[FUG-BR] RES: Projeto Autenticacao via web para Utilizacao da Rede

Luiz Gustavo Santos Costa luizgustavo.sc em gmail.com
Seg Fev 13 13:24:09 BRST 2006


Fabrício, eu solucionei isso com um simples ping.. de tempo em tempo
eu fico rodando um script que fica pingando os clients, assim que um
não responde eu tiro as regras dele.

Abçs,

Luiz Gustavo - http://www.luizgustavo.pro.br

Em 13/02/06, Fabrício Fadel Kammer<ffkammer em conchalnet.com.br> escreveu:
> Edison,
>
> Pensei em fazer isso eu mesmo... mas e o timeout?? Como vc controla???
>
> Não dá pra desconectar o cliente após X tempo... e se ele tiver no meio
> de um download ou de uma transação bancária na hora em que a conexão
> expirar... tem que ser após X tempo de inatividade.
>
> []s
>
>
>
> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
> nome de yahhoo
> Enviada em: segunda-feira, 13 de fevereiro de 2006 10:25
> Para: Lista de discussao sobre FreeBSD
> Assunto: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da
> Rede
>
>
> Fiz isso com php,uma interface web que cria uma regra do firewall, qdo o
>
> usuario se conecta desvio as portas pra um apache numa porta x aberta
> com a
> pagina de autenticacao, dai eh so criar a regra, to usando mysql num
> servidor central, funciona muito bem.
>
> Tks
>
> Edison
>
> ----- Original Message -----
> From: "Luiz Zanardo" <lzanardo em gmail.com>
> To: "Lista de discussao sobre FreeBSD" <freebsd em fug.com.br>
> Sent: Saturday, February 11, 2006 1:25 PM
> Subject: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da
> Rede
>
>
>   Custo com o q ?
>
>   Switchs e AP voce ja possui (senao vc nao vai ter a rede, heehe), o
> unico custo seria do servidor p/ BSD e o tempo para configuracao...
>
>   Falei de cisco pq o IOS faz algumas coisas q os outros switchs (3com,
> extreme, alcatel, entre outros) nao fazem (vlan guest, por exemplo), mas
> o 802.1X puro hoje em dia quase todos switches possuem, os APs posuem
> sem duvida.
>
>   O Nocat-gateway e muito bom, mas nao resolve o problema do Giese por
> completo pois pelo q entendi ele quer fazer isso em uma lan seja
> wireless ou wired, portanto o controle deve ser feito no switch e no AP
> diretamente pois e a unica forma de permitir ou nao que o acesso a rede
> seja feito de forma efetiva, caso contrario, o usuario ja estaria na
> rede antes mesmo da autenticacao em uma rede local (estou falando de
> LAN, nao wan como alguns estao citando), na WAN nada melhor que o PPPOE
> + NOCAT.
>
>   Giese, tu pretende fazer isso na LAN ou na WAN???
>
>
>   Att,
>   Luiz Zanardo
>
>
> On 2/11/06, thiago em imbituba.sc.gov.br <thiago em imbituba.sc.gov.br> wrote:
> >
> > Essa soluçao concerteza é das boas, soh que o custo dela é muito
> > elevado. Uma das alternativas poderia ser usar PPP over Ethernet, ou
> > entao, o nocat.
> >
> > Creio eu que o nocat funciona assim:
> >
> > O nocat-gateway fica junto na maquina com o apache, e o nocat-auth eh
> > o cara q brinca com a autenticacao (logicamente). O ports tem um break
>
> > que nao permite instalar o gateway e o auth na mesma maquina, entao
> > assim, compile na mao mesmo, ou edite o Makefile. Pode ser feita
> > autenticacao em SQL, radius, um monte de coisa.
> >
> > Enfim,  vi README
> >
> > Best regards!
> >
> > Em 10/2/2006, "Luiz Zanardo" <lzanardo em gmail.com> escreveu:
> >
> > >  Christopher,
> > >
> > >  Porque tu não usa dot1x (802.1X) ?
> > >
> > >  Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia
> > > uma
> > boa
> > >parte dos switchs e AP já suportam pois é um padrão IEEE).
> > >
> > >  Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a
> > autorização
> > >de acesso a rede ficaria por responsabilidade dos switchs e do AP que
>
> > >liberaria este acesso mediante apenas uma autenticação positiva do
> > >RADIUS (caso contrario, porta do switch fica down, no caso do ap o
> > >acesso não é permitido/roteado).
> > >
> > >  Caso tua infra seja de switchs/ap cisco tu pode ate implementar
> > > VLAN
> > Guest
> > >(uma rede a parte para que os usuarios não autenticados acessem com
> > >mais restrições), pois outras tecnologias não implementão ainda esta
> > >feature.
> > >
> > >  Da para fazer algumas coisas mais legais do tipo uma
> > >"semi-police-compliance" nos pcs antes de acessarem a rede em vlan
> > >guest e/ou quarentena, verificando se a maquina esta infectada com
> > >algum virus, patchs atualizados, etc etc etc (isso envolve
> > >desenvolvimento),
> > desenvolver
> > >alguma integração com o NAC (Network Admission Center) da Cisco (caso
> > seja
> > >ambiente cisco), entre outras cositas mais... :)
> > >
> > >  Resumindo, vc tem accounting, autorização e autenticação feito pelo
> > Radius
> > >(em BSD), acredito que voce não va precisar que alguem autentique num
> > site
> > >sendo que o controle ja esta sendo feito diretamente na porta do
> > >switch
> > e/ou
> > >no AP, mas caso precise, o que voce pode fazer é o seguinte, criar
> > >uma
> > Vlan
> > >de quarentena para que os usuarios acessem teu site e se autentique,
> > >logo apos a autenticação, um script pode acessar o switch e trocar a
> > >porta de vlan para uma vlan de produção qualquer onde ele tenha
> > >acesso as
> > ferramentas
> > >de trabalho necessarias, isso envolveria um pouco de desenvolvimento!
> > >
> > >  Legal que o FreeBSD suporta trunk dot1q (802.1q), portanto voce
> > >pode trabalhar ele para que seja um Firewall Subnetado fazendo com
> > >que todas
> > suas
> > >VLANs sejam roteadas atraves dele tendo o controle total da rede.
> > >
> > >  É isto...
> > >
> > >
> > >  Att,
> > >  Luiz Zanardo
> > >
> > >
> > >
> > >
> > >On 2/9/06, Christopher Giese - iRapida Telecom <chris em irapida.com.br>
> > wrote:
> > >>
> > >> Bom dia Senhores......
> > >>
> > >> estou iniciando algumas pesquisas para implementacao de um
> > projeto......
> > >> e gostaria de saber se alguem ai ja trabalhou com algo parecido
> > >>
> > >> A ideia seria o seguinte.....
> > >>
> > >> Micros (clientes windows)....... com seus ips....... que possuem em
>
> > >> algum lugar (nao necessariamente o next-hope) um Gateway
> > >> FreeBSD...... Isto nao numa rede Wireless... e sim num rede
> > >> interna.... de empresa mesmo......
> > >>
> > >> A ideia eh que o micros windows (usuarios)  quando forem usufruir
> > >> da rede..... precisem se logar via WEB.... ai o firewall libera a
> > >> conexao para tais ips (isto baseado em algum banco de dados ou algo
>
> > >> do genero).......... e se nao se logar..... nao acessa nada
> > >>
> > >> nao me refiro apenas a proxy.... (a ideia eh nao ter proxy
> > >> mesmo)..... me refiro a um mero metodo de autenticacao... que
> > >> avalia se o usuario pode ou nao usar o sistema... e ai libera
> > >> conexoes de firewall (em
> > todas
> > >> as portas)....
> > >>
> > >> alguem ai ja utilizou algo assim para uma rede interna ???? alguma
> > >> dica ?????
> > >>
> > >> houvi falar no nocat..... mas o que li foi para linux... e para
> > >> wifi.........
> > >>
> > >> alguma experiencia ????
> > >>
> > >> falou ae
> > >>
> > >> --
> > >> []´s
> > >> Christopher Giese
> > >> System Network Security Administrator - iRapida Telecom
> > >> chris em irapida.com.br - +55 44 36194444
> > >>
> > >> "O futuro nada mais é que sonhos, projetos, esperanças que só serão
>
> > >> possíveis se o hoje assim decidir. Nada mais temos neste mundo
> > >> senão o exatamente agora."
> > >>
> > >>
> > >> _______________________________________________
> > >> freebsd mailing list
> > >> freebsd em fug.com.br
> > >> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
> > >>
> > >_______________________________________________
> > >freebsd mailing list
> > >freebsd em fug.com.br
> > >http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.b
> > _______________________________________________
> > freebsd mailing list
> > freebsd em fug.com.br
> > http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
> >
> _______________________________________________
> freebsd mailing list
> freebsd em fug.com.br
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>
>
>
> _______________________________________________________
> Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador
> agora! http://br.acesso.yahoo.com
> _______________________________________________
> freebsd mailing list
> freebsd em fug.com.br
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>
> _______________________________________________
> freebsd mailing list
> freebsd em fug.com.br
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>
_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br



Mais detalhes sobre a lista de discussão freebsd