[FUG-BR] RES: Projeto Autenticacao via web para Utilizacao da Rede

Fabrício Fadel Kammer ffkammer em conchalnet.com.br
Seg Fev 20 16:28:27 BRT 2006 

Boa tarde Luiz Gustavo,

Estou desenvolvendo uma solução própria para isto... já está até
funcionando em critérios de teste.

Estou trabalhando com uma página PHP para autenticação de usuário e
shell script para checagem de timeout das regras IPFW.

Criei uma regra que por padrão redireciona todo o tráfego de meus
clientes para a página de autenticação e após o usuário logar eu crio 5
regras:
1 regra de count para fazer o account do download do cliente;
1 regra de count para fazer o account do upload do cliente;
1 regra de proxy transparente para o cliente;
1 regra permitindo todo o tráfego do IP do cliente para a net;
1 regra permitindo todo o tráfego da net para o IP do cliente;

Conforme eu for evoluindo nos testes posto os resultados na lista

[]s

Fabrício F. Kammer


-----Mensagem original-----
De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
nome de Luiz Gustavo Santos Costa
Enviada em: segunda-feira, 13 de fevereiro de 2006 12:26
Para: Lista de discussao sobre FreeBSD
Assunto: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da
Rede


Edison,

To escrevendo essa ideia num tutorial, se puder ajudar :)

http://wiki.luizgustavo.pro.br/doku.php?id=artigos_geral:captive_portal

Abrçs,

Luiz Gustavo - http://www.luizgustavo.pro.br

Em 13/02/06, yahhoo<eds_perdido em yahoo.com.br> escreveu:
> Fiz isso com php,uma interface web que cria uma regra do firewall, qdo

> o usuario se conecta desvio as portas pra um apache numa porta x 
> aberta com a pagina de autenticacao, dai eh so criar a regra, to 
> usando mysql num servidor central, funciona muito bem.
>
> Tks
>
> Edison
>
> ----- Original Message -----
> From: "Luiz Zanardo" <lzanardo em gmail.com>
> To: "Lista de discussao sobre FreeBSD" <freebsd em fug.com.br>
> Sent: Saturday, February 11, 2006 1:25 PM
> Subject: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da 
> Rede
>
>
>   Custo com o q ?
>
>   Switchs e AP voce ja possui (senao vc nao vai ter a rede, heehe), o 
> unico custo seria do servidor p/ BSD e o tempo para configuracao...
>
>   Falei de cisco pq o IOS faz algumas coisas q os outros switchs 
> (3com, extreme, alcatel, entre outros) nao fazem (vlan guest, por 
> exemplo), mas o 802.1X puro hoje em dia quase todos switches possuem, 
> os APs posuem sem duvida.
>
>   O Nocat-gateway e muito bom, mas nao resolve o problema do Giese por

> completo pois pelo q entendi ele quer fazer isso em uma lan seja 
> wireless ou wired, portanto o controle deve ser feito no switch e no 
> AP diretamente pois e a unica forma de permitir ou nao que o acesso a 
> rede seja feito de forma efetiva, caso contrario, o usuario ja estaria

> na rede antes mesmo da autenticacao em uma rede local (estou falando 
> de LAN, nao wan como alguns estao citando), na WAN nada melhor que o 
> PPPOE + NOCAT.
>
>   Giese, tu pretende fazer isso na LAN ou na WAN???
>
>
>   Att,
>   Luiz Zanardo
>
>
> On 2/11/06, thiago em imbituba.sc.gov.br <thiago em imbituba.sc.gov.br> 
> wrote:
> >
> > Essa soluçao concerteza é das boas, soh que o custo dela é muito 
> > elevado. Uma das alternativas poderia ser usar PPP over Ethernet, ou

> > entao, o nocat.
> >
> > Creio eu que o nocat funciona assim:
> >
> > O nocat-gateway fica junto na maquina com o apache, e o nocat-auth 
> > eh o cara q brinca com a autenticacao (logicamente). O ports tem um 
> > break que nao permite instalar o gateway e o auth na mesma maquina, 
> > entao assim, compile na mao mesmo, ou edite o Makefile. Pode ser 
> > feita autenticacao em SQL, radius, um monte de coisa.
> >
> > Enfim,  vi README
> >
> > Best regards!
> >
> > Em 10/2/2006, "Luiz Zanardo" <lzanardo em gmail.com> escreveu:
> >
> > >  Christopher,
> > >
> > >  Porque tu não usa dot1x (802.1X) ?
> > >
> > >  Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia

> > > uma
> > boa
> > >parte dos switchs e AP já suportam pois é um padrão IEEE).
> > >
> > >  Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a
> > autorização
> > >de acesso a rede ficaria por responsabilidade dos switchs e do AP 
> > >que liberaria este acesso mediante apenas uma autenticação positiva

> > >do RADIUS (caso contrario, porta do switch fica down, no caso do ap

> > >o acesso não é permitido/roteado).
> > >
> > >  Caso tua infra seja de switchs/ap cisco tu pode ate implementar 
> > > VLAN
> > Guest
> > >(uma rede a parte para que os usuarios não autenticados acessem com

> > >mais restrições), pois outras tecnologias não implementão ainda 
> > >esta feature.
> > >
> > >  Da para fazer algumas coisas mais legais do tipo uma 
> > >"semi-police-compliance" nos pcs antes de acessarem a rede em vlan 
> > >guest e/ou quarentena, verificando se a maquina esta infectada com 
> > >algum virus, patchs atualizados, etc etc etc (isso envolve 
> > >desenvolvimento),
> > desenvolver
> > >alguma integração com o NAC (Network Admission Center) da Cisco 
> > >(caso
> > seja
> > >ambiente cisco), entre outras cositas mais... :)
> > >
> > >  Resumindo, vc tem accounting, autorização e autenticação feito 
> > > pelo
> > Radius
> > >(em BSD), acredito que voce não va precisar que alguem autentique 
> > >num
> > site
> > >sendo que o controle ja esta sendo feito diretamente na porta do 
> > >switch
> > e/ou
> > >no AP, mas caso precise, o que voce pode fazer é o seguinte, criar 
> > >uma
> > Vlan
> > >de quarentena para que os usuarios acessem teu site e se 
> > >autentique, logo apos a autenticação, um script pode acessar o 
> > >switch e trocar a porta de vlan para uma vlan de produção qualquer 
> > >onde ele tenha acesso as
> > ferramentas
> > >de trabalho necessarias, isso envolveria um pouco de 
> > >desenvolvimento!
> > >
> > >  Legal que o FreeBSD suporta trunk dot1q (802.1q), portanto voce 
> > >pode trabalhar ele para que seja um Firewall Subnetado fazendo com 
> > >que todas
> > suas
> > >VLANs sejam roteadas atraves dele tendo o controle total da rede.
> > >
> > >  É isto...
> > >
> > >
> > >  Att,
> > >  Luiz Zanardo
> > >
> > >
> > >
> > >
> > >On 2/9/06, Christopher Giese - iRapida Telecom 
> > ><chris em irapida.com.br>
> > wrote:
> > >>
> > >> Bom dia Senhores......
> > >>
> > >> estou iniciando algumas pesquisas para implementacao de um
> > projeto......
> > >> e gostaria de saber se alguem ai ja trabalhou com algo parecido
> > >>
> > >> A ideia seria o seguinte.....
> > >>
> > >> Micros (clientes windows)....... com seus ips....... que possuem 
> > >> em algum lugar (nao necessariamente o next-hope) um Gateway 
> > >> FreeBSD...... Isto nao numa rede Wireless... e sim num rede 
> > >> interna.... de empresa mesmo......
> > >>
> > >> A ideia eh que o micros windows (usuarios)  quando forem usufruir

> > >> da rede..... precisem se logar via WEB.... ai o firewall libera a

> > >> conexao para tais ips (isto baseado em algum banco de dados ou 
> > >> algo do genero).......... e se nao se logar..... nao acessa nada
> > >>
> > >> nao me refiro apenas a proxy.... (a ideia eh nao ter proxy 
> > >> mesmo)..... me refiro a um mero metodo de autenticacao... que 
> > >> avalia se o usuario pode ou nao usar o sistema... e ai libera 
> > >> conexoes de firewall (em
> > todas
> > >> as portas)....
> > >>
> > >> alguem ai ja utilizou algo assim para uma rede interna ???? 
> > >> alguma dica ?????
> > >>
> > >> houvi falar no nocat..... mas o que li foi para linux... e para 
> > >> wifi.........
> > >>
> > >> alguma experiencia ????
> > >>
> > >> falou ae
> > >>
> > >> --
> > >> []´s
> > >> Christopher Giese
> > >> System Network Security Administrator - iRapida Telecom 
> > >> chris em irapida.com.br - +55 44 36194444
> > >>
> > >> "O futuro nada mais é que sonhos, projetos, esperanças que só 
> > >> serão possíveis se o hoje assim decidir. Nada mais temos neste 
> > >> mundo senão o exatamente agora."
> > >>
> > >>
> > >> _______________________________________________
> > >> freebsd mailing list
> > >> freebsd em fug.com.br 
> > >> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
> > >>
> > >_______________________________________________
> > >freebsd mailing list
> > >freebsd em fug.com.br 
> > >http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.b
> > _______________________________________________
> > freebsd mailing list
> > freebsd em fug.com.br 
> > http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
> >
> _______________________________________________
> freebsd mailing list
> freebsd em fug.com.br 
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>
>
>
> _______________________________________________________
> Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador 
> agora! http://br.acesso.yahoo.com 
> _______________________________________________
> freebsd mailing list
> freebsd em fug.com.br 
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>
_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br

_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br

Mais detalhes sobre a lista de discussão freebsd