[FUG-BR] RES: Projeto Autenticacao via web para Utilizacao da Rede

Fabrício Fadel Kammer ffkammer em conchalnet.com.br
Seg Fev 13 12:19:51 BRST 2006


Edison,

Pensei em fazer isso eu mesmo... mas e o timeout?? Como vc controla???

Não dá pra desconectar o cliente após X tempo... e se ele tiver no meio
de um download ou de uma transação bancária na hora em que a conexão
expirar... tem que ser após X tempo de inatividade.

[]s



-----Mensagem original-----
De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
nome de yahhoo
Enviada em: segunda-feira, 13 de fevereiro de 2006 10:25
Para: Lista de discussao sobre FreeBSD
Assunto: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da
Rede


Fiz isso com php,uma interface web que cria uma regra do firewall, qdo o

usuario se conecta desvio as portas pra um apache numa porta x aberta
com a 
pagina de autenticacao, dai eh so criar a regra, to usando mysql num 
servidor central, funciona muito bem.

Tks

Edison

----- Original Message ----- 
From: "Luiz Zanardo" <lzanardo em gmail.com>
To: "Lista de discussao sobre FreeBSD" <freebsd em fug.com.br>
Sent: Saturday, February 11, 2006 1:25 PM
Subject: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da
Rede


  Custo com o q ?

  Switchs e AP voce ja possui (senao vc nao vai ter a rede, heehe), o
unico custo seria do servidor p/ BSD e o tempo para configuracao...

  Falei de cisco pq o IOS faz algumas coisas q os outros switchs (3com,
extreme, alcatel, entre outros) nao fazem (vlan guest, por exemplo), mas
o 802.1X puro hoje em dia quase todos switches possuem, os APs posuem
sem duvida.

  O Nocat-gateway e muito bom, mas nao resolve o problema do Giese por
completo pois pelo q entendi ele quer fazer isso em uma lan seja
wireless ou wired, portanto o controle deve ser feito no switch e no AP
diretamente pois e a unica forma de permitir ou nao que o acesso a rede
seja feito de forma efetiva, caso contrario, o usuario ja estaria na
rede antes mesmo da autenticacao em uma rede local (estou falando de
LAN, nao wan como alguns estao citando), na WAN nada melhor que o PPPOE
+ NOCAT.

  Giese, tu pretende fazer isso na LAN ou na WAN???


  Att,
  Luiz Zanardo


On 2/11/06, thiago em imbituba.sc.gov.br <thiago em imbituba.sc.gov.br> wrote:
>
> Essa soluçao concerteza é das boas, soh que o custo dela é muito 
> elevado. Uma das alternativas poderia ser usar PPP over Ethernet, ou 
> entao, o nocat.
>
> Creio eu que o nocat funciona assim:
>
> O nocat-gateway fica junto na maquina com o apache, e o nocat-auth eh 
> o cara q brinca com a autenticacao (logicamente). O ports tem um break

> que nao permite instalar o gateway e o auth na mesma maquina, entao 
> assim, compile na mao mesmo, ou edite o Makefile. Pode ser feita 
> autenticacao em SQL, radius, um monte de coisa.
>
> Enfim,  vi README
>
> Best regards!
>
> Em 10/2/2006, "Luiz Zanardo" <lzanardo em gmail.com> escreveu:
>
> >  Christopher,
> >
> >  Porque tu não usa dot1x (802.1X) ?
> >
> >  Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia 
> > uma
> boa
> >parte dos switchs e AP já suportam pois é um padrão IEEE).
> >
> >  Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a
> autorização
> >de acesso a rede ficaria por responsabilidade dos switchs e do AP que

> >liberaria este acesso mediante apenas uma autenticação positiva do 
> >RADIUS (caso contrario, porta do switch fica down, no caso do ap o 
> >acesso não é permitido/roteado).
> >
> >  Caso tua infra seja de switchs/ap cisco tu pode ate implementar 
> > VLAN
> Guest
> >(uma rede a parte para que os usuarios não autenticados acessem com 
> >mais restrições), pois outras tecnologias não implementão ainda esta 
> >feature.
> >
> >  Da para fazer algumas coisas mais legais do tipo uma 
> >"semi-police-compliance" nos pcs antes de acessarem a rede em vlan 
> >guest e/ou quarentena, verificando se a maquina esta infectada com 
> >algum virus, patchs atualizados, etc etc etc (isso envolve 
> >desenvolvimento),
> desenvolver
> >alguma integração com o NAC (Network Admission Center) da Cisco (caso
> seja
> >ambiente cisco), entre outras cositas mais... :)
> >
> >  Resumindo, vc tem accounting, autorização e autenticação feito pelo
> Radius
> >(em BSD), acredito que voce não va precisar que alguem autentique num
> site
> >sendo que o controle ja esta sendo feito diretamente na porta do 
> >switch
> e/ou
> >no AP, mas caso precise, o que voce pode fazer é o seguinte, criar 
> >uma
> Vlan
> >de quarentena para que os usuarios acessem teu site e se autentique, 
> >logo apos a autenticação, um script pode acessar o switch e trocar a 
> >porta de vlan para uma vlan de produção qualquer onde ele tenha 
> >acesso as
> ferramentas
> >de trabalho necessarias, isso envolveria um pouco de desenvolvimento!
> >
> >  Legal que o FreeBSD suporta trunk dot1q (802.1q), portanto voce 
> >pode trabalhar ele para que seja um Firewall Subnetado fazendo com 
> >que todas
> suas
> >VLANs sejam roteadas atraves dele tendo o controle total da rede.
> >
> >  É isto...
> >
> >
> >  Att,
> >  Luiz Zanardo
> >
> >
> >
> >
> >On 2/9/06, Christopher Giese - iRapida Telecom <chris em irapida.com.br>
> wrote:
> >>
> >> Bom dia Senhores......
> >>
> >> estou iniciando algumas pesquisas para implementacao de um
> projeto......
> >> e gostaria de saber se alguem ai ja trabalhou com algo parecido
> >>
> >> A ideia seria o seguinte.....
> >>
> >> Micros (clientes windows)....... com seus ips....... que possuem em

> >> algum lugar (nao necessariamente o next-hope) um Gateway 
> >> FreeBSD...... Isto nao numa rede Wireless... e sim num rede 
> >> interna.... de empresa mesmo......
> >>
> >> A ideia eh que o micros windows (usuarios)  quando forem usufruir 
> >> da rede..... precisem se logar via WEB.... ai o firewall libera a 
> >> conexao para tais ips (isto baseado em algum banco de dados ou algo

> >> do genero).......... e se nao se logar..... nao acessa nada
> >>
> >> nao me refiro apenas a proxy.... (a ideia eh nao ter proxy 
> >> mesmo)..... me refiro a um mero metodo de autenticacao... que 
> >> avalia se o usuario pode ou nao usar o sistema... e ai libera 
> >> conexoes de firewall (em
> todas
> >> as portas)....
> >>
> >> alguem ai ja utilizou algo assim para uma rede interna ???? alguma 
> >> dica ?????
> >>
> >> houvi falar no nocat..... mas o que li foi para linux... e para 
> >> wifi.........
> >>
> >> alguma experiencia ????
> >>
> >> falou ae
> >>
> >> --
> >> []´s
> >> Christopher Giese
> >> System Network Security Administrator - iRapida Telecom 
> >> chris em irapida.com.br - +55 44 36194444
> >>
> >> "O futuro nada mais é que sonhos, projetos, esperanças que só serão

> >> possíveis se o hoje assim decidir. Nada mais temos neste mundo 
> >> senão o exatamente agora."
> >>
> >>
> >> _______________________________________________
> >> freebsd mailing list
> >> freebsd em fug.com.br 
> >> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
> >>
> >_______________________________________________
> >freebsd mailing list
> >freebsd em fug.com.br 
> >http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.b
> _______________________________________________
> freebsd mailing list
> freebsd em fug.com.br 
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>
_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br 


		
_______________________________________________________
Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador
agora! http://br.acesso.yahoo.com
_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br

_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br



Mais detalhes sobre a lista de discussão freebsd