[GTER] PPPoE para redes de acesso via rádio

Adriano Struck - TPA adrianos at tpa.com.br
Thu Aug 15 16:39:42 -03 2013


Mais alguns fatos sobre a descentralização:

- quebrar redes gera desperdício de recursos IP, pedir mais IP's está cada
vez mais difícil devido a escassez;
- aumenta a complexidade, visto que aumenta o número de roteadores a serem
gerenciados;
- qualquer ataque DDoS direcionado a um cliente vai parar o caminho até
esse cliente, devido a pouca capacidade do path.

Como você falou em "segurança", atente-se a última opção. Se não teve
nenhum DDoS na vida é porque tens sorte, hehehe.

att.

Adriano Struck
Gerente de Redes - TPA Internet
E-mail: adrianos at tpa.com.br
(47) 3036-5300
http://www.tpa.com.br



Em 14 de agosto de 2013 16:22, Otavio Augusto <otavioti at gmail.com> escreveu:

> @adriano
> Quanto aos IPs vc pode ter uma rede roteada com classes quebradas, se
> estiver esgotando os ips vc pode pedir mais pro Nic.BR, O fato de usar
> ips em roteamento justifica o pedido junto ao Nic.BR
> Quanto ao uso de caixas pode ser mas eu usaria a caixa em redes onde o
> usuário é cabeado e no NÓ principal  (provavelmente o datacenter).
> Outra coisa que deve ser levado em consideração é a topologia da rede.
> No meu caso específico a saida do link é lado oposto do meu
> datacenter. Colocar o concentrador no ponto de saída do link é ruim
> pois é um lugar ermo coloco o mínimo de equipamento lá e trazer o
> tráfego de todo mundo para o datacenter fica muito caro.
> Quanto a gerenciar os servidores o radius que reponde todas as
> configurações para cada concentrador, então as configs dos
> concentradores, no meu caso MK, é mínima e não armazenam nada do
> usuário.
> Mas como existem várias maneiras de se fazer a mesma coisa , e isto é
> bom, cada um faz da maneira que achar melhor e mais seguro
> para a qualidade do serviço de acordo com suas condições e
> necessidades é legal ver o seu ponto de vista pois abre mais opções
> para todos na hora de projetar uma rede nova :)
>
> @Raimundo
> O PPPOE em si não traz segurança para usa rede com relação a acesso
> indevidos e garantia de privacidade do cliente.
> Em redes sem fio todos sabemos de WiFi é bem fácil de penetrar podendo
> um cliente seu ter seu trafego capturado por terceiros ou faciltando a
> entrada de usuários piratas.
> Usar chaves de criptografia WPA2 faz aumenta em muito a segurança da
> rede. E checar as chaves dos usuário por radius é uma ótima opção pois
> vc não teria uma única chave que poderia cair nas mão de alguém mal
> intencionado.
> Algumas pessoas acham que por PPPOE resolve os problemas de segurança,
> mas estão enganados pois mesmo criptografado ele traz segurança baixa.
> PPPOE é ótimo para gerenciamento de usuários mas fraco em segurança.
> Independente de sua estratégia ser centralizada ou não com PPPOE ou
> não, pense em implantar uma solução de segurança robusta ao meio
> físico, no nosso caso o ar.
>
> Sobre WPA com radius vc pode começar por aqui :
> http://www.smallnetbuilder.com/content/view/30210/98/
>
> Em 14 de agosto de 2013 15:25, Raimundo Santos <raimundo at w1.com.br>
> escreveu:
> > @clecio:
> >
> > Rapaz, muito obrigado pelas dicas! Aqui usamos Ubiquity e Mikrotik, nada
> > além disso (talvez uma ou outra exceção). Creio que não terei problemas
> > então quando for tentar. Trabalhamos com quase tudo a 5.8GHz.
> >
> > @otavio:
> >
> > Legal teu case, Otavio, e como já temos RouterBOARDs rodando na maioria
> dos
> > APs, a ideia de descentralizar fica simples. Porém pretendo implementar
> - e
> > já estou no caminho! - redundância de máquinas que servirão o PPPoE, e
> > pensei que, sendo a rede giga interna ao CPD, e essas máquinas
> conversando
> > com os APs via VLANs, o problema de descentralizar não seja tão relevante
> > assim.
> >
> > Não entendi muito bem seu último parágrafo. Eis o que entendi: devo usar
> > uma chave WPA2 para cada cliente, independente da autenticação feita por
> > PPPoE?
> >
> >
> > []s!
> >
> >
> > 2013/8/13 Otavio Augusto <otavioti at gmail.com>
> >
> >> Tenho provedores parceiros com PPPOE a uns 10 anos. E funciona muito
> bem.
> >> O maior benefício é o gerenciamento via radius.
> >> Dica use uma solução distribuída ao invés da centralizada.
> >> Tenho no mínimo um concentrador PPPOE em cada torre, uso mikrotik pela
> >> facilidade, o concentrador que tem mais clientes conectados tem 40
> >> sessões.
> >> Já usei rp-pppoe com linux lá no inicio mas o problema é que tinha que
> >> ficar centralizado e ficava inviável por uma máquina em cada torre (
> >> Até tentei mas a manutenção ficava alta).
> >> As desvantagens do PPPOE é que o link com o cliente tem que ficar
> >> muito bom senão fica desconectando mas até incentiva vc a ter sempre o
> >> melhor serviço e achar problemas em um POP.
> >> O Problema do FreeBSD + MPD é o mesmo do linux vc vai ter que
> >> centralizar as conexões e pode deixar a rede mais complexa e criar um
> >> ponto único de falha.
> >> Vá de uma solução distribuída que a sua experiencia com o PPPOE será
> >> melhor.
> >> Com relação a segurança o não deixe para o PPPOE e sim para o enlace
> >> físico usando cryptografias WPA2 uma para cada usuário autenticada
> >> pelo radius.
> >>
> >>
> >>
> >>
> >> Em 12 de agosto de 2013 11:22, Raimundo Santos <raimundo at w1.com.br>
> >> escreveu:
> >> > Bom dia lista!
> >> >
> >> > Meu debut acontece aqui perguntando: qual a implicação, quais os prós
> e
> >> > contras (
> http://en.wikipedia.org/wiki/The_Pros_and_Cons_of_Hitch_Hiking-
> >> > citação graças a TDAH) de uso de um esquema PPPoE para autenticar
> >> clientes
> >> > numa rede de rádios?
> >> >
> >> > Alguém já fez isso com sucesso? Conheço dois exemplos de provedores
> que
> >> > desistiram, porém nenhum deles soube me informar o motivo para isso.
> >> Creio
> >> > que foi falta de massa crítica para gerenciamento.
> >> >
> >> > Pretendo implementar MPD5 + FreeRADIUS, devido ao baixo custo e minha
> >> > familiaridade com FreeBSD.
> >> >
> >> > Alguma outra sugestão?
> >> >
> >> > Muito obrigado!
> >> >
> >> > Raimundo Santos
> >> > --
> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> >>
> >>
> >> --
> >> Otavio Augusto
> >> ---------------------
> >> Consultor de TI
> >> Citius Tecnologia
> >> 31 37761866
> >> 31 88651242
> >> http://www.citiustecnologia.com.br
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
>
> --
> Otavio Augusto
> ---------------------
> Consultor de TI
> Citius Tecnologia
> 31 37761866
> 31 88651242
> http://www.citiustecnologia.com.br
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list