Proceso de autenticación WPA-Radius, son 3 elementos que interviene que son:
    1.- Cliente accede a la red
    2.- AP realiza proceso de autenticación
    3.- Servidor Autentica y mantiene un repositorio de usuarios

    Al detalle seria
    Primero el cliente desea ser autenticado, entonces envía la petición al mikrotik. Luego el Mikrotik habilita un puerto para el cliente, en este puerto solo pueden viajar mensajes de autenticación en tramas de gestión. Los demás puertos son filtrados. El cliente envía su identidad al Mikrotik, luego se el envía la identidad del cliente al servidor Radius mediante EAP, entonces el cliente y el servidor Radius establecen un dialogo mediante el protocolo EAP. Terminado el dialogo, el cliente y el servidor comparten una clave de sesión, luego el servidor Radius o servidor de autenticación envía la clave de sesión al autenticador mediante el protocolo Radius. Y finalmente el AP habilita el puerto para la dirección MAC del cliente y adicionalmente establece una clave de encriptación con el solicitante.

    Tienes que tener o mejor dicho conocer todo esto antes de poder emitir un juicio sobre algo y SOBRETODO TENER LA CARA DE REFUTAR !!
     
  20. ryohnosuke

    ryohnosuke Miembro de plata

    Registro:
    28 Mar 2008
    Mensajes:
    2,626
    Likes:
    83
    Pues no tiene nada de sorprendente, ya que el túnel se abre únicamente entre el cliente y el servidor, así que un IP/ARP spoofing o comunicación entre clientes -al menos en situaciones "naturales"- no es posible, por lo tanto, su comentario tiene validez; claro, debería de quitar el 'sirve más'. Por ahí se escapó un poco de mango en tu arroz. :biggrin:


    ------------
    Lo de seguridad, pues no sé cómo lo habrás configurado estimadísimo ingjaab. :paz:


    Saludos.
     
Estado del tema:
cerrado.