HotSpot vs PPPoE vs Etc.

HotSpot ou PPoE ?
Deem suas opiniões amigos, assim como porque ..
Vamos enriquecer este tópico com boas opiniões para que muitos usuários façam bom proveito destas informações.

Grande Abraço a Todos !

Alexandre Samuel escreveu:

Bom dia Marcio!
Minha opiniao para uso em Provedor sou mais o pppoe.

PPPoE (point-to-point protocol over Ethernet) O protocolo PPPoE trabalha com a tecnologia Ethernet, que é usada para ligar sua placa de rede ao modem,radio, desta forma ele faz a autenticação para a conexão e aquisição de um endereço IP fixo. Com o PPPOE fica mais fácil identificar as sessões do usuário e assim realizar controles como de: MAC, Banda, etc ......
Com pppoe se seu provedor tem o segmento em Wirelless (wi-fi), voce pode trabalhar com segurança no seus pop´s ex: criptografia na sua rede do tipo: wpa, wpa2 ...

Já o uso do Hotpost, mais uma vez na minha opinião é mais indicado para o uso em Hotéis,Shopping,Escolas,universidades .....
Hotspot não se trata de um protocolo e sim de um ponto de acesso através redes wi-fi,
devido ao fato que para o uso de hotpost as redes devem ser abertas, para que os usuários se conectam através de login e senhas ou tickets. Autenticação de hotpost acontece no navegador do usuário.

Para quem é Provedor use o pppoe, só um fato, seu cliente quer um roteador como vai fazer se usar hotpost?

Faço minhas palavras as palavras do amigo Alexandre Samuel. Foi técnico e claro entre o uso das duas técnicas de autenticação.

Não gostei do post. Mistura alhos e bugalhos.

Por exemplo, por que Hotspot precisa de rede aberta ?

Não existe nenhuma limitação técnica que proíba o uso de wpa1/2 com hostpot. E assim sucessivamente.

Jorge Aldo escreveu:Não gostei do post. Mistura alhos e bugalhos.

Por exemplo, por que Hotspot precisa de rede aberta ?

Não existe nenhuma limitação técnica que proíba o uso de wpa1/2 com hostpot. E assim sucessivamente.

Acredito que a ideia do post seja apurar entre as duas formas de autenticação como segurança, confiabilidade, processamento uso de hardware e facilidade de suporte. Sobre hotspot precisar ser aberta ou não, concordo que não tem nada que impede uso em uma rede fechada com wpa, mas intendo que a ideia de hotspot seja mesmo em área abertas ou hotéis simplesmente como meio de autenticação. Um provedor que faz uso de hotspot como meio de controle e autenticação não pode nem pensar em usar com uma rede wireless aberta.

Uso do PPPoe mais profissional e transparência para o cliente.

demattos escreveu:Acredito que a ideia do post seja apurar entre as duas formas de autenticação como segurança, confiabilidade, processamento uso de hardware e facilidade de suporte.

Isto aí demattos , esta é a intenção do tópico , assim como peço aos amigos que expliquem o porque da escolha entre os mesmos que usam.

Grande Abraço !

pppoe sempre muito profissional sem falhas de segurança
é um tunel criptografado mais seguro

hotspot é bacana o uso para propaganda etc.. como os colegas disse acima
mais na questão segurança nota zero fácil ser snifado não tem muito que fazer

esses dias tinha viajado para minas gerais para um curso meu 3g não conectava sem area de cobertura mexendo em meu notebook capitei um rede sem fio usava hotspot passei o snifer capturei senha e uns macs ai usei um tempo de graça heheh

quem pretende ter uma rede profissional procure usar pppoe fica a dica

Alternativa C

* ACL na Torre.

* SSID Escondido.

* WPA na transmissão.

* IP x MAC no Concentrador.


* Clientes com Lock to AP em NAT com IP Fixo na WAN e DHCP na LAN.

silviola escreveu:Alternativa C

ACL na Torre.

WPA na transmissão.
IP x MAC no Concentrador.
Clientes em NAT com IP Fixo na WAN e DHCP na LAN.

Bom já que apareceu uma alternativa C vamos inclusive trocar o título do tópico de " Hotspot ou PPoE ? " para " HotSpot vs PPoE vs Etc. " assim fica mais interessante .
Já que citou a alternativa " C " Silvio, detalhe mais um pouco sobre esta alternativa para nossos amigos assim como seus benefícios .

Grande Abraço !

* ACL na Torre.=> Só MAC Cadastrados podem tentar burlar a segurança.


* SSID Escondido.
=> Não deixa ninguém fazer o "cara do meio" pois este não terá o nome da rede.


* WPA na transmissão.
=> Se conseguir entrar e capturar pacotes, não os entenderá.


* IP x MAC no Concentrador.
Se conseguir clonar um MAC e descobrir o SSID, só vai funcionar se souber o IP atralelado aquele MAC.

* Clientes com Lock to AP em NAT com IP Fixo na WAN e DHCP na LAN.
Lock reforça "o cara do meio" caso o meliante descubra o SSID. NAT não deixa o atacante/cliente entrar no seu sistema.

IP Fixo obriga a quem conseguir, a além de saber o IP que combina com o MAC, qual faixa de IP está sendo usada.

DHCP na LAN pois não implica nenhuma falta de segurança.

Jorge Aldo escreveu:Não gostei do post. Mistura alhos e bugalhos.

Por exemplo, por que Hotspot precisa de rede aberta ?

Não existe nenhuma limitação técnica que proíba o uso de wpa1/2 com hostpot. E assim sucessivamente.

Boa tarde Jorge.
Como você viu o post começou de maneira espontânea e de opinião própria sobre o assunto pppoe ou hotspot?
Eu apresentei minha opinião.Se você é contra a minha tese, então mostre a sua e não entre em crítica com a minha!

cristiano.micros escreveu:pppoe sempre muito profissional sem falhas de segurança
é um tunel criptografado mais seguro

PPPoE não é obrigatoriamente um tunnel criptografado.

hotspot é bacana o uso para propaganda etc.. como os colegas disse acima
mais na questão segurança nota zero fácil ser snifado não tem muito que fazer

fácil ser snifado ?

1º que é possível snifar o próprio PPPoE.
2º que não existe nenhuma proibição de se usar criptografia com o hostpot.
3º que o tráfego da autenticação do Hotspot não precisa ser feito em "clear text". Pode-se muito bem usar um certificado de criptografia encriptando a comunicação. Te garanto que certificados (chaves RSA etc) são muito mais robustas do que a maioria dos protocolos de autenticação usados no PPPoE (que derivam do PPP, que variam de nenhuma criptografia a MPPE com chave de 160bits, e variam de autenticação em "clear text", passando pelos LM hashs da vida, hash MD5 - todos os dois frágeis hoje em dia - até autenticação também baseada em certificados).

O fato é que a maioria dos PPPoE e Hotspot da vida por ai não estão configurados corretamente e são ambos inseguros.

Se corretamente configurados devem apresentar o mesmo grau de segurança. Entretanto por ser um encapsulamento de pacotes ethernet por sobre pacotes PPP por sobre pacotes ethernet - novamente - o PPPoE apresenta um overhead muito maior do que o hotspot, que somente depende de pacotes IP comuns. (Além disso a coisa fica muito mais complicada quando você vê que é possível usar hotspot POR SOBRE o PPPoE).

esses dias tinha viajado para minas gerais para um curso meu 3g não conectava sem area de cobertura mexendo em meu notebook capitei um rede sem fio usava hotspot passei o snifer capturei senha e uns macs ai usei um tempo de graça heheh

Se eu dirigir um carro do jeito errado a culpa é do carro ?

quem pretende ter uma rede profissional procure usar pppoe fica a dica

Pra ser sincero ? Quem pretende ter um rede profissional procure entender o que realmente é o PPPoE e por que foi criado.

Pra ser sincero ? Quem pretende ter um rede profissional procure entender o que realmente é o PPPoE e por que foi criado.

Então nos agracie com seu conhecimento e nos apresente conteúdo que torne os provedores mais seguros e profissionais.

Afinal estamos aqui para debater um assunto que acrescente conteúdo e não gerar confusão ou dúvidas nos participantes.

* ACL na Torre.=> Só MAC Cadastrados podem tentar burlar a segurança.

Como é de graça, até se pode fazer, mas não passa de "segurança por obfuscação".

* SSID Escondido.
=> Não deixa ninguém fazer o "cara do meio" pois este não terá o nome da rede.

Existem duas coisas que identificam o AP, o SSID e o BSSID. O SSID é um nome "string" genérico, o BSSID é o "MAC" do AP. Se não há SSID para ser spoofado isso não significa que não se possa spoofar o próprio BSSID, que não pode ser escondido. Mais uma situação de "segurança por obfuscação".

* WPA na transmissão.
=> Se conseguir entrar e capturar pacotes, não os entenderá.

É a única coisa realmente segura que você disse.

* IP x MAC no Concentrador.
Se conseguir clonar um MAC e descobrir o SSID, só vai funcionar se souber o IP atralelado aquele MAC.

O que não é nada difícil de descobrir.

* Clientes com Lock to AP em NAT com IP Fixo na WAN e DHCP na LAN.
Lock reforça "o cara do meio" caso o meliante descubra o SSID. NAT não deixa o atacante/cliente entrar no seu sistema.

O ataque de homem no meio pode ser feito usando um NAT no AP-rogue e spoofando o MAC e IP de algum cliente que não esteja ativo no momento.

IP Fixo obriga a quem conseguir, a além de saber o IP que combina com o MAC, qual faixa de IP está sendo usada.

O que não é nenhum mistério de descobrir e ainda retira as facilidades que o DHCP provê à rede.

DHCP na LAN pois não implica nenhuma falta de segurança.

Existe uma forma de atacar o DHCP, que eu não vou citar aqui, mas se deve ao fato do DHCP não possuir nenhum método de autenticação intrinseco.

O fato é que toda segurança de uma rede montada desse jeito que você disse vai estar no WPA, só isso.

Muito trabalho para ter mesmo efeito de se configurar o WPA corretamente.

O fato é que toda segurança de uma rede montada desse jeito que você disse vai estar no WPA, só isso.

Concordo plenamente, nao uso pppoe somente para controle de seguranca mas sim como forma de autenticacao e controle por que com pppoe podemos repasar N parametros por RADIUS que facilita a vida de um gerente de provedor, mas a questao segurunca e um assunto um tanto que delicado e com grande conteudo que sugiro abrir um topico especifico para o tema, por que ate mesmo uma rede com Criptografia WPA que pode tambem receber parametros por RADIUS nao esta segura de diversos formas de ataque, cada forma de autenticacao seja PPPoe ou hotspot ou IPXMAC tem suas particularidades negativas e positivas que devem ser levadas em consideracao na escolha de qual usar em sua rede, mas um bom firewall e um boa gerencia de redes com conhecimento do que esta fazendo pode manter seus clientes protegidos e seu provedor protegido de oportunistas e mal intencionados que estao em todas as partes.Nem transmisoes das operadoras de TV por sateilite com chave de criptografia alternando consegue conter a pirataria e o roubo de sinal.

Para quem queira entender e saber por que foi criado o PPPoe e para que esta ai um texto do http://pt.wikipedia.org/wiki/PPPoE
PPPoE (sigla em inglês para Point-to-Point Protocol over Ethernet) é um protocolo de rede para conexão de usuários em uma rede Ethernet para alcançar a Internet. Seu uso é típico nas conexões de um ou múltiplos usuários em uma rede LAN à Internet através de uma linha DSL, de um dispositivo wireless (sem fio) ou de um modem de cabo broadband comum. O protocolo PPPoE deriva do protocolo PPP. O PPPoE estabelece a sessão e realiza a autenticação com o provedor de acesso a Internet.

Visão Geral do Point to Point PPP


No final da década de 80, o Serial Line Internet Protocol (SLIP)
estava limitando o crescimento da Internet. O PPP foi criado para
resolver problemas de conectividade remota com a Internet.
Além disso, o PPP era necessário para a atribuição de endereços IP de
forma dinâmica e para permitir o uso de vários protocolos. O PPP fornece
conexões de roteador para roteador e conexões de host para rede por
circuitos síncronos e assíncronos. O PPP é o protocolo da WAN mais amplamente usado e popular porque oferece todos os seguintes recursos:

• Controle de configuração de enlace de dados
  
• Permite a atribuição dinâmica de endereços IP
  
• Multiplexação do protocolo de rede
  
• Configuração de link e teste de qualidade do link
  
• Detecção de erros
  
• Opções de negociação para recursos como a negociação de endereços da camada de rede e as negociações de compactação de dados.
  

O PPP usa uma arquitetura em camadas, como mostrado na figura.

Com suas funções de nível inferior, o PPP pode usar:

• Meios físicos síncronos, como os que conectam redes Integrated Services Digital Network (ISDN).
  
• Meios físicos assíncronos, como os que usam o serviço básico de telefonia para conexões dial-up de modem.
  

Com suas funções de nível superior, o PPP suporta ou encapsula vários
protocolos da camada de rede usando placas de rede. Esses protocolos de
camada superior incluem:

• BCP — Bridge Control Protocol
  
• IPCP — Internet Protocol Control Protocol
  
• IPXCP — Internetwork Packet Exchange Control Protocol
  

Esses são campos funcionais que contêm códigos padronizados para
indicar o tipo do protocolo da camada de rede que o PPP encapsula.

Como mostrado na figura, os campos de um quadro PPP são os seguintes:

• Flag - Indica o começo ou o fim de um quadro e consiste na seqüência binária 01111110.
  
• Endereço - Consiste no endereço de broadcast padrão, que é a seqüência binária 11111111.
  

O PPP não atribui endereços de estações individuais.

• Controle - 1 byte que consiste na seqüência binária 00000011, que
  requer a transmissão de dados do usuário em um quadro sem seqüência. É
  oferecido um serviço de link sem conexão similar ao do Logical Link
  Control (LLC) Tipo 1.
  

• Protocolo - 2 bytes que identificam o protocolo encapsulado no campo de dados do quadro.
  
• Dados - 0 ou mais bytes que contêm o datagrama para o protocolo especificado no campo de protocolo.
  

O final do campo de dados é encontrado localizando-se a seqüência de
flags de fechamento, sendo deixados 2 bytes para o campo frame check
sequence (FCS). O tamanho máximo padrão do campo de dados é de 1500
bytes.

•FCS - Normalmente 16 bits (2 bytes). Consulte os caracteres extras adicionados a um quadro para fins de controle de erros.

O PPP oferece um método de estabelecimento, configuração, manutenção e
encerramento de uma conexão ponto a ponto. Para estabelecer
comunicações através de um link ponto a ponto, o PPP passa por quatro
fases distintas:

Negociação da configuração e estabelecimento do link - Um nó PPP de
origem envia quadros LCP para configurar e estabelecer o enlace de
dados.

Determinação da qualidade do link — O link é testado para determinar
se sua qualidade é suficiente para ativar os protocolos da camada de
rede. Observe que essa é uma fase opcional.

Negociação da configuração do protocolo da camada de rede — O nó PPP
de origem envia quadros NCP para escolher e configurar protocolos da
camada de rede. Os protocolos da camada de rede escolhidos, como IP, Novell IPX e AppleTalk, são configurados e os pacotes de cada protocolo da camada de rede podem ser enviados.

Encerramento do link — O link permanece configurado para as
comunicações até que os quadros LCP ou NCP fechem o link ou até que
ocorra algum evento externo (por exemplo, um timer de inatividade atinja
o tempo limite ou um usuário intervenha).

Há três classes de quadros LCP:

• Quadros de estabelecimento de link - Usados para estabelecer e configurar um link.
  
• Quadros de encerramento de link - Usados para encerrar um link.
  
• Quadros de manutenção de link - Usados para gerenciar e fazer o debug de um link.
  

Os quadros LCP são usados para realizar o trabalho de cada uma das
fases LCP: (1) Estabelecimento do link; (2) Qualidade do link; (3)
Protocolo da camada de rede; (4) Encerramento do link.

Na fase de negociação da configuração e estabelecimento do link, cada
dispositivo PPP envia pacotes LCP para configurar e estabelecer o
enlace de dados.

Os pacotes LCP contêm um campo de opção de configuração que permite
que os dispositivos negociem o uso de opções, como Maximum Transmission
Unit (MTU), compactação de determinados campos PPP e protocolo de
autenticação de link.

Se uma opção de configuração não estiver incluída em um pacote LCP, considera-se o valor padrão para essa opção de configuração.

Antes que qualquer datagrama da camada de rede (por exemplo, IP) seja
trocado, o LCP deve primeiro abrir a conexão e negociar os parâmetros
de configuração.

Essa fase será concluída quando um quadro de confirmação da
configuração tiver sido enviado ou recebido. O LCP permite haver uma
fase de determinação da qualidade do link opcional após a fase de
estabelecimento do link e negociação da configuração.

Na fase de determinação da qualidade do link, o link é testado para
determinar se a sua qualidade é suficiente para ativar os protocolos da
camada de rede.

Além disso, depois do link ser estabelecido e o protocolo de
autenticação ser escolhido, a estação de trabalho do usuário ou cliente
pode ser autenticada. A autenticação, se usada, ocorre antes do início
da fase de configuração do protocolo da camada de rede. O LCP pode
atrasar a transmissão das informações do protocolo da camada de rede até
essa fase ser concluída.

O PPP suporta dois protocolos de autenticação: Password
Authentication Protocol (PAP) e Challenge Handshake Authentication
Protocol (CHAP). Esses protocolos estão detalhados no RFC 1334,
"PPP Authentication Protocols."Na fase de negociação da configuração e
estabelecimento do link, cada dispositivo para configurar e O PPP
oferece um método de estabelecimento, configuração, manutenção e
encerramento de uma conexão ponto a ponto. Para estabelecer comunicações
através de um link ponto a ponto, o PPP passa por quatro fases
distintas:

Negociação da configuração e estabelecimento do link - Um nó PPP de
origem envia quadros LCP para configurar e estabelecer o enlace de
dados.

Determinação da qualidade do link - O link é testado para determinar
se sua qualidade é suficiente para ativar os protocolos da camada de
rede. Observe que essa é uma fase opcional.

Negociação da configuração do protocolo da camada de rede - O nó PPP
de origem envia quadros NCP para escolher e configurar protocolos da
camada de rede. Os protocolos da camada de rede escolhidos, como IP,
Novell IPX e AppleTalk, são configurados e os pacotes de cada protocolo
da camada de rede podem ser enviados.

Encerramento do link - O link permanece configurado para as com
unicações até que os quadros LCP ou NCP fechem o link ou até que ocorra
algum evento externo (por exemplo, um timer de inatividade atinja o
tempo limite ou um usuário intervenha).

Há três classes de quadros LCP:

• Quadros de estabelecimento de link - Usados para estabelecer e configurar um link.
  
• Quadros de encerramento de link - Usados para encerrar um link.
  
• Quadros de manutenção de link - Usados para gerenciar e fazer o debug de um link.
  

Os quadros LCP são usados para realizar o trabalho de cada uma das
fases LCP: (1) Estabelecimento do link; (2) Qualidade do link; (3)
Protocolo da camada de rede; (4) Encerramento do link.estabelecer o
enlace de dados.

Os pacotes LCP contêm um campo de opção de configuração que permite
que os dispositivos negociem o uso de opções, como Maximum Transmission
Unit (MTU), compactação de determinados campos PPP e protocolo de
autenticação de link. Se uma opção de configuração não estiver incluída
em um pacote LCP, considera-se o valor padrão para essa opção de
configuração.Antes que qualquer datagrama da camada de rede (por
exemplo, IP) seja trocado, o A fase de autenticação de uma sessão PPP é
opcional. Depois do estabelecimento do link e da escolha do protocolo de
autenticação, o ponto pode ser autenticado. A autenticação, se usada,
ocorre antes do início da fase de configuração do protocolo da camada de
rede. As opções de autenticação exigem que o lado do link que faz a
chamada insira informações de autenticação para ajudar a garantir que o
usuário tenha a permissão do administrador de rede para fazer a chamada.
Os roteadores pares trocam mensagens de autenticação. Quando estiver
configurando a autenticação PPP, você poderá selecionar o Password
Authentication Protocol (PAP) ou o Challenge Handshake Authentication
Protocol CHAP). Em geral, o CHAP é o protocolo preferencial. Como
mostrado na figura, o PAP fornece um método simples para que um nó
remoto estabeleça sua identidade, usando o handshake duplo. Após a
conclusão da fase de estabelecimento do link PPP, um par nome do
usuário/senha é enviado repetidamente pelo nó remoto através do link até
que a autenticação seja confirmada ou que a conexão seja encerrada.

O PAP não é um protocolo de autenticação eficaz. As senhas são
enviadas pelo link em texto claro e não há nenhuma proteção contra
reprodução ou contra repetidos ataques de tentativa e erro. O nó remoto
controla a freqüência e a temporização das tentativas de logon.LCP deve
primeiro abrir a conexão e Essa fase será concluída quando um quadro de
confirmação da configuração tiver sido enviado ou recebido. O LCP
permite haver uma fase de determinação da qualidade do link opcional
após a fase de estabelecimento do link e negociação da configuração.

Na fase de determinação da qualidade do link, o link é testado para
determinar se a sua qualidade é suficiente para ativar os protocolos da
camada de rede. Além disso, depois do link ser estabelecido e o
protocolo de autenticação ser escolhido, a estação de trabalho do
usuário ou cliente pode ser autenticada. A autenticação, se usada,
ocorre antes do início da fase de configuração do protocolo da camada de
rede. O LCP pode atrasar a transmissão das informações do protocolo da
camada de rede até essa fase ser concluída. O PPP suporta dois
protocolos de autenticação: Password Authentication Protocol (PAP) e
Challenge Handshake Authentication Protocol (CHAP). Esses protocolos
estão detalhados no RFC 1334, "PPP Authentication Protocols."


O CHAP é usado para verificar periodicamente a identidade do nó remoto,
usando um handshake triplo, como mostrado na figura. Isso é feito no
momento do estabelecimento inicial do link e pode ser repetido a
qualquer momento depois que o link tiver sido estabelecido. O CHAP
oferece recursos como a verificação periódica para melhorar a segurança;
isso torna o CHAP mais eficiente que o PAP. O PAP só faz a verificação
uma vez, o que o torna vulnerável à reprodução de modem e à ação de
hackers. Além disso, o PAP permite que o usuário que faz a chamada tente
obter a autenticação quando desejar (sem antes receber um desafio), o
que o torna vulnerável aos ataques violentos, enquanto o CHAP não
permite que o usuário que faz a chamada tente obter uma autenticação sem
um desafio. Após a conclusão da fase de estabelecimento do link PPP, o
host envia uma mensagem de desafio ao nó remoto. O nó remoto responde
com um valor. O host compara a resposta com seu próprio valor. Se o
valor corresponde, a autenticação é confirmada. Do contrário, a conexão é
encerrada. O CHAP oferece proteção contra ataques de reprodução através
do uso de um valor de desafio variável que é exclusivo e imprevisível. O
uso de desafios repetidos visa limitar o tempo de exposição a qualquer
ataque. O roteador local (ou um outro servidor de autenticação, como o
Netscape Commerce Server) controla a freqüência e a temporização dos
desafios.

Se você pesquisar verá que CHAP e PAP são os métodos de autenticação do PPP (vendo superficialmente).

A que se fazer uma distinção aqui :

PAP - Envia login e senha em "clear text". O cara pode sniffar e roubar a senha do mesmo jeito que roubaria num hotspot que não use certificados.
CHAP - Esse utiliza métodos criptográficos. Entretanto a segurança dele depende de que algoritmo é usado para proteger login e senha e é aqui que o problema começa.

Possíveis algoritmos de CHAP :

MS-CHAP : Uma bosta, default do windows à um tempo atrás, que já foi quebrado e requebrado inúmeras vezes.
MS-CHAP2 : Outra bosta que também já foi quebrada.
CHAP com MD5 : O algoritmo MD5 não é recomendado para autenticação. Não foi plenamente "quebrado" (Não é 100% de certeza quebrá-lo pois a dificuldade varia com o tamanho e entropia da senha).

Nunca vi nenhum concentrador PPP usando algoritmos de hash mais modernos que MD5. Não há nada que impeça de se utilizar SHA1 (esse é mais moderno que MD5, mas tb não é recomendado para novos projetos), SHA2 (mais seguro a médio prazo), ou SHA3 (única opção realmente segura) para autenticação. Se houver essa opção, use-a.

O que se usa no Hotspot para segurança ?

Ativar o uso de SSL com certificados. Isso sozinho é muitas ordens de grandeza mais seguro que qualquer algoritmo de hash, mesmo os da família SHA. É o mesmo grau de segurança que se usa em bancos.

Quanto ao PPPoE, ele foi inventado para permitir que os provedores mantivessem suas estruturas e métodos herdadas da época da internet via modem.

O PPP é um protocolo que permite estabelecer uma ligação de internet por sobre uma linha serial, que não provinha a separação os dados em frames (frames é algo nativo das redes da família ethernet no qual o wireless está incluso).

Em uma linha serial não há uma separação clara entre começo e fim de uma mensagem. Logo uma das primeiras funções do PPP é criar "pacotes" delimitando começo e fim de mensagens, já que o protocolo IP é um protocolo de pacotes.

Isso havia sido feito no protocolo SLIP. O PPP, sendo um avanço em relação ao SLIP adicionou uma série de utilidades que o SLIP não possuia (O SLIP é simples DEMAIS).

Pois bem, a utilidade real prática do PPP é justamente de prover um método de integrar pacotes IP em uma linha serial não orientada a pacotes.

Foi transformado em PPPoE para permitir a migração dos antigos modens discados para os modens ADSL.

Não vejo muito sentido em usar PPPoE em wireless. É modismo e falsa sensação de segurança, pois a maioria dos servidores PPPoE da vida por ai não estão configurados corretamente (estão usando PAP ou MS-CHAP).

Como disse e digo uso somente pela facilidade de interação com um servidor Radius e com isto envio de parâmetros facilitando o gerenciamento, não como método de segurança, como vc disse Jorge Aldo

Jorge Aldo escreveu:É modismo e falsa sensação
de segurança, pois a maioria dos servidores PPPoE da vida por ai não
estão configurados corretamente (estão usando PAP ou MS-CHAP).

Para se obter um sistema seguro e preciso investir em monitoramento constante de sua rede e acompanhamento no que tem de melhor hj em criptografia por que assim como tem gente trabalhando pela segurança tem gente trabalhando para quebra-las.

Aqui utilizo somente o PPPoE, facilita a entrega do IP e também o controle de banda da interface do cliente. Agora quanto a segurança desse serviço? Em caso de wireless somente tendo um bom protocolo de criptografia para impedir acessos indevidos.

Utilizei Hotspot somente em alguns eventos e locais onde os cliente precisavam um acesso facil, para cliente final nunca utilizei então não posso falar mais sobre ele.

Quanto a falhas nos protocolos, nos dois todos sabemos que existem, temos que dificultar o máximo para não termos bisbilhoteiros pela rede, então o que garante a segurança para seu cliente e também para os provedores de acesso é ter uma rede segura e configurada de forma profissional.

O Hotspot do pfSense e do Monowall dão suporte a vários tipos de atributos RADIUS, não sei que atributos são esses que você precisa que não são possíveis de implementar no hotspot.

Jorge Aldo escreveu:
Muito trabalho para ter mesmo efeito de se configurar o WPA corretamente.

De fato nada é impenetrável, o máximo que chegamos é o financeiramente inviável, ou o temporariamente inviável de atacar.

Cada dispositivo meu de segurança, de camada fácil em camada fácil vai tornando a tarefa do atacante frustrante.
Ele pode conseguir, mas vai rebolar bastante. E no fim das contas, será que valeria pra ele financeiramente o emprego de tempo ? Se eu mantivesse segredos da NASA... quem sabe

Todo e qualquer dispositivo de segurança se baseia em tentar matar o atacante no cansaço, tentando pender pro lado da inviabilidade de tempo de processamento para a quebra. Inviabilidade, pois impossibilidade jamais existirá.

Ai que está o problema.

O único mecanismo de segurança nessa história toda é o WPA.

O resto são fáceis de driblar.

É como colocar um muro de 5m de altura por 50cm de espessura (o WPA) e depois colocar uma cerca de papelão em volta.

A relação custo (trabalho) x benefício não compensa.

Bom pessoal , chegou a minha vez.
Como minha rede está em bridge e na topologia estrela assim como meus clientes são praticamente 95 % cabeados, uso apenas IP estático com controle de MAC , sistema em FREEBSD , mais nada.
Em minha região o povo não tem muito a cultura de comprar equipamento wireless pois todos os provedores que trabalham na cidade usam o sistema de cabeamento .

Vlw !

aqui uso PPPoE + WPA 63 caracteres misturados letras numeros e pontos
axo que o pessoal perde tempo demais com segurança, voces axam que os clientes de voces tem todas as ferramentas para snifar ou coisa assim
o cara tem que ser muito vagabundo pra ficar tentando snifar uma rede
mesma coisa de um concorrente

Jorge Aldo escreveu:Ai que está o problema.

O único mecanismo de segurança nessa história toda é o WPA.

O resto são fáceis de driblar.

É como colocar um muro de 5m de altura por 50cm de espessura (o WPA) e depois colocar uma cerca de papelão em volta.

A relação custo (trabalho) x benefício não compensa.

Camuflar o muro ou fazê-lo parecer mais alto são ótimas técnicas de desencorajamento.

Jorge Aldo escreveu:

cristiano.micros escreveu:pppoe sempre muito profissional sem falhas de segurança
é um tunel criptografado mais seguro

PPPoE não é obrigatoriamente um tunnel criptografado.

hotspot é bacana o uso para propaganda etc.. como os colegas disse acima
mais na questão segurança nota zero fácil ser snifado não tem muito que fazer

fácil ser snifado ?

1º que é possível snifar o próprio PPPoE.
2º que não existe nenhuma proibição de se usar criptografia com o hostpot.
3º que o tráfego da autenticação do Hotspot não precisa ser feito em "clear text". Pode-se muito bem usar um certificado de criptografia encriptando a comunicação. Te garanto que certificados (chaves RSA etc) são muito mais robustas do que a maioria dos protocolos de autenticação usados no PPPoE (que derivam do PPP, que variam de nenhuma criptografia a MPPE com chave de 160bits, e variam de autenticação em "clear text", passando pelos LM hashs da vida, hash MD5 - todos os dois frágeis hoje em dia - até autenticação também baseada em certificados).

O fato é que a maioria dos PPPoE e Hotspot da vida por ai não estão configurados corretamente e são ambos inseguros.

Se corretamente configurados devem apresentar o mesmo grau de segurança. Entretanto por ser um encapsulamento de pacotes ethernet por sobre pacotes PPP por sobre pacotes ethernet - novamente - o PPPoE apresenta um overhead muito maior do que o hotspot, que somente depende de pacotes IP comuns. (Além disso a coisa fica muito mais complicada quando você vê que é possível usar hotspot POR SOBRE o PPPoE).

esses dias tinha viajado para minas gerais para um curso meu 3g não conectava sem area de cobertura mexendo em meu notebook capitei um rede sem fio usava hotspot passei o snifer capturei senha e uns macs ai usei um tempo de graça heheh

Se eu dirigir um carro do jeito errado a culpa é do carro ?

quem pretende ter uma rede profissional procure usar pppoe fica a dica

Pra ser sincero ? Quem pretende ter um rede profissional procure entender o que realmente é o PPPoE e por que foi criado.

já pudi ver tu é aqueles tipo de pessoa quer saber mais que todos enfim fique a vontade ao tópico já que vc sabe de tudo meu amigo me desligo do tópico

cristiano.micros escreveu:já pudi ver tu é aqueles tipo de pessoa quer saber mais que todos enfim fique a vontade ao tópico já que vc sabe de tudo meu amigo me desligo do tópico

Calma brother , aqui todos divergem das opiniões , não esquenta , posta sua opinião como fez e pronto , fique tranquilo.
Grande Abraço !

Eu realmente quero saber mais que todos.

Foi por causa disso que eu estudei pra ca@$#.

Se todo mundo pensasse assim, o mundo seria melhor...

Vamos com calma pessoal , o debate está ótimo , não vamos fugir do conteúdo do tópico por favor.

Att. Marcio Marques

Marcio Marques escreveu:Bom pessoal , chegou a minha vez.
Como minha rede está em bridge e na topologia estrela assim como meus clientes são praticamente 95 % cabeados, uso apenas IP estático com controle de MAC , sistema em FREEBSD , mais nada.
Em minha região o povo não tem muito a cultura de comprar equipamento wireless pois todos os provedores que trabalham na cidade usam o sistema de cabeamento .

Vlw !

Olá Marcio, trabalhava em um provedor que usava este sistema mesmo na wireless, agora estou montando meu próprio provedor e gostaria de saber de você, se a rede fica mais rápida do que PPPOE? Estou pensando em implantar somente PPOE talvez MAC.

Saymon escreveu:

Marcio Marques escreveu:Bom pessoal , chegou a minha vez.
Como minha rede está em bridge e na topologia estrela assim como meus clientes são praticamente 95 % cabeados, uso apenas IP estático com controle de MAC , sistema em FREEBSD , mais nada.
Em minha região o povo não tem muito a cultura de comprar equipamento wireless pois todos os provedores que trabalham na cidade usam o sistema de cabeamento .

Vlw !

Olá Marcio, trabalhava em um provedor que usava este sistema mesmo na wireless, agora estou montando meu próprio provedor e gostaria de saber de você, se a rede fica mais rápida do que PPPOE? Estou pensando em implantar somente PPOE talvez MAC.

Olá brother , primeiramente graças a DEUS vendi meu provedor , mas falando sobre seu sistema , no meu caso eu não usava nem controle de MAC e nenhuma autenticação , é tudo liberado mesmo , apenas com o IP .
Abraço !

Olá brother , primeiramente graças a DEUS vendi meu provedor , mas falando sobre seu sistema , no meu caso eu não usava nem controle de MAC e nenhuma autenticação , é tudo liberado mesmo , apenas com o IP .
Abraço !

Marcio, primeiramente queria te parabenizar pelo conhecimento e ajuda repassada a todos. Mais por curiosidade, porque vendeu o provedor? Visto que você tem muito conhecimento e tem dicas importantes para compartilhar. Estou montando um projeto pra iniciar com o provedor na cidade em que eu moro.

Abraços!

jannsey escreveu:

Olá brother , primeiramente graças a DEUS vendi meu provedor , mas falando sobre seu sistema , no meu caso eu não usava nem controle de MAC e nenhuma autenticação , é tudo liberado mesmo , apenas com o IP .
Abraço !

Marcio, primeiramente queria te parabenizar pelo conhecimento e ajuda repassada a todos. Mais por curiosidade, porque vendeu o provedor? Visto que você tem muito conhecimento e tem dicas importantes para compartilhar. Estou montando um projeto pra iniciar com o provedor na cidade em que eu moro.

Abraços!

Olá brother , primeiro muito obrigado pelo reconhecimento , vamos ao que deseja saber. Vendi meu provedor e todas as 3 filiais em 4 cidades e não só ele como minhas outras empresas como academia e lan house devido a 2 fatores :
1- O povo brasileiro(clientes) nunca está satisfeito com o que tem , nunca recebemos elogios , apenas cobranças o tempo todo e na maioria das vezes cobranças indevidas , além disto também ha a cobrança dos tributos e normas exageradas que este país nos impõe.
2- Eu posso ter a vida que quiser fora do Brasil pois falo inglês e espanhol fluente além de ter várias outras profissões em outros ramos e tendo a experiência de ter morado nos EUA durante 5 anos, me arrependo amargamente (profissionalmente falando) de ter voltado para o brasil , mas se DEUS quiser estarei indo embora novamente para nunca mais pisar aqui .

Abraço !