[FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
Christopher Giese - iRapida Telecom
chris em irapida.com.br
Seg Fev 13 10:37:17 BRST 2006
Salve
eh o server nao esta diretamente no next-hope ;)
e nem todas as aps ou switchs que tenho.... possuem tal feature :)
comecei a estudar o nocat.... mas achei ele muito suscetível a
quedas/problemas :)
entaum estou estudando / implementando com pfauth ;) ja encontrei
alguns applets java que fazem a comunicacao ssh via web e tals....
ainda esta tudo em faze de testes / laboratorio.... assim que tiver algo
mais concreto lhes passo
Gostaria de agradecer a todos que deram ideias, dicas...... valeu mesmo
obs.: Se tiver ai algum NINJA em pfauth e quiser dar umas dicas (fora o
que tem no site de pf do open.....) serei grato :)
t+
Christopher Giese <SkyWarrior>
bsdux em bsdux.com.br
Luiz Zanardo wrote:
> Christopher,
>
> Porque tu não usa dot1x (802.1X) ?
>
> Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia uma boa
> parte dos switchs e AP já suportam pois é um padrão IEEE).
>
> Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a autorização
> de acesso a rede ficaria por responsabilidade dos switchs e do AP que
> liberaria este acesso mediante apenas uma autenticação positiva do RADIUS
> (caso contrario, porta do switch fica down, no caso do ap o acesso não é
> permitido/roteado).
>
> Caso tua infra seja de switchs/ap cisco tu pode ate implementar VLAN Guest
> (uma rede a parte para que os usuarios não autenticados acessem com mais
> restrições), pois outras tecnologias não implementão ainda esta feature.
>
> Da para fazer algumas coisas mais legais do tipo uma
> "semi-police-compliance" nos pcs antes de acessarem a rede em vlan guest
> e/ou quarentena, verificando se a maquina esta infectada com algum virus,
> patchs atualizados, etc etc etc (isso envolve desenvolvimento), desenvolver
> alguma integração com o NAC (Network Admission Center) da Cisco (caso seja
> ambiente cisco), entre outras cositas mais... :)
>
> Resumindo, vc tem accounting, autorização e autenticação feito pelo Radius
> (em BSD), acredito que voce não va precisar que alguem autentique num site
> sendo que o controle ja esta sendo feito diretamente na porta do switch e/ou
> no AP, mas caso precise, o que voce pode fazer é o seguinte, criar uma Vlan
> de quarentena para que os usuarios acessem teu site e se autentique, logo
> apos a autenticação, um script pode acessar o switch e trocar a porta de
> vlan para uma vlan de produção qualquer onde ele tenha acesso as ferramentas
> de trabalho necessarias, isso envolveria um pouco de desenvolvimento!
>
> Legal que o FreeBSD suporta trunk dot1q (802.1q), portanto voce pode
> trabalhar ele para que seja um Firewall Subnetado fazendo com que todas suas
> VLANs sejam roteadas atraves dele tendo o controle total da rede.
>
> É isto...
>
>
> Att,
> Luiz Zanardo
>
>
>
>
> On 2/9/06, Christopher Giese - iRapida Telecom <chris em irapida.com.br> wrote:
>
>> Bom dia Senhores......
>>
>> estou iniciando algumas pesquisas para implementacao de um projeto......
>> e gostaria de saber se alguem ai ja trabalhou com algo parecido
>>
>> A ideia seria o seguinte.....
>>
>> Micros (clientes windows)....... com seus ips....... que possuem em
>> algum lugar (nao necessariamente o next-hope) um Gateway FreeBSD......
>> Isto nao numa rede Wireless... e sim num rede interna.... de empresa
>> mesmo......
>>
>> A ideia eh que o micros windows (usuarios) quando forem usufruir da
>> rede..... precisem se logar via WEB.... ai o firewall libera a conexao
>> para tais ips (isto baseado em algum banco de dados ou algo do
>> genero).......... e se nao se logar..... nao acessa nada
>>
>> nao me refiro apenas a proxy.... (a ideia eh nao ter proxy mesmo).....
>> me refiro a um mero metodo de autenticacao... que avalia se o usuario
>> pode ou nao usar o sistema... e ai libera conexoes de firewall (em todas
>> as portas)....
>>
>> alguem ai ja utilizou algo assim para uma rede interna ???? alguma dica
>> ?????
>>
>> houvi falar no nocat..... mas o que li foi para linux... e para
>> wifi.........
>>
>> alguma experiencia ????
>>
>> falou ae
>>
>> --
>> []´s
>> Christopher Giese
>> System Network Security Administrator - iRapida Telecom
>> chris em irapida.com.br - +55 44 36194444
>>
>> "O futuro nada mais é que sonhos, projetos, esperanças que só serão
>> possíveis se o hoje assim decidir.
>> Nada mais temos neste mundo senão o exatamente agora."
>>
>>
>> _______________________________________________
>> freebsd mailing list
>> freebsd em fug.com.br
>> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>>
>>
> _______________________________________________
> freebsd mailing list
> freebsd em fug.com.br
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>
--
[]´s
Christopher Giese
System Network Security Administrator - iRapida Telecom
chris em irapida.com.br - +55 44 36194444
"O futuro nada mais é que sonhos, projetos, esperanças que só serão possíveis se o hoje assim decidir.
Nada mais temos neste mundo senão o exatamente agora."
_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Mais detalhes sobre a lista de discussão freebsd