[FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede

Luiz Zanardo lzanardo em gmail.com
Sex Fev 10 20:22:09 BRST 2006


  Christopher,

  Porque tu não usa dot1x (802.1X) ?

  Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia uma boa
parte dos switchs e AP já suportam pois é um padrão IEEE).

  Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a autorização
de acesso a rede ficaria por responsabilidade dos switchs e do AP que
liberaria este acesso mediante apenas uma autenticação positiva do RADIUS
(caso contrario, porta do switch fica down, no caso do ap o acesso não é
permitido/roteado).

  Caso tua infra seja de switchs/ap cisco tu pode ate implementar VLAN Guest
(uma rede a parte para que os usuarios não autenticados acessem com mais
restrições), pois outras tecnologias não implementão ainda esta feature.

  Da para fazer algumas coisas mais legais do tipo uma
"semi-police-compliance" nos pcs antes de acessarem a rede em vlan guest
e/ou quarentena, verificando se a maquina esta infectada com algum virus,
patchs atualizados, etc etc etc (isso envolve desenvolvimento), desenvolver
alguma integração com o NAC (Network Admission Center) da Cisco (caso seja
ambiente cisco), entre outras cositas mais... :)

  Resumindo, vc tem accounting, autorização e autenticação feito pelo Radius
(em BSD), acredito que voce não va precisar que alguem autentique num site
sendo que o controle ja esta sendo feito diretamente na porta do switch e/ou
no AP, mas caso precise, o que voce pode fazer é o seguinte, criar uma Vlan
de quarentena para que os usuarios acessem teu site e se autentique, logo
apos a autenticação, um script pode acessar o switch e trocar a porta de
vlan para uma vlan de produção qualquer onde ele tenha acesso as ferramentas
de trabalho necessarias, isso envolveria um pouco de desenvolvimento!

  Legal que o FreeBSD suporta trunk dot1q (802.1q), portanto voce pode
trabalhar ele para que seja um Firewall Subnetado fazendo com que todas suas
VLANs sejam roteadas atraves dele tendo o controle total da rede.

  É isto...


  Att,
  Luiz Zanardo




On 2/9/06, Christopher Giese - iRapida Telecom <chris em irapida.com.br> wrote:
>
> Bom dia Senhores......
>
> estou iniciando algumas pesquisas para implementacao de um projeto......
> e gostaria de saber se alguem ai ja trabalhou com algo parecido
>
> A ideia seria o seguinte.....
>
> Micros (clientes windows)....... com seus ips....... que possuem em
> algum lugar (nao necessariamente o next-hope) um Gateway FreeBSD......
> Isto nao numa rede Wireless... e sim num rede interna.... de empresa
> mesmo......
>
> A ideia eh que o micros windows (usuarios)  quando forem usufruir da
> rede..... precisem se logar via WEB.... ai o firewall libera a conexao
> para tais ips (isto baseado em algum banco de dados ou algo do
> genero).......... e se nao se logar..... nao acessa nada
>
> nao me refiro apenas a proxy.... (a ideia eh nao ter proxy mesmo).....
> me refiro a um mero metodo de autenticacao... que avalia se o usuario
> pode ou nao usar o sistema... e ai libera conexoes de firewall (em todas
> as portas)....
>
> alguem ai ja utilizou algo assim para uma rede interna ???? alguma dica
> ?????
>
> houvi falar no nocat..... mas o que li foi para linux... e para
> wifi.........
>
> alguma experiencia ????
>
> falou ae
>
> --
> []´s
> Christopher Giese
> System Network Security Administrator - iRapida Telecom
> chris em irapida.com.br - +55 44 36194444
>
> "O futuro nada mais é que sonhos, projetos, esperanças que só serão
> possíveis se o hoje assim decidir.
> Nada mais temos neste mundo senão o exatamente agora."
>
>
> _______________________________________________
> freebsd mailing list
> freebsd em fug.com.br
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>
_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br



Mais detalhes sobre a lista de discussão freebsd