[FUG-BR] RES: Projeto Autenticacao via web para Utilizacao da Rede
Fabrício Fadel Kammer
ffkammer em conchalnet.com.br
Seg Fev 13 12:19:51 BRST 2006
Edison,
Pensei em fazer isso eu mesmo... mas e o timeout?? Como vc controla???
Não dá pra desconectar o cliente após X tempo... e se ele tiver no meio
de um download ou de uma transação bancária na hora em que a conexão
expirar... tem que ser após X tempo de inatividade.
[]s
-----Mensagem original-----
De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
nome de yahhoo
Enviada em: segunda-feira, 13 de fevereiro de 2006 10:25
Para: Lista de discussao sobre FreeBSD
Assunto: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da
Rede
Fiz isso com php,uma interface web que cria uma regra do firewall, qdo o
usuario se conecta desvio as portas pra um apache numa porta x aberta
com a
pagina de autenticacao, dai eh so criar a regra, to usando mysql num
servidor central, funciona muito bem.
Tks
Edison
----- Original Message -----
From: "Luiz Zanardo" <lzanardo em gmail.com>
To: "Lista de discussao sobre FreeBSD" <freebsd em fug.com.br>
Sent: Saturday, February 11, 2006 1:25 PM
Subject: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da
Rede
Custo com o q ?
Switchs e AP voce ja possui (senao vc nao vai ter a rede, heehe), o
unico custo seria do servidor p/ BSD e o tempo para configuracao...
Falei de cisco pq o IOS faz algumas coisas q os outros switchs (3com,
extreme, alcatel, entre outros) nao fazem (vlan guest, por exemplo), mas
o 802.1X puro hoje em dia quase todos switches possuem, os APs posuem
sem duvida.
O Nocat-gateway e muito bom, mas nao resolve o problema do Giese por
completo pois pelo q entendi ele quer fazer isso em uma lan seja
wireless ou wired, portanto o controle deve ser feito no switch e no AP
diretamente pois e a unica forma de permitir ou nao que o acesso a rede
seja feito de forma efetiva, caso contrario, o usuario ja estaria na
rede antes mesmo da autenticacao em uma rede local (estou falando de
LAN, nao wan como alguns estao citando), na WAN nada melhor que o PPPOE
+ NOCAT.
Giese, tu pretende fazer isso na LAN ou na WAN???
Att,
Luiz Zanardo
On 2/11/06, thiago em imbituba.sc.gov.br <thiago em imbituba.sc.gov.br> wrote:
>
> Essa soluçao concerteza é das boas, soh que o custo dela é muito
> elevado. Uma das alternativas poderia ser usar PPP over Ethernet, ou
> entao, o nocat.
>
> Creio eu que o nocat funciona assim:
>
> O nocat-gateway fica junto na maquina com o apache, e o nocat-auth eh
> o cara q brinca com a autenticacao (logicamente). O ports tem um break
> que nao permite instalar o gateway e o auth na mesma maquina, entao
> assim, compile na mao mesmo, ou edite o Makefile. Pode ser feita
> autenticacao em SQL, radius, um monte de coisa.
>
> Enfim, vi README
>
> Best regards!
>
> Em 10/2/2006, "Luiz Zanardo" <lzanardo em gmail.com> escreveu:
>
> > Christopher,
> >
> > Porque tu não usa dot1x (802.1X) ?
> >
> > Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia
> > uma
> boa
> >parte dos switchs e AP já suportam pois é um padrão IEEE).
> >
> > Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a
> autorização
> >de acesso a rede ficaria por responsabilidade dos switchs e do AP que
> >liberaria este acesso mediante apenas uma autenticação positiva do
> >RADIUS (caso contrario, porta do switch fica down, no caso do ap o
> >acesso não é permitido/roteado).
> >
> > Caso tua infra seja de switchs/ap cisco tu pode ate implementar
> > VLAN
> Guest
> >(uma rede a parte para que os usuarios não autenticados acessem com
> >mais restrições), pois outras tecnologias não implementão ainda esta
> >feature.
> >
> > Da para fazer algumas coisas mais legais do tipo uma
> >"semi-police-compliance" nos pcs antes de acessarem a rede em vlan
> >guest e/ou quarentena, verificando se a maquina esta infectada com
> >algum virus, patchs atualizados, etc etc etc (isso envolve
> >desenvolvimento),
> desenvolver
> >alguma integração com o NAC (Network Admission Center) da Cisco (caso
> seja
> >ambiente cisco), entre outras cositas mais... :)
> >
> > Resumindo, vc tem accounting, autorização e autenticação feito pelo
> Radius
> >(em BSD), acredito que voce não va precisar que alguem autentique num
> site
> >sendo que o controle ja esta sendo feito diretamente na porta do
> >switch
> e/ou
> >no AP, mas caso precise, o que voce pode fazer é o seguinte, criar
> >uma
> Vlan
> >de quarentena para que os usuarios acessem teu site e se autentique,
> >logo apos a autenticação, um script pode acessar o switch e trocar a
> >porta de vlan para uma vlan de produção qualquer onde ele tenha
> >acesso as
> ferramentas
> >de trabalho necessarias, isso envolveria um pouco de desenvolvimento!
> >
> > Legal que o FreeBSD suporta trunk dot1q (802.1q), portanto voce
> >pode trabalhar ele para que seja um Firewall Subnetado fazendo com
> >que todas
> suas
> >VLANs sejam roteadas atraves dele tendo o controle total da rede.
> >
> > É isto...
> >
> >
> > Att,
> > Luiz Zanardo
> >
> >
> >
> >
> >On 2/9/06, Christopher Giese - iRapida Telecom <chris em irapida.com.br>
> wrote:
> >>
> >> Bom dia Senhores......
> >>
> >> estou iniciando algumas pesquisas para implementacao de um
> projeto......
> >> e gostaria de saber se alguem ai ja trabalhou com algo parecido
> >>
> >> A ideia seria o seguinte.....
> >>
> >> Micros (clientes windows)....... com seus ips....... que possuem em
> >> algum lugar (nao necessariamente o next-hope) um Gateway
> >> FreeBSD...... Isto nao numa rede Wireless... e sim num rede
> >> interna.... de empresa mesmo......
> >>
> >> A ideia eh que o micros windows (usuarios) quando forem usufruir
> >> da rede..... precisem se logar via WEB.... ai o firewall libera a
> >> conexao para tais ips (isto baseado em algum banco de dados ou algo
> >> do genero).......... e se nao se logar..... nao acessa nada
> >>
> >> nao me refiro apenas a proxy.... (a ideia eh nao ter proxy
> >> mesmo)..... me refiro a um mero metodo de autenticacao... que
> >> avalia se o usuario pode ou nao usar o sistema... e ai libera
> >> conexoes de firewall (em
> todas
> >> as portas)....
> >>
> >> alguem ai ja utilizou algo assim para uma rede interna ???? alguma
> >> dica ?????
> >>
> >> houvi falar no nocat..... mas o que li foi para linux... e para
> >> wifi.........
> >>
> >> alguma experiencia ????
> >>
> >> falou ae
> >>
> >> --
> >> []´s
> >> Christopher Giese
> >> System Network Security Administrator - iRapida Telecom
> >> chris em irapida.com.br - +55 44 36194444
> >>
> >> "O futuro nada mais é que sonhos, projetos, esperanças que só serão
> >> possíveis se o hoje assim decidir. Nada mais temos neste mundo
> >> senão o exatamente agora."
> >>
> >>
> >> _______________________________________________
> >> freebsd mailing list
> >> freebsd em fug.com.br
> >> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
> >>
> >_______________________________________________
> >freebsd mailing list
> >freebsd em fug.com.br
> >http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.b
> _______________________________________________
> freebsd mailing list
> freebsd em fug.com.br
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>
_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
_______________________________________________________
Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador
agora! http://br.acesso.yahoo.com
_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Mais detalhes sobre a lista de discussão freebsd