[FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
Luiz Zanardo
lzanardo em gmail.com
Sáb Fev 11 14:25:12 BRST 2006
Custo com o q ?
Switchs e AP voce ja possui (senao vc nao vai ter a rede, heehe), o unico
custo seria do servidor p/ BSD e o tempo para configuracao...
Falei de cisco pq o IOS faz algumas coisas q os outros switchs (3com,
extreme, alcatel, entre outros) nao fazem (vlan guest, por exemplo), mas o
802.1X puro hoje em dia quase todos switches possuem, os APs posuem sem
duvida.
O Nocat-gateway e muito bom, mas nao resolve o problema do Giese por
completo pois pelo q entendi ele quer fazer isso em uma lan seja wireless ou
wired, portanto o controle deve ser feito no switch e no AP diretamente pois
e a unica forma de permitir ou nao que o acesso a rede seja feito de forma
efetiva, caso contrario, o usuario ja estaria na rede antes mesmo da
autenticacao em uma rede local (estou falando de LAN, nao wan como alguns
estao citando), na WAN nada melhor que o PPPOE + NOCAT.
Giese, tu pretende fazer isso na LAN ou na WAN???
Att,
Luiz Zanardo
On 2/11/06, thiago em imbituba.sc.gov.br <thiago em imbituba.sc.gov.br> wrote:
>
> Essa soluçao concerteza é das boas, soh que o custo dela é muito elevado.
> Uma das alternativas poderia ser usar PPP over Ethernet, ou entao, o
> nocat.
>
> Creio eu que o nocat funciona assim:
>
> O nocat-gateway fica junto na maquina com o apache, e o nocat-auth eh o
> cara q brinca com a autenticacao (logicamente).
> O ports tem um break que nao permite instalar o gateway e o auth na mesma
> maquina, entao assim, compile na mao mesmo, ou edite o Makefile.
> Pode ser feita autenticacao em SQL, radius, um monte de coisa.
>
> Enfim, vi README
>
> Best regards!
>
> Em 10/2/2006, "Luiz Zanardo" <lzanardo em gmail.com> escreveu:
>
> > Christopher,
> >
> > Porque tu não usa dot1x (802.1X) ?
> >
> > Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia uma
> boa
> >parte dos switchs e AP já suportam pois é um padrão IEEE).
> >
> > Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a
> autorização
> >de acesso a rede ficaria por responsabilidade dos switchs e do AP que
> >liberaria este acesso mediante apenas uma autenticação positiva do RADIUS
> >(caso contrario, porta do switch fica down, no caso do ap o acesso não é
> >permitido/roteado).
> >
> > Caso tua infra seja de switchs/ap cisco tu pode ate implementar VLAN
> Guest
> >(uma rede a parte para que os usuarios não autenticados acessem com mais
> >restrições), pois outras tecnologias não implementão ainda esta feature.
> >
> > Da para fazer algumas coisas mais legais do tipo uma
> >"semi-police-compliance" nos pcs antes de acessarem a rede em vlan guest
> >e/ou quarentena, verificando se a maquina esta infectada com algum virus,
> >patchs atualizados, etc etc etc (isso envolve desenvolvimento),
> desenvolver
> >alguma integração com o NAC (Network Admission Center) da Cisco (caso
> seja
> >ambiente cisco), entre outras cositas mais... :)
> >
> > Resumindo, vc tem accounting, autorização e autenticação feito pelo
> Radius
> >(em BSD), acredito que voce não va precisar que alguem autentique num
> site
> >sendo que o controle ja esta sendo feito diretamente na porta do switch
> e/ou
> >no AP, mas caso precise, o que voce pode fazer é o seguinte, criar uma
> Vlan
> >de quarentena para que os usuarios acessem teu site e se autentique, logo
> >apos a autenticação, um script pode acessar o switch e trocar a porta de
> >vlan para uma vlan de produção qualquer onde ele tenha acesso as
> ferramentas
> >de trabalho necessarias, isso envolveria um pouco de desenvolvimento!
> >
> > Legal que o FreeBSD suporta trunk dot1q (802.1q), portanto voce pode
> >trabalhar ele para que seja um Firewall Subnetado fazendo com que todas
> suas
> >VLANs sejam roteadas atraves dele tendo o controle total da rede.
> >
> > É isto...
> >
> >
> > Att,
> > Luiz Zanardo
> >
> >
> >
> >
> >On 2/9/06, Christopher Giese - iRapida Telecom <chris em irapida.com.br>
> wrote:
> >>
> >> Bom dia Senhores......
> >>
> >> estou iniciando algumas pesquisas para implementacao de um
> projeto......
> >> e gostaria de saber se alguem ai ja trabalhou com algo parecido
> >>
> >> A ideia seria o seguinte.....
> >>
> >> Micros (clientes windows)....... com seus ips....... que possuem em
> >> algum lugar (nao necessariamente o next-hope) um Gateway FreeBSD......
> >> Isto nao numa rede Wireless... e sim num rede interna.... de empresa
> >> mesmo......
> >>
> >> A ideia eh que o micros windows (usuarios) quando forem usufruir da
> >> rede..... precisem se logar via WEB.... ai o firewall libera a conexao
> >> para tais ips (isto baseado em algum banco de dados ou algo do
> >> genero).......... e se nao se logar..... nao acessa nada
> >>
> >> nao me refiro apenas a proxy.... (a ideia eh nao ter proxy mesmo).....
> >> me refiro a um mero metodo de autenticacao... que avalia se o usuario
> >> pode ou nao usar o sistema... e ai libera conexoes de firewall (em
> todas
> >> as portas)....
> >>
> >> alguem ai ja utilizou algo assim para uma rede interna ???? alguma dica
> >> ?????
> >>
> >> houvi falar no nocat..... mas o que li foi para linux... e para
> >> wifi.........
> >>
> >> alguma experiencia ????
> >>
> >> falou ae
> >>
> >> --
> >> []´s
> >> Christopher Giese
> >> System Network Security Administrator - iRapida Telecom
> >> chris em irapida.com.br - +55 44 36194444
> >>
> >> "O futuro nada mais é que sonhos, projetos, esperanças que só serão
> >> possíveis se o hoje assim decidir.
> >> Nada mais temos neste mundo senão o exatamente agora."
> >>
> >>
> >> _______________________________________________
> >> freebsd mailing list
> >> freebsd em fug.com.br
> >> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
> >>
> >_______________________________________________
> >freebsd mailing list
> >freebsd em fug.com.br
> >http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.b
> _______________________________________________
> freebsd mailing list
> freebsd em fug.com.br
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>
_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Mais detalhes sobre a lista de discussão freebsd