[FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
Luiz Gustavo Santos Costa
luizgustavo.sc em gmail.com
Seg Fev 13 13:26:03 BRST 2006
Edison,
To escrevendo essa ideia num tutorial, se puder ajudar :)
http://wiki.luizgustavo.pro.br/doku.php?id=artigos_geral:captive_portal
Abrçs,
Luiz Gustavo - http://www.luizgustavo.pro.br
Em 13/02/06, yahhoo<eds_perdido em yahoo.com.br> escreveu:
> Fiz isso com php,uma interface web que cria uma regra do firewall, qdo o
> usuario se conecta desvio as portas pra um apache numa porta x aberta com a
> pagina de autenticacao, dai eh so criar a regra, to usando mysql num
> servidor central, funciona muito bem.
>
> Tks
>
> Edison
>
> ----- Original Message -----
> From: "Luiz Zanardo" <lzanardo em gmail.com>
> To: "Lista de discussao sobre FreeBSD" <freebsd em fug.com.br>
> Sent: Saturday, February 11, 2006 1:25 PM
> Subject: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
>
>
> Custo com o q ?
>
> Switchs e AP voce ja possui (senao vc nao vai ter a rede, heehe), o unico
> custo seria do servidor p/ BSD e o tempo para configuracao...
>
> Falei de cisco pq o IOS faz algumas coisas q os outros switchs (3com,
> extreme, alcatel, entre outros) nao fazem (vlan guest, por exemplo), mas o
> 802.1X puro hoje em dia quase todos switches possuem, os APs posuem sem
> duvida.
>
> O Nocat-gateway e muito bom, mas nao resolve o problema do Giese por
> completo pois pelo q entendi ele quer fazer isso em uma lan seja wireless ou
> wired, portanto o controle deve ser feito no switch e no AP diretamente pois
> e a unica forma de permitir ou nao que o acesso a rede seja feito de forma
> efetiva, caso contrario, o usuario ja estaria na rede antes mesmo da
> autenticacao em uma rede local (estou falando de LAN, nao wan como alguns
> estao citando), na WAN nada melhor que o PPPOE + NOCAT.
>
> Giese, tu pretende fazer isso na LAN ou na WAN???
>
>
> Att,
> Luiz Zanardo
>
>
> On 2/11/06, thiago em imbituba.sc.gov.br <thiago em imbituba.sc.gov.br> wrote:
> >
> > Essa soluçao concerteza é das boas, soh que o custo dela é muito elevado.
> > Uma das alternativas poderia ser usar PPP over Ethernet, ou entao, o
> > nocat.
> >
> > Creio eu que o nocat funciona assim:
> >
> > O nocat-gateway fica junto na maquina com o apache, e o nocat-auth eh o
> > cara q brinca com a autenticacao (logicamente).
> > O ports tem um break que nao permite instalar o gateway e o auth na mesma
> > maquina, entao assim, compile na mao mesmo, ou edite o Makefile.
> > Pode ser feita autenticacao em SQL, radius, um monte de coisa.
> >
> > Enfim, vi README
> >
> > Best regards!
> >
> > Em 10/2/2006, "Luiz Zanardo" <lzanardo em gmail.com> escreveu:
> >
> > > Christopher,
> > >
> > > Porque tu não usa dot1x (802.1X) ?
> > >
> > > Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia uma
> > boa
> > >parte dos switchs e AP já suportam pois é um padrão IEEE).
> > >
> > > Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a
> > autorização
> > >de acesso a rede ficaria por responsabilidade dos switchs e do AP que
> > >liberaria este acesso mediante apenas uma autenticação positiva do RADIUS
> > >(caso contrario, porta do switch fica down, no caso do ap o acesso não é
> > >permitido/roteado).
> > >
> > > Caso tua infra seja de switchs/ap cisco tu pode ate implementar VLAN
> > Guest
> > >(uma rede a parte para que os usuarios não autenticados acessem com mais
> > >restrições), pois outras tecnologias não implementão ainda esta feature.
> > >
> > > Da para fazer algumas coisas mais legais do tipo uma
> > >"semi-police-compliance" nos pcs antes de acessarem a rede em vlan guest
> > >e/ou quarentena, verificando se a maquina esta infectada com algum virus,
> > >patchs atualizados, etc etc etc (isso envolve desenvolvimento),
> > desenvolver
> > >alguma integração com o NAC (Network Admission Center) da Cisco (caso
> > seja
> > >ambiente cisco), entre outras cositas mais... :)
> > >
> > > Resumindo, vc tem accounting, autorização e autenticação feito pelo
> > Radius
> > >(em BSD), acredito que voce não va precisar que alguem autentique num
> > site
> > >sendo que o controle ja esta sendo feito diretamente na porta do switch
> > e/ou
> > >no AP, mas caso precise, o que voce pode fazer é o seguinte, criar uma
> > Vlan
> > >de quarentena para que os usuarios acessem teu site e se autentique, logo
> > >apos a autenticação, um script pode acessar o switch e trocar a porta de
> > >vlan para uma vlan de produção qualquer onde ele tenha acesso as
> > ferramentas
> > >de trabalho necessarias, isso envolveria um pouco de desenvolvimento!
> > >
> > > Legal que o FreeBSD suporta trunk dot1q (802.1q), portanto voce pode
> > >trabalhar ele para que seja um Firewall Subnetado fazendo com que todas
> > suas
> > >VLANs sejam roteadas atraves dele tendo o controle total da rede.
> > >
> > > É isto...
> > >
> > >
> > > Att,
> > > Luiz Zanardo
> > >
> > >
> > >
> > >
> > >On 2/9/06, Christopher Giese - iRapida Telecom <chris em irapida.com.br>
> > wrote:
> > >>
> > >> Bom dia Senhores......
> > >>
> > >> estou iniciando algumas pesquisas para implementacao de um
> > projeto......
> > >> e gostaria de saber se alguem ai ja trabalhou com algo parecido
> > >>
> > >> A ideia seria o seguinte.....
> > >>
> > >> Micros (clientes windows)....... com seus ips....... que possuem em
> > >> algum lugar (nao necessariamente o next-hope) um Gateway FreeBSD......
> > >> Isto nao numa rede Wireless... e sim num rede interna.... de empresa
> > >> mesmo......
> > >>
> > >> A ideia eh que o micros windows (usuarios) quando forem usufruir da
> > >> rede..... precisem se logar via WEB.... ai o firewall libera a conexao
> > >> para tais ips (isto baseado em algum banco de dados ou algo do
> > >> genero).......... e se nao se logar..... nao acessa nada
> > >>
> > >> nao me refiro apenas a proxy.... (a ideia eh nao ter proxy mesmo).....
> > >> me refiro a um mero metodo de autenticacao... que avalia se o usuario
> > >> pode ou nao usar o sistema... e ai libera conexoes de firewall (em
> > todas
> > >> as portas)....
> > >>
> > >> alguem ai ja utilizou algo assim para uma rede interna ???? alguma dica
> > >> ?????
> > >>
> > >> houvi falar no nocat..... mas o que li foi para linux... e para
> > >> wifi.........
> > >>
> > >> alguma experiencia ????
> > >>
> > >> falou ae
> > >>
> > >> --
> > >> []´s
> > >> Christopher Giese
> > >> System Network Security Administrator - iRapida Telecom
> > >> chris em irapida.com.br - +55 44 36194444
> > >>
> > >> "O futuro nada mais é que sonhos, projetos, esperanças que só serão
> > >> possíveis se o hoje assim decidir.
> > >> Nada mais temos neste mundo senão o exatamente agora."
> > >>
> > >>
> > >> _______________________________________________
> > >> freebsd mailing list
> > >> freebsd em fug.com.br
> > >> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
> > >>
> > >_______________________________________________
> > >freebsd mailing list
> > >freebsd em fug.com.br
> > >http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.b
> > _______________________________________________
> > freebsd mailing list
> > freebsd em fug.com.br
> > http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
> >
> _______________________________________________
> freebsd mailing list
> freebsd em fug.com.br
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>
>
>
> _______________________________________________________
> Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador agora!
> http://br.acesso.yahoo.com
> _______________________________________________
> freebsd mailing list
> freebsd em fug.com.br
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>
_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Mais detalhes sobre a lista de discussão freebsd