[GTER] Controle de acesso (era: Duvida elementar sobre PPPoE)

Osvaldo T Crispim Filho osvaldotcf at gmail.com
Sat Mar 28 19:59:25 -03 2015 

Desde a manhã de hoje estou pesquisando isto.

Não se trata mais de usar ou não PPPoE, mas de gerar informação sobre/com
os dispositivos mais ativos no mercado de pequenos e médios Provedores de
Acesso para se ter uma opção ao PPPoE. Isto daria um excelente artigo!

Até agora o que estou vendo é:
- Freeradius (inclusive servidor DHCP: FR V3),
- Mikrotik como RELAY DHCP e Autenticação por MAC (?) nas portas LAN para
controle de Banda e geração de Log com o Interim Updates
- WPA2-EAP nos Rádios dos clientes.

Como os IPs estarão nos rádios os mesmos também poderiam mandar o Interim
Update, nos Ubiquiti dá certo, para acounting/log.

Esse assunto tá bem interessante e com a ajuda de todo mundo pode tornar-se
enriquecedor e talvez traga uma mudança de paradigma.



Em 28 de março de 2015 19:12, Rubens Kuhl <rubensk at gmail.com> escreveu:

> 2015-03-28 19:00 GMT-03:00 Raimundo Santos <raitech at gmail.com>:
>
> > 2015-03-28 18:17 GMT-03:00 Rubens Kuhl <rubensk at gmail.com>:
> >
> > > Para o caso de rádios de uso múltiplo, além do controle de ingresso da
> > rede
> > > wireless (que sim tem no WPA2-Enterprise uma boa opção), dentro do
> prédio
> > > você precisa de um controle de ingresso na rede. Aí o 802.1x se torna
> uma
> > > boa opção local; como tipicamente se faz 802.1x também com servidor
> > RADIUS
> > > usando também o protocolo EAP, é só colocar mais objetos apropriados
> lá.
> > >
> >
> > Sim, um switch com essa funcionalidade seria fantástico.
>
>
> Tem vários switches bem baratos com 802.1x. Quando pesquisei, se fossemos
> adotar isso, usaríamos o Netgear de 8 portas.
>
>
> > Porém, começa a
> > fazer o custo de manter o local maior, tornando menos competitivo ainda
> ter
> > tais tipos de cliente. Também tem a necessidade de maior segurança para
> > esses equipamentos, como pequenos gabinetes/racks e/ou um lugar especial
> > para colocar tudo. Isso a maioria desses condomínios não tem condições de
> > oferecer - nem mesmo um espaço para equipamentos. (Em alguns, mal se
> > consegue passar cabos, mesmo os prédios sendo novos.)
> >
>
> Essa necessidade de segurança de equipamentos acontece com qualquer
> tecnologia.
>
>
>
> > >  802.1x é suportado diretamente por sistemas operacionais desde o já
> > finado
> > > Windows XP...
> > >
> >
> > A configuração mais comum hoje em dia é um roteador bem simples na
> chegada
> > do link no cliente, e esse equipamento não tem ideia do que é 802.1x na
> > porta WAN. Na minha humilde opinião, isso é muito triste e deixa de lado
> > uma solução muito mais interessante e menos custosa.
> >
>
> Pq ao entregar um único cabo, a necessidade do usuário não está sendo
> atendida. Se ao invés de entregar um cabo, se colocar um AP com
> WPA2-Enterprise para fazer 802.1x/EAP na casa do cliente e se atribuir 1 a
> 3 certificados para uso local,
>
> E mais: o suporte fica um pouco mais complicado (inevitavelmente, mais
> > caro), seja com PPPoE ou com 802.1x, principalmente no MS Windows, onde
> as
> > telas para essas configurações são infinitas e confusas. E já que é o SO
> > mais usado...  :(
> >
> >
> Então aqui entra uma análise de custo-benefício, na qual para o cenário de
> acesso predial o menor custo é colocar DHCP com autorização por MAC. Se
> alguém de outro apartamento clonar o MAC pegar o acesso, o daquele usuário
> que foi clonado vai ter problemas e ele vai ligar reclamando...
>
>
> Rubens
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
             - Osvaldo T Crispim Filho -

More information about the gter mailing list