[FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede

thiago em imbituba.sc.gov.br thiago em imbituba.sc.gov.br
Sáb Fev 11 06:52:21 BRST 2006


Essa soluçao concerteza é das boas, soh que o custo dela é muito elevado.
Uma das alternativas poderia ser usar PPP over Ethernet, ou entao, o
nocat.

Creio eu que o nocat funciona assim:

O nocat-gateway fica junto na maquina com o apache, e o nocat-auth eh o
cara q brinca com a autenticacao (logicamente).
O ports tem um break que nao permite instalar o gateway e o auth na mesma
maquina, entao assim, compile na mao mesmo, ou edite o Makefile.
Pode ser feita autenticacao em SQL, radius, um monte de coisa.

Enfim,  vi README

Best regards!

Em 10/2/2006, "Luiz Zanardo" <lzanardo em gmail.com> escreveu:

>  Christopher,
>
>  Porque tu não usa dot1x (802.1X) ?
>
>  Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia uma boa
>parte dos switchs e AP já suportam pois é um padrão IEEE).
>
>  Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a autorização
>de acesso a rede ficaria por responsabilidade dos switchs e do AP que
>liberaria este acesso mediante apenas uma autenticação positiva do RADIUS
>(caso contrario, porta do switch fica down, no caso do ap o acesso não é
>permitido/roteado).
>
>  Caso tua infra seja de switchs/ap cisco tu pode ate implementar VLAN Guest
>(uma rede a parte para que os usuarios não autenticados acessem com mais
>restrições), pois outras tecnologias não implementão ainda esta feature.
>
>  Da para fazer algumas coisas mais legais do tipo uma
>"semi-police-compliance" nos pcs antes de acessarem a rede em vlan guest
>e/ou quarentena, verificando se a maquina esta infectada com algum virus,
>patchs atualizados, etc etc etc (isso envolve desenvolvimento), desenvolver
>alguma integração com o NAC (Network Admission Center) da Cisco (caso seja
>ambiente cisco), entre outras cositas mais... :)
>
>  Resumindo, vc tem accounting, autorização e autenticação feito pelo Radius
>(em BSD), acredito que voce não va precisar que alguem autentique num site
>sendo que o controle ja esta sendo feito diretamente na porta do switch e/ou
>no AP, mas caso precise, o que voce pode fazer é o seguinte, criar uma Vlan
>de quarentena para que os usuarios acessem teu site e se autentique, logo
>apos a autenticação, um script pode acessar o switch e trocar a porta de
>vlan para uma vlan de produção qualquer onde ele tenha acesso as ferramentas
>de trabalho necessarias, isso envolveria um pouco de desenvolvimento!
>
>  Legal que o FreeBSD suporta trunk dot1q (802.1q), portanto voce pode
>trabalhar ele para que seja um Firewall Subnetado fazendo com que todas suas
>VLANs sejam roteadas atraves dele tendo o controle total da rede.
>
>  É isto...
>
>
>  Att,
>  Luiz Zanardo
>
>
>
>
>On 2/9/06, Christopher Giese - iRapida Telecom <chris em irapida.com.br> wrote:
>>
>> Bom dia Senhores......
>>
>> estou iniciando algumas pesquisas para implementacao de um projeto......
>> e gostaria de saber se alguem ai ja trabalhou com algo parecido
>>
>> A ideia seria o seguinte.....
>>
>> Micros (clientes windows)....... com seus ips....... que possuem em
>> algum lugar (nao necessariamente o next-hope) um Gateway FreeBSD......
>> Isto nao numa rede Wireless... e sim num rede interna.... de empresa
>> mesmo......
>>
>> A ideia eh que o micros windows (usuarios)  quando forem usufruir da
>> rede..... precisem se logar via WEB.... ai o firewall libera a conexao
>> para tais ips (isto baseado em algum banco de dados ou algo do
>> genero).......... e se nao se logar..... nao acessa nada
>>
>> nao me refiro apenas a proxy.... (a ideia eh nao ter proxy mesmo).....
>> me refiro a um mero metodo de autenticacao... que avalia se o usuario
>> pode ou nao usar o sistema... e ai libera conexoes de firewall (em todas
>> as portas)....
>>
>> alguem ai ja utilizou algo assim para uma rede interna ???? alguma dica
>> ?????
>>
>> houvi falar no nocat..... mas o que li foi para linux... e para
>> wifi.........
>>
>> alguma experiencia ????
>>
>> falou ae
>>
>> --
>> []´s
>> Christopher Giese
>> System Network Security Administrator - iRapida Telecom
>> chris em irapida.com.br - +55 44 36194444
>>
>> "O futuro nada mais é que sonhos, projetos, esperanças que só serão
>> possíveis se o hoje assim decidir.
>> Nada mais temos neste mundo senão o exatamente agora."
>>
>>
>> _______________________________________________
>> freebsd mailing list
>> freebsd em fug.com.br
>> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>>
>_______________________________________________
>freebsd mailing list
>freebsd em fug.com.br
>http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.b
_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br



Mais detalhes sobre a lista de discussão freebsd