[FUG-BR] RES: Projeto Autenticacao via web para Utilizacao da Rede

Fabrício Fadel Kammer ffkammer em conchalnet.com.br
Seg Fev 13 11:19:28 BRST 2006


Encontrei o chillispot... alguem já usou/usa esse captive portal???
Parece fazer esse trabalho...

www.chillispot.org

[]s



-----Mensagem original-----
De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
nome de Christopher Giese - iRapida Telecom
Enviada em: segunda-feira, 13 de fevereiro de 2006 09:37
Para: Lista de discussao sobre FreeBSD
Assunto: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da
Rede


Salve

eh o server nao esta diretamente no next-hope ;)

e nem todas as aps ou switchs que tenho.... possuem tal feature :)

comecei a estudar o nocat.... mas achei ele muito suscetível a 
quedas/problemas :)

entaum estou estudando / implementando com pfauth ;)   ja encontrei 
alguns applets java que fazem a comunicacao ssh via web e tals....

ainda esta tudo em faze de testes / laboratorio.... assim que tiver algo

mais concreto lhes passo

Gostaria de agradecer a todos que deram ideias, dicas...... valeu mesmo

obs.: Se tiver ai algum NINJA em pfauth e quiser dar umas dicas (fora o 
que tem no site de pf do open.....) serei grato :)

t+

Christopher Giese <SkyWarrior>
bsdux em bsdux.com.br


Luiz Zanardo wrote:
>   Christopher,
>
>   Porque tu não usa dot1x (802.1X) ?
>
>   Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia 
> uma boa parte dos switchs e AP já suportam pois é um padrão IEEE).
>
>   Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a 
> autorização de acesso a rede ficaria por responsabilidade dos switchs 
> e do AP que liberaria este acesso mediante apenas uma autenticação 
> positiva do RADIUS (caso contrario, porta do switch fica down, no caso

> do ap o acesso não é permitido/roteado).
>
>   Caso tua infra seja de switchs/ap cisco tu pode ate implementar VLAN

> Guest (uma rede a parte para que os usuarios não autenticados acessem 
> com mais restrições), pois outras tecnologias não implementão ainda 
> esta feature.
>
>   Da para fazer algumas coisas mais legais do tipo uma 
> "semi-police-compliance" nos pcs antes de acessarem a rede em vlan 
> guest e/ou quarentena, verificando se a maquina esta infectada com 
> algum virus, patchs atualizados, etc etc etc (isso envolve 
> desenvolvimento), desenvolver alguma integração com o NAC (Network 
> Admission Center) da Cisco (caso seja ambiente cisco), entre outras 
> cositas mais... :)
>
>   Resumindo, vc tem accounting, autorização e autenticação feito pelo 
> Radius (em BSD), acredito que voce não va precisar que alguem 
> autentique num site sendo que o controle ja esta sendo feito 
> diretamente na porta do switch e/ou no AP, mas caso precise, o que 
> voce pode fazer é o seguinte, criar uma Vlan de quarentena para que os

> usuarios acessem teu site e se autentique, logo apos a autenticação, 
> um script pode acessar o switch e trocar a porta de vlan para uma vlan

> de produção qualquer onde ele tenha acesso as ferramentas de trabalho 
> necessarias, isso envolveria um pouco de desenvolvimento!
>
>   Legal que o FreeBSD suporta trunk dot1q (802.1q), portanto voce pode

> trabalhar ele para que seja um Firewall Subnetado fazendo com que 
> todas suas VLANs sejam roteadas atraves dele tendo o controle total da

> rede.
>
>   É isto...
>
>
>   Att,
>   Luiz Zanardo
>
>
>
>
> On 2/9/06, Christopher Giese - iRapida Telecom <chris em irapida.com.br> 
> wrote:
>   
>> Bom dia Senhores......
>>
>> estou iniciando algumas pesquisas para implementacao de um 
>> projeto...... e gostaria de saber se alguem ai ja trabalhou com algo 
>> parecido
>>
>> A ideia seria o seguinte.....
>>
>> Micros (clientes windows)....... com seus ips....... que possuem em 
>> algum lugar (nao necessariamente o next-hope) um Gateway 
>> FreeBSD...... Isto nao numa rede Wireless... e sim num rede 
>> interna.... de empresa mesmo......
>>
>> A ideia eh que o micros windows (usuarios)  quando forem usufruir da 
>> rede..... precisem se logar via WEB.... ai o firewall libera a 
>> conexao para tais ips (isto baseado em algum banco de dados ou algo 
>> do genero).......... e se nao se logar..... nao acessa nada
>>
>> nao me refiro apenas a proxy.... (a ideia eh nao ter proxy 
>> mesmo)..... me refiro a um mero metodo de autenticacao... que avalia 
>> se o usuario pode ou nao usar o sistema... e ai libera conexoes de 
>> firewall (em todas as portas)....
>>
>> alguem ai ja utilizou algo assim para uma rede interna ???? alguma 
>> dica ?????
>>
>> houvi falar no nocat..... mas o que li foi para linux... e para 
>> wifi.........
>>
>> alguma experiencia ????
>>
>> falou ae
>>
>> --
>> []´s
>> Christopher Giese
>> System Network Security Administrator - iRapida Telecom 
>> chris em irapida.com.br - +55 44 36194444
>>
>> "O futuro nada mais é que sonhos, projetos, esperanças que só serão 
>> possíveis se o hoje assim decidir. Nada mais temos neste mundo senão 
>> o exatamente agora."
>>
>>
>> _______________________________________________
>> freebsd mailing list
>> freebsd em fug.com.br 
>> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>>
>>     
> _______________________________________________
> freebsd mailing list
> freebsd em fug.com.br 
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>   


-- 
[]´s 
Christopher Giese
System Network Security Administrator - iRapida Telecom
chris em irapida.com.br - +55 44 36194444

"O futuro nada mais é que sonhos, projetos, esperanças que só serão
possíveis se o hoje assim decidir. 
Nada mais temos neste mundo senão o exatamente agora." 


_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br

_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br



Mais detalhes sobre a lista de discussão freebsd