Posts

comentários
  1. Jorge Augusto disse:

    Boa Noite!

    Utilizei seu ótimo tutorial: Configurando autenticação PEAP no Windows 2008 R2 Server.

    Mas estou com uma dificuldade que é navegação de aparelhos com sistema Android, li em alguns Posts e consegui instalar o certificado, mas mesmo assim não funcionou. Você pode me ajudar com alguma dica?

    Jorge Augusto

  2. Michael Costa disse:

    Bartulihe, beleza?

    Em um frame wireless normalmente tem 3 endereços MAC:
    SA (origem) – cliente
    TA (transmissor) – rádio
    DA (Destino) – cliente destino

    TA AS DA
    000c.0001.0101 0000.0001.0001 FFFF.FFFF.FFFF
    OBS.: me corrija se estiver errado.

    Opcionalmente, pode-se ter 4 endereços MACs, em qual situação vou ter 4 endereços MACs?

    • Bartulihe disse:

      Essa eu vou deixar você estudar e pensar um pouco mais… rs
      É simples, vai por mim. Um bom jeito de você obter a resposta é fazendo capturas de pacotes, com o Wireshark, por exemplo.

      Abs.,

      Bartulihe

      • Michael Costa disse:

        Beleza, kkkkk. Li novamente essa parte no Livro “CCNA Wireless – Official Exam Certification IUWNE 640-721 Guide”, cap. 7: Wireless Traffic Flow and AP Discovery página 119, onde eles dão um exemplo que o 4º endereço MAC pode ser um repetidor. Ou seja (Me corrija se eu estiver errado):
        Cliente A envia um frame para cliente D, através de um repetidor (B) para um AP (C).
        Cliente A = SA
        Cliente B = DA
        Repetidor = TA
        AP = RA

        Até fiz algumas analises usando wireshark, mas os frames capturados são de 3 MACs. Mas de primeira parece um pouco confuso a localização dessas informações no cabeçalho 802.11. Onde conseguir entender melhor sobre esse assunto foi neste blog, segue endereço:
        http://wirelessccie.blogspot.com.br/2010_09_01_archive.html

        Valeu pela força!!!

  3. Michael Costa disse:

    Bartulihe, resolvi bombardear seu Blog com questões kkkkkkkkkkk… Tenho aí mais um dúvida.

    Sobre Alarme de Rogue APs:

    No WLC em MONITOR>ROGUE SUMMARY> ACTIVE ROGUE APs. Nessa tela me mostra todos os SSIDs que minha rede detectou porém não faz parte da corporação.
    Alguns deles estão com Status Alert e outros com Contained. Muitos deles provavelmente não tem pergigo, mas alguns podem ter sentido malicioso. Como tenho certeza que esse Rogue está fazendo um ataque e quais ações pode-se fazer ?

    Obrigado.

    • Michael Costa disse:

      Outra questão, kkkkkkkkkk Referente ao Audit Controller do WCS.

      O Audit Controller compara a configuração de database que fica no server onde se instala o WCS com a configuração do WLC.

      No WCS eu vou em CONFIGURE>CONTROLLERS>Seleciono o Controlador>No Drop-Down seleciono AUDIT NOW>GO

      No resultado me mostra as diferenças de parametros de configuração.
      Resumindo, em: CONFIGURE>CONTROLLERS o Audit Status apresenta Mismatch.

      Como faço para corrigir isso e manter as configurações iguais?

    • Bartulihe disse:

      O mais comum é que todos os status sejam Alert.
      O ataque mais comum de um Rogue AP é chamado Honneypot, que consiste em o Rogue divulgar o mesmo SSID que a corporação, no entanto através de uma rede aberta e conectado a um sistema para capturar senhas ou outras informações.

      Nesse caso, você pode selecionar o Rogue AP e escolher a opção para conter e dizer com quantos APs você quer conter esse rogue. Será exido um alerta legal, informando que é ilegal conter um AP sem que ele realmente seja uma ameaça.
      O status passará para Contained.

      Mas o que isso realmente faz?
      Os APs próximos ao rogue fazem o spoofing do MAC Address do Rogue e começam a enviar pacotes de Deauthentication. Com isso, os clients conectados ao Rogue são forçados a desconectar.

      Abs.,

      Bartulihe

  4. Mauricio disse:

    Bartulihe, boa tarde!

    Carinha estou com um problema eu tenho 2 WLC 5508 e um WCS estou tendo problemas com o windows 8 para se autenticar com os SSIDs, realizei alguns testes de conexão via removendo o AES e deixando apenas a TKIP no WPA +WPA2. Apenas para explicar o problema como começou..

    resolvi que minhas wlc estão na versão 7.0.98.218 muito ultrapassada e gostaria de subir elas para a versão 7.4.110 so que o WCS não suporta essa versão então no caso eu perderia a minha gerencia por não estar mais na matriz de compatibilidade

    No caso eu existe alguma forma de subir o WCS para NCS sem colocar a mão no bolso ?

    • Bartulihe disse:

      Olá Maurício, tudo bem?

      O problema de máquinas com Windows 8 não conseguirem se autenticar na rede Wireless Cisco é um problema conhecido devido à implementação nativa do suporte ao protocolo 802.11w nos clients com Windows 8 e incompatibilidade com o MFP (Management Frama Protection) da Cisco. Isso está mais detalhado no bug CSCua29504, ou em diversas publicações, tais como essa: http://support.microsoft.com/kb/2749073/pt-br.

      A desvantagem de desabilitar a encriptação AES é a perda de performance, pois as taxas de transmissão ficarão limitadas a 54 Mbps.

      O melhor mesmo é atualizar o WLC, pois na versão 7.0.x.x você não tem visibilidade das aplicações que trafegam pela rede Wireless, por exemplo. Também não sabe qual o tipo de dispositivo que está se conectando a rede, tal como Win8, Win7, iPad, iPhone, etc…
      Enfim, nas duas últimas atualizações de SW disponíveis (7.4 e 7.5) houveram melhorias MTO interessantes.

      O que você falou está certo também, o WCS é um SW que já está em EoL (End-of-Life) e se você atualizar o WLC para versão 7.4 ou 7.5, irá perder a gerência.

      Atualizar o WLC, não perder a gerência e não colocar mão no bolso são muitos “nãos” em uma mesma frase, então você terá que abrir mão de um deles rs. Minha recomendação é atulizar o WLC para versão 7.5 e atualizar também o WCS para o Prime Infrastructure que suporta além da rede Wireless, a rede LAN, como roteadores e Switches, além de uma interface bem mais amigável e atraente.
      O lado bom é que existem um Part Number de migração do WCS para Prime Infrastructure cujo custo é 50% menor! 😀
      Então você colocará a mão no bolso, mas nao muito fundo e terá diversas melhorias.

      Eu trabalho em uma Empresa Parceira Cisco… Se você quiser, podemos auxiliá-lo!

      Abs.,
      Bartulihe

      • Maurício disse:

        Olá bartulihe,
        Muito obrigado pela explicação trabalho com um cara que conheceu você na promon.

        Eu também trabalho em uma empresa parceira queria mesmo era poder ter a opinião de um especialista.

        Muito obrigado.
        Tem também como fazer o w8 conectar com AES mas tem que ser manualmente maquina por maquina muito ruim. Mas a solução era basicamente oque você me informou,

        Obrigdo novamente foi muito útil sua ajuda

  5. Maurício disse:

    Olá bartulihe,
    Muito obrigado pela explicação trabalho com um cara que conheceu você na promon.

    Eu também trabalho em uma empresa parceira queria mesmo era poder ter a opinião de um especialista.

    Muito obrigado.
    Tem também como fazer o w8 conectar com AES mas tem que ser manualmente maquina por maquina muito ruim. Mas a solução era basicamente oque você me informou,

    Obrigdo novamente foi muito útil sua ajuda

  6. Rogerio Rodrigues disse:

    Olá Bartulihe.

    Recentemente compramos 5 AP´s Cisco AIR-SAP-1602E-T-K9 e a intenção é fazer com que os usuários se autentiquem através de um servidor Radius configurado no Windows Server (para tal foi habilitado no Windows Server 2k8 r2 o serviço NPS (Local) Radius Client).
    Temos 2 problemas:
    1 – AP está conectado a Switchs de acesso 3COM 4200G e em nosso ambiente de testes (standalone sem Radius) conseguimos conectar apenas alguns usuários, quando conectamos determinados usuários a conexão é estabelecida mas usuário não navega e a conexão fica “dropando”. Existe problema de incompatibilidade do AP com o switch?
    2 – A autenticação via NPS não está funcional. É necessário instalar certificado no server e nos clientes?

    • Bartulihe disse:

      Olá Rogério,
      Como os APs sao Standalone (AIR-SAP-1602E-T-K9), eles devem ser conectados à portas trunks nos switches. Não há nenhuma incompatibilidade de usar switches 3Com/HP com APs Cisco.
      No RADIUS Server, Win2k8r2 vc precisa configurar algumas coisinhas… Eu tenho um post mostrando passso-a-passo de como configurar a autenticação usando o protocolo PEAP no Win2k8r2, vc chegou a ver?

      Sobre o problema 1, deixa eu ver se eu entendi direito. Vc consegue conectar alguns usuários, mas quando outros se conectam a conexão fica intermitente. É isso?

      Sobre o problema 2: nao é necessário instalar o certificado no server e nos clients, a menos que vc queira utilizar autenticação EAP-TLS. Particularmente eu gosto mais da EAP-PEAP (veja o post que eu falei), pois ela é mais simples de ser implementada e bastt segura.

      Minha recomendação pessoal: Vcs tem 5 Access Points bons de modelos novos, com a feature CleanAir e tal. Mas sem um WLC os APs sao burros. Comprem pelo menos 1 WLC (Wireless LAN Controller) modelo 2504. É bem barato e de cara vcs tem as seguintes vantagens:
      1) com o WLC é possível ter visibilidade das aplicacoes – feature AVC (Application Visibility And Control);
      2) CleanAir: Melhora a inteligencia de deteccao de interferencias e correção de problemas causados por elas;
      3) MTOOOOOO mais facil configurar um WLC do que APs Standalone. Eu até hoje apanho ainda pra configurar APs standalone pq nao é nada intuitivo. Ja o WLC é mto simples mesmo!
      4) Controle automatico da potencia de transmissao, canais e buracos de cobertura. O WLC faz esse papel, e faz mto bem!
      5) Possibilidade de implantar uma rede guest utilizando Web Autentication, criação de usuários Guests, etc..

      Enfim, tem milhoes de vantagens em ter um WLC na rede e os APs que vcs tem operam tanto no modo standalone (sem wlc) quando lightweight (com WLC).

      Se precisar de mais informações, pode me adicionar no skype: marco_bartulihe@hotmail.com

      Abraços,
      Bartulihe

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s