Segurana de acesso Redes Wireless e Cabeadas

MUM Brasil So Paulo Outubro, 2008 Eng. Wardner Maia

Introduo
Nome: Wardner Maia Engenheiro Eletricista modalidades Eletrotcnica/Eletrnica/Telecomunicaes Provedor de Internet Service desde 1995 Utilizando rdio frequencia para provimento de acesso desde 2000 Ministra treinamentos em rdio frequencia desde 2002 e em Mikrotik desde 2006 Certificado pela Mikrotik em Wireless, Roteamento e como Trainer desde 2007 Trabalha como engenheiro para a empresa MD Brasil TI & Telecom e para a Rede Global Info maior rede de provedores independentes do Brasil
2

Introduo
MD Brasil TI & Telecom Operador de servios de Telecom e de Servios de Valor Adicionado Distribuidora oficial de Hardware e Software Mikrotik Parceira da Mikrotik em treinamentos

www.mdbrasil.com.br / www.mikrotikbrasil.com.br
3

Porque segurana em Wireless ?

Wireless muitas vezes a nica soluo para muitas cidades e reas rurais no cobertas pelas tradicionais e grandes empresas de Telecomunicaes. Wireless a forma mais fcil e rpida de ganhar participao de mercado em provimento de acesso. Boas implementaes tem performance similares s de DSL e Cabo. Segurana o Calcanhar de Aquiles para redes Wireless baseadas em equipamentos baseados na tecnologia Wi-Fi (IEEE 802.11).
4

Porque segurana em Redes Ethernet urbanas ?

Muitos pequenos provedores tem migrado para tecnologia ethernet, lanando cabos UTP, STP e Fibra nas ruas A despeito de muito questionamento de tcnicos mais tradicionais, esses empreendedores tem conseguido resultados muito expressivos, seja do ponto de vista de clientes atendidos como da prpria qualidade do servio prestado. O mix Wireless + Wired mostra-se uma alternativa impar na competio com tecnologias tradicionais. Infelizmente muitas implementaes tem sido feitas sem os devidos cuidados podendo comprometer/denegrir a evoluo dessa tecnologia.
5

Objetivos da Apresentao
Dar uma viso geral dos conceitos tericos envolvidos na segurana de links Wi-Fi e como implementa-las na prtica usando o Mikrotik. Fazer uma anlise crtica dos modelos de segurana adotados atualmente pelos provedores que usam Wireless e Cabo. Ataques de camada 2, o que so e os desafios para enfrenta-los.
6

O poder das batatas

Dentre 43 Redes sem fio localizadas no mais importante centro financeiro de So Paulo, apenas 8 tinham tomado as medidas de segurana recomendadas Info Exame - 2002
7

O poder das batatas

Em 2002, de acordo com a matria, as medidas de segurana recomendadas eram: Nome de rede escondido Controle de acesso por MAC Criptografia WEP
8

Segurana Rudimentar (O que no segurana)

1 Nome de rede (SSID) escondido Pontos de Acceso sem fio por padro fazem o broadcast do seu SSID nos pacotes chamados beacons. Este comportamiento puede ser modificado no Mikrotik habilitando a opo Hide SSID. Fragilidades: SSID tem de ser conhecido pelos clientes Scanners Passivos descobrem facilmente pelos pacores de probe requestdos clientes.
9

2 Controle de MACs

Segurana Rudimentar (O que no segurana)

Descobrir MACs que trafegam no ar muito simples com ferramentas apropriadas Airopeek (Windows), Kismet, Wellenreiter, (Linux/BSD) O prprio Mikrotik, com Snooper e Sniffer ` Spoofar um MAC muito fcil, tanto em Linux como em Windows. - FreeBSD : ifconfig <interface> -L <MAC> - Linux : ifconfig <interface> hw ether <MAC>
10

Segurana Rudimentar (O que no segurana)

3 Criptografia WEP Wired Equivalent Privacy foi o sistema de criptografia inicialmente especificado no padro 802.11 e est baseada no compartilhamento de um segredo (semente) entre o ponto de Acesso e os clientes, usando o algortimo RC4 para a criptografia. Vrias fragilidades da WEP foram reveladas ao longo do tempo e publicadas na Internet, existindo muitas ferramentas para quebrar a chave, como: Airodump Airreplay Aircrack Hoje trivial a quebra da WEP que pode ser feita em poucos minutos com tcnicas baseadas nas ferramentas acima.
11

Comprometendo a WEP (em definitivo )

Suporte muito vasto para crackear a WEP You Tube Vdeo ( em espanhol ) http://www.youtube.com/watch?v=PmVtJ1r1pmc

12

IEEE 802.11i
Devido aos problemas apresentados pela WEP o IEEE criou o Grupo de trabalho 802.11i cuja tarefa principal era fazer a especificao de um padro de fato seguro. Antes da concluso do trabalho do grupo 802.11i a indstria lanou padres intermedirios, como o WEP+, TKIP e o WPA (Wireless Protected Access) Em junho de 2004 o padro foi aprovado e a indstria deu o nome comercial de WPA2.

IEEE Indstria (Wi-Fi Alliance)

WEP

802.11i

WEP

WEP + TKIP

WPA

WPA2 13

Fundamentos de Segurana
Privacidade A informao no pode ser legvel por terceiros Integridade A informao no pode ser alterada quando em transito. Autenticao AP Cliente: O AP tem que garantir que o cliente quem diz ser. Cliente AP: O Cliente tem que se certificar que est se conectando no AP verdadeiro. Um AP falso possibilita o chamado ataque do homem do meio
14

Privacidade e Integridade
Tanto a privacidade como a integridade so garantidas por tcnicas de criptografia. O algortimo de criptografia de dados em WPA o RC4, porm implementado de uma forma bem mais segura que na WEP. Na WPA2 utiliza-se o AES. Para a Integridade dos dados WPA usa TKIP Algoritimo de Hashing Michael e WPA2 usa CCMP (Cipher Block Chaining Message Authentication Check CBC-MAC)
Encrypted

802.11 Header

802.11 Header

Data

MIC

15

Autenticao

Autenticao e distribuio de chaves

WPAx-EAP (modo corporativo) WPAx-PSK (modo pessoal) Mikrotik p/ Mikrotik Mikrotik c/ Radius

Sem certificados

Certificados 2 lados
16

Autenticao

Fundamentos de Segurana WPAx Autenticao

WPAx-EAP (modo corporativo) WPAx-PSK (modo pessoal) Mikrotik p/ Mikrotik Mikrotik c/ Radius

Sem certificados

Certificados 2 lados
17

Como funciona a WPAx-PSK

Client
Passhrase (PSK) PMK = f ( passphrase, SSID )

AP
Passhrase (PSK) PMK = f ( passphrase, SSID )

Uma chave mestra chamada PMK Pairwise Master Key criada por um hash entre a semente e o SSID. A PMK guardada no Registro do Windows on no arquivo supplicant.conf do Linux Outra chave chamada PTK - Pairwise Transient Key criada de maneira dinmica aps um processo de handshake de 4 vias. PTK nica por sesso
18

256-bit pairwise master key (PMK)

A-

256-bit pairwise master key (PMK)

ce noun

Derive PTK S-nounce OK, install MIC Check MIC

Key Installed, M IC

Derive PTK, Check MIC

Install Key Begin encrypting

Install Key Begin encrypting

Utilizando WPA/WPA2 PSK

muito simples a configurao de WPA/WPA2-PSK com o Mikrotik WPA - PSK Configure o modo de chave dinmico,WPA PSK, e a chave pr combinada. WPA2 PSK Configure o modo de chave dinmico WPA2, PSK, e a chave pr combinada. As chaves so alfanumricas de 8 at 63 caracteres
19

WPA / WPA2 PSK segura ?

A maneira conhecida hoje para quebrar WPA-PSK somente por ataque de dicionrio. Como a chave mestra - PMK combina uma contrasenha com o SSID, escolhendo palavras fortes torna o sucesso por ataque de fora bruta praticamente impossvel. Projeto na Internet para estudo de fragilidades da WPA/WPA2 PSK Cowpatty http://sourceforge.net/projects/cowpatty A maior fragilidade no entanto da tcnica de PSK para WISPs que a chave se encontra em texto plano nos computadores dos clientes.

20

WPA / WPA2 PSK segura ?

Quando o atacante tem a chave possvel: Ganhar acesso no autorizado Falsificar um Ponto de acesso e fazer o ataque do homem-do-meio (man-in-themiddle)

Recomendaes para WISPs Somente use PSK se tem absoluta certeza que as chaves esto protegidas (somente tem acesso aos equipamentos dos clientes o prprio WISP) No se esquea que as chaves PSK esto em texto plano nos Mikrotiks (at para usurios read-only)
21

Autenticao

Fundamentos de Segurana WPAx Autenticao

WPAx-EAP (modo corporativo) WPAx-PSK (modo pessoal) Mikrotik p/ Mikrotik Mikrotik c/ Radius

Sem certificados

Certificados 2 lados
22

Diffie-Hellmann (Without Certificates)

1.
Side A
Secret number x Generator g Prime number p

Side B

Cada lado escolhe um nmero secreto x g p. Lado A comea selecionando um nmero primo muito grande (p) e um pequeno inteiro o gerador (g) Lado A calcula usando aritmtica modular a chave pblica , K(a): K(a) = g x (mod p) Lado A manda para o lado B a chave pblica e o nmero primo (p), e o gerador (g) 23

3.

K(a) = gx(mod p) K(a), g, p

3.

6.

Diffie-Hellmann (Without Certificates)

Side A
Secret number x Generator g Prime number p

Side B

1.

Lado B faz um clculo similar com a sua chave secreta e o nmero primo e o gerador para obter sua chave pblica. Lado B manda para lado A a cahve pblica. Agora os dados podem calcular uma mesma chave pr compartilhada (que no circulou pelo meio inseguro) Shared key = K(b)x (mod p) Shared key = K(a)y (mod p)
24

K(a) = gx(mod p) K(a), g, p

Generator g Prime number p Secret number y

3.

K(b) = gy(mod p) K(b)

7.

Diffie-Hellmann (Without Certificates)

Side A
Secret number x Generator g Prime number p

Side B

1.

Os dois clculos produzem valores exatamente iguais, graas a propriedade da aritmtica modular A chave calculada utilizada como PMK e inicia o processo de criptografia normalmente (AES para WPA2 e RC4 para WPA)

K(a) = gx(mod p) K(a), g, p

Generator g Prime number p Secret number y

3.

K(b) = gy(mod p) K(b) Key = K(b)x(mod p) Same value Key = K(a)y(mod p)

25

Setup with EAP-TLS No Certificates

AP Configuration

Security Profile

26

Station Configuration

Setup with EAP-TLS No Certificates

Security Profile

27

EAP-TLS sem Certificados seguro ?

Como resultado da negociao anonima resulta uma PMK que de conhecimento exclusivo das duas partes e depois disso toda a comunicao criptografada por AES (WPA2) o RC4 (WPA) Seria um mtodo muito seguro se no houvesse a possibilidade de um atacante colocar um Mikrotik com a mesma configurao e negociar a chave normalmente como se fosse um equipamento da rede Esse mtodo possui um problema de implementao em multiponto que o alto consumo de processamento durante o processo de negociao das chaves.
28

Autenticao

Fundamentos de Segurana WPAx Autenticao

WPAx-EAP (modo corporativo) WPAx-PSK (modo pessoal) Mikrotik p/ Mikrotik Mikrotik c/ Radius

Sem certificados

Certificados 2 lados
29

Trabalhando com Certificados

Un certificado digital um arquivo que identifica de forma inequvoca o seu proprietrio. Certificados so criados por instituies emissoras chamadas de CA (Certificate Authorities) Os Certificados podem ser : ou Certificados auto-assinados
30

Assinados por uma instituio acreditada (Verisign, Thawte, etc)

Passos para implementao de EAP-TLS com Certificados auto assinados

Passo A Criar a entidade Certificadora (CA) Passo B Criar as requisies de Certificados Passo C Assinar as requisies na CA Passo D Importar os Certificados assinados para os Mikrotiks Passo E Se necessrio, criar os Certificados para mquinas Windows Tutoriais detalhados de como fazer isso: http://wiki.mikrotik.com/images/2/20/AR_2007_MB_Wireless_security_Argentina_Maia.pdf http://mum.mikrotik.com/presentations/PL08/mdbrasil.pdf
31

Mtodo EAP-TLS sem Radius (em APs e Clientes)

32

Security Profiles Mtodos de EAP

EAP-TLS Usa Certificados

33

Security Profiles TLS Mode

verify certificates Requer um certificado e verifica se foi firmado por uma ~CA dont verify certificates Requer um Certificado, porm no verifica no certificates Certificados so negociados dinmicamente com o el algortmo de Diffie-Hellman (explicado anteriormente
34

Autenticao

Autenticao e distribuio de chaves

WPAx-EAP (modo corporativo) WPAx-PSK (modo pessoal) Mikrotik p/ Mikrotik Mikrotik c/ Radius

Sem certificados

Certificados 2 lados
35

WPAx com Radius

Porta controlada
INTERNET

Client station
Supplicant

AP/NAS
Authenticator

Radius Server
Authentication Server

EAP Porta no controlada

36

EAP
EAP um protocolo para identificao de hosts ou usurios originalmente projetado para Protocolo Ponto a Ponto (PPP)
AP/NAS
Authenticator

Client station
Supplicant

Radius Server
Authentication Server

EAP na LAN

EAP sobre RADIUS

Suporta diferentes tipos de autenticao. Os mais comuns so: EAP-TLS, EAP-TTLS, EAP-PEAP, EAP-LEAP, EAP-MD5 etc
37

Tipos de EAP
Authentication Credentials Supplicant Certificate Username/Pwd Username/Pwd Username/Pwd Authenticator Certificate Certificate Certificate User Name In Clear Yes No No Yes

EAP Type TLS TTLS PEAP LEAP

Open/ Proprietary Open Open Open Proprietary

Mutual Auth Yes Yes Yes Yes

Key Material Yes Yes Yes Yes

38

Tipos de EAP
LEAP: (Lightweight EAP) um protocolo proprietrio da Cisco patenteado antes mesmo da 802.11i e WPA/ baseado em nome de usurio e senha que se envia sem proteo. Este mtodo no cuida da proteo das credenciais durante a fase de autenticao do usurio com o servidor. Trabalha com variados tipos de clientes, porm somente com APs da Cisco. Ferramente para crackear LEAP: Asleap - http://asleap.sourceforge.net/ OBS: Mikrotik no suporta LEAP.

39

Tipos de EAP
PEAP: (Protected EAP) and EAP-TTLS (EAP tunneled TLS) PEAP y TTLS so dois mtodos bastante parecidos e fazem uso de Certificados Digitais do lado do Servidor e usurio e senha no lado cliente. O processo segue a seguinte ordem: 1 O Servidor manda uma requisio EAP 2 Criado um tnel criptografado atravs do envio do Certificado 3 O usurio e senha passado de forma criptografada O problema com TTLS e PEAP que possvel o ataque do homem-do-meio
OBS: A diferena entre TTLS e PEAP que PEAP compatvel com outros protocolos como LEAP
40

Tipos de EAP
EAP-TLS (EAP Transport Layer Security) O Mikrotik suporta EAP-TLS tanto como cliente como AP e ainda repassa esse mtodo para um Servidor Radius Prov o maior nvel de segurana e necessita de Certificados nos lados do Cliente e do Servidor Radius Os passos de como configurar e instalar certificados em um Servidor RADIUS podem ser obtidos em: http://wiki.mikrotik.com/images/2/20/AR_2007_MB_Wireless_security_Argentina_Maia.pdf http://mum.mikrotik.com/presentations/PL08/mdbrasil.pdf
41

Station Configuration

Setup with EAP-TLS + Radius Client Configuration

Security Profile

Certificate

42

AP Configuration

Setup with EAP-TLS + Radius AP Configuration

Security Profile

43

O mtodo EAP-TLS + Radius seguro ?

No se discute que o EAP-TLS o mtodo mais seguro que se pode obter, porm h Um ponto que se pode levantar como uma possvel fragilidade:
Client station
Supplicant

AP/NAS
Authenticator

Radius Server
Authentication Server

Existem ataques conhecidos contra o protocolo Radius. Se um atacante tem acesso fsico ao link entre o AP e o Radius ele pode fazer ataque de fora bruta para descobrir a PMK. Para evitar isso h vrias formas como proteger esse trecho com um tunel L2TP ou PPtP

Atacando la entrega da PMK

44

Resumo dos mtodos possveis de implantao e seus problemas

WPA-PSK: Chaves presentes nos clientes e acessveis aos operadores

Mtodo Sem Certificados: Passvel de invaso por equipamento que tambem opere desse modo Problemas com processamento

Mikrotik com Mikrotik com EAP-TLS Mtodo seguro porm invivel economicamente e de implantao praticamente impossvel em redes existentes.
45

Resumo dos mtodos possveis de implantao e seus problemas

Mikrotik com Radius: EAP-TTLS e EAP-PEAP: Sujeito ao homem do meio e pouco disponvel nos atuais equipamentos.

EAP-TLS Mtodo seguro, porm tambm no disponvel na maioria dos equipamentos. Em plaquinhas possvel implementa-los.

46

Mtodo alternativo Mikrotik

O Mikrotik na verso V3 oferece a possibilidade de distribuir uma chave WPA2 por cliente . Essa chave configurada no Access List do AP e vinculada ao MAC address do cliente, possibilitando que cada cliente tenha sua chave.

Cadastrar porm nos access lists, voltamos ao problema da chave ser visvel a usurios do Mikrotik !
47

Mtodo alternativo Mikrotik

Felizmente porm o Mikrotik permite que a chave seja atribuda por Radius o que torna muito interessante esse mtodo.

Para configurar precisamos: Criar um perfil WPA2 qualquer Habilitar a autenticao via MAC no AP Ter a mesma chave configurada tanto no cliente como no Radius.

48

Configurando o Perfil

49

Configurando a Interface Wireless

50

Arquivo users: (/etc/freeradius) # Sintaxe: # MAC Cleartext-Password := MAC # Mikrotik-Wireless-Psk = Chave_PSK_de_8_a_63_caracteres 001DE05A1749 Cleartext-Password := "001DE05A1749 Mikrotik-Wireless-Psk = "12345678912 001B779ADD5D Cleartext-Password := "001B779ADD5D" Mikrotik-Wireless-Psk = "12345678911 001B77AF82C9 Cleartext-Password := "001B77AF82C9" Mikrotik-Wireless-Psk = "12345678911"
51

Radius (dictionary)
/usr/share/freeradius/dictionary.mikrotik

52

Laboratrio de PSK por cliente O aluno que quiser participar, crie um arquivo texto no formato abaixo e coloque no FTP com a identificao XY-PSK, onde XY seu nmero. # Sintaxe: # MAC Cleartext-Password := MAC # Mikrotik-Wireless-Psk = Chave_PSK_de_8_a_63_caracteres #Exemplo: 001DE05A1749

Cleartext-Password := "001DE05A1749 Mikrotik-Wireless-Psk = "12345678912

53

Criptografia x WISPs

54

Pesquisa realizada em setembro de 2007

Provedores que responderam Pesquisa: 74 Nmero de Clientes atendidos: 52.385 Total de Link contratado: 585.6 mbps Os resultados foram compilados de maneira ponderada resultados foram compilados de manera ponderada utilizando o critrio do nmero de clientes atendidos.

55

Pesquisa realizada en setembro de 2007 Criptografia

56

Pesquisa realizada en setembro de 2007 Autenticao

OBS: De todos que usam autenticao PPPoE ou Hotspot somente 4% usam tambm criptografia (96% usam somente PPPoE ou Hotspot como medida de segurana)
57

Spoof de MAC e ou IP

58

Solues (no 80211i) para a ltima milha

A concluso da pesquisa que a grande maioria tenta dar segurana a suas redes com as solues: Tneis PPPoE Autenticao Hotspot Vamos fazer a seguie uma anlise crtica desses modelos em particular com relao segurana

59


Recorte de tela efetuado: 10/17/2008, 10:48 AM

Consideraes acerca de PPPoE e Hotspot quando utilizados por provedores para segurana

60

Tuneis PPPoE aspectos gerais

PPPoE : originalmente desenvolvido para redes cabeadas O PPPoE Server (PPPoEd) escuta as requisies de clientes PPPoE que por sua vz utilizam o protocolo PPPoE discovery tudo feito na camada 2 PPPoE por padro no criptografado pode ser configurado com criptografia MPPE se o cliente suporta esse mtodo. O mtodo CHAP protege apenas o nome de usurio e senha e nada alm disso.

61

Tneis PPPoE aspectos gerais

A interface que escuta as requisies PPPoE no deve ter configurado Ip que seja roteado ou para o qual esteja sendo feito NAT. Se isso ocorre possvel burlar a autenticao PPPoE. Como outros tneis os valores de MTU e MRU devem ser modificados. PPPoE sensivel a variaes de sinal. Em mquinas Windows necessrio a instalao de um discador, o que representa trabalho administrativo.

62

PPPoE e Segurana
Un atacante que falsifique um endereo MAC em uma planta onde se rode PPPoE no consegue navegar, porem causa muitos problemas aos usurios verdadeiros. . Existem ataques a PPPoE quando falsos clientes disparam sucessivas requisies de conexo (PPPoE discovery) causando negao de servio. O mais grave no entanto que no PPPoE o usurio no autentica o Servidor. Por esse motivo um ataque do tipo do homem-do-meio pode ser facilmente implementado. Basta que o atacante ponha um AP falso em uma posio privilegiada e configure um PPPoE Server para capturar as requisies dos clientes. Isso pode ser usado para negar servio ou para capturar senhas.
63

Hotspots aspectos gerais

Originalmente foram desenvolvidos para dar servio de conexo Internet em Hotis, Shoppings, etc. Com o tempo tem sido utilizados como plataforma para autenticar usurios de WISPs. A interface configurada para ouvir o hotspot captura a tentativa de navegao e pede usurio e senha. Existem vrios mtodos de autenticao, inclusive com Certificados digitais possvel fazea a autenticao por HTTPS.

64

Hotspots e Segurana
Uma vez que um usurio tenha sido autenticado e seu par IP + MAC seja descoberto e falsificado por um atacante, este ganha acesso sem usurio e senha. O ponto de acesso no v os dois, porm somente um usurio. O servio fica precrio mas h a navegao de ambos. Usar DHCP reduz o trabalho dos hackers a menos da metade, pois descoberto o MAC, o DHCP d o IP de presente O mtodo de criptografia MD5 presente na autenticao chap somente protege o momento da autenticao, de nada adiantando para o trfego da sesso que pode ser sniffado Trabalhando com Certificados Digitais e HTTPS, dr-se-ia ao usurio a possibilidade deste autenticar o ponto de acesso, evitando assim o ataque do homem-do-meio. No entanto dificilmente o usurio estar devidamente orientado para tanto e a maioria deles aceitar um Certificado falso.
65

PPPoE & Hotspot & segurana - concluses

PPPoE tem muitas vantagens porque elimina uma srie de problemas comuns de redes wireless como broadcasts, trafegos causados por vrus, etc. Hotspots apresentam muitas facilidades interessantes como mandar mensagens, criar rotas, etc. Ambos so excelentes ferramentas para auxiliar na administrao e controle de rede, pricipalmete quando implementados em conjunto com Radius. PPPoE e Hotspot ajudam muito, porm no podem ser encarados como plataformas de segurana como tem sido at ento ! Segurana em Wireless se faz somente com criptografia bem implementada e em redes cabeadas com dispositivos com isolao de portas.
66

Porque os WISPs no utilizam Criptografia em Wireless ?

WISPs dizem que no utilizam Criptografia pelos seguintes motivos: Muita Complexidade
No fato. Com Mikrotik as implementaes so muito fceis

Equipamentos antigos no aceitam criptografia.

verdade, mas no Mikrotik possvel ter diversos perfis, com vrios tipos de criptografia.

Antigos problemas da WEP fazem WPA no confivel

As tcnicas empregadas so muito diferentes e no h comparao.

Problemas de performance com a criptografia

Novos Chipsets Atheros fazem criptografia em hardware no h problemas de performance
67

Segurana concluses (quase) finais

Segurana em meio wireless que cumpra os requisitos de: - Autenticao mtua - Confidencialidade - Integridade de dados Somente se consegue com a utilizao de uma estrutura baseada em 802.11i (WPA2) com EAP-TLS implementada con Certificados Digitais + Radius. Um excelente approach a utilizao de chaves Privadas WPA2-PSK quando distribuidas pelo Radius. Outras implementaes como a formao de VPNs entre os clientes e um concentrador antes que seja dado o acesso rede tambem uma soluo possvel que no foi abordada aqui pois em escala sua implementao pode se mostrar invivel.

68

Implementao de WPA2 por cliente com Radius na MD Brasil

69

Case MD Brasil
Pontos de acesso: Mikrotik RB133 somente como AP Bridge c/ 3 cartes R52, mdia 25 clientes p/ carto 100% clientes com WPA2 atribuda por Radius

70

Case MD Brasil
Clientes primeiro autenticam-se por MAC + PSK individual (transaparente p/ cliente Em seguida pedida autenticao Hotspot para cada cliente. A opo por Hotspot nada tem a ver com a segurana. somente uma opo de negcio

OBS destaque para o uptime !

71

Case MD Brasil
Hotspot + Web Proxy rodam localmente em todos pontos de acesso com mais concentrao de clientes. Web-Proxys dos pontos de acesso armazenam objetos pequenos Web-Proxy central (no Mikrotik) armazena objetos grandes.

72

Obrigado !
Wardner Maia maia@mikrotikbrasil.com.br

73