[GTER] PPPoE para redes de acesso via rádio
Leonardo Silva
leonardosilva at gmail.com
Fri Aug 16 22:43:30 -03 2013
Adriano,
O que vc esta usando para autenticar essas 12 mil sessoes ? Juniper MX5 ?
[]'s
Em 15 de agosto de 2013 16:39, Adriano Struck - TPA
<adrianos at tpa.com.br>escreveu:
> Mais alguns fatos sobre a descentralização:
>
> - quebrar redes gera desperdício de recursos IP, pedir mais IP's está cada
> vez mais difícil devido a escassez;
> - aumenta a complexidade, visto que aumenta o número de roteadores a serem
> gerenciados;
> - qualquer ataque DDoS direcionado a um cliente vai parar o caminho até
> esse cliente, devido a pouca capacidade do path.
>
> Como você falou em "segurança", atente-se a última opção. Se não teve
> nenhum DDoS na vida é porque tens sorte, hehehe.
>
> att.
>
> Adriano Struck
> Gerente de Redes - TPA Internet
> E-mail: adrianos at tpa.com.br
> (47) 3036-5300
> http://www.tpa.com.br
>
>
>
> Em 14 de agosto de 2013 16:22, Otavio Augusto <otavioti at gmail.com>
> escreveu:
>
> > @adriano
> > Quanto aos IPs vc pode ter uma rede roteada com classes quebradas, se
> > estiver esgotando os ips vc pode pedir mais pro Nic.BR, O fato de usar
> > ips em roteamento justifica o pedido junto ao Nic.BR
> > Quanto ao uso de caixas pode ser mas eu usaria a caixa em redes onde o
> > usuário é cabeado e no NÓ principal (provavelmente o datacenter).
> > Outra coisa que deve ser levado em consideração é a topologia da rede.
> > No meu caso específico a saida do link é lado oposto do meu
> > datacenter. Colocar o concentrador no ponto de saída do link é ruim
> > pois é um lugar ermo coloco o mínimo de equipamento lá e trazer o
> > tráfego de todo mundo para o datacenter fica muito caro.
> > Quanto a gerenciar os servidores o radius que reponde todas as
> > configurações para cada concentrador, então as configs dos
> > concentradores, no meu caso MK, é mínima e não armazenam nada do
> > usuário.
> > Mas como existem várias maneiras de se fazer a mesma coisa , e isto é
> > bom, cada um faz da maneira que achar melhor e mais seguro
> > para a qualidade do serviço de acordo com suas condições e
> > necessidades é legal ver o seu ponto de vista pois abre mais opções
> > para todos na hora de projetar uma rede nova :)
> >
> > @Raimundo
> > O PPPOE em si não traz segurança para usa rede com relação a acesso
> > indevidos e garantia de privacidade do cliente.
> > Em redes sem fio todos sabemos de WiFi é bem fácil de penetrar podendo
> > um cliente seu ter seu trafego capturado por terceiros ou faciltando a
> > entrada de usuários piratas.
> > Usar chaves de criptografia WPA2 faz aumenta em muito a segurança da
> > rede. E checar as chaves dos usuário por radius é uma ótima opção pois
> > vc não teria uma única chave que poderia cair nas mão de alguém mal
> > intencionado.
> > Algumas pessoas acham que por PPPOE resolve os problemas de segurança,
> > mas estão enganados pois mesmo criptografado ele traz segurança baixa.
> > PPPOE é ótimo para gerenciamento de usuários mas fraco em segurança.
> > Independente de sua estratégia ser centralizada ou não com PPPOE ou
> > não, pense em implantar uma solução de segurança robusta ao meio
> > físico, no nosso caso o ar.
> >
> > Sobre WPA com radius vc pode começar por aqui :
> > http://www.smallnetbuilder.com/content/view/30210/98/
> >
> > Em 14 de agosto de 2013 15:25, Raimundo Santos <raimundo at w1.com.br>
> > escreveu:
> > > @clecio:
> > >
> > > Rapaz, muito obrigado pelas dicas! Aqui usamos Ubiquity e Mikrotik,
> nada
> > > além disso (talvez uma ou outra exceção). Creio que não terei problemas
> > > então quando for tentar. Trabalhamos com quase tudo a 5.8GHz.
> > >
> > > @otavio:
> > >
> > > Legal teu case, Otavio, e como já temos RouterBOARDs rodando na maioria
> > dos
> > > APs, a ideia de descentralizar fica simples. Porém pretendo implementar
> > - e
> > > já estou no caminho! - redundância de máquinas que servirão o PPPoE, e
> > > pensei que, sendo a rede giga interna ao CPD, e essas máquinas
> > conversando
> > > com os APs via VLANs, o problema de descentralizar não seja tão
> relevante
> > > assim.
> > >
> > > Não entendi muito bem seu último parágrafo. Eis o que entendi: devo
> usar
> > > uma chave WPA2 para cada cliente, independente da autenticação feita
> por
> > > PPPoE?
> > >
> > >
> > > []s!
> > >
> > >
> > > 2013/8/13 Otavio Augusto <otavioti at gmail.com>
> > >
> > >> Tenho provedores parceiros com PPPOE a uns 10 anos. E funciona muito
> > bem.
> > >> O maior benefício é o gerenciamento via radius.
> > >> Dica use uma solução distribuída ao invés da centralizada.
> > >> Tenho no mínimo um concentrador PPPOE em cada torre, uso mikrotik pela
> > >> facilidade, o concentrador que tem mais clientes conectados tem 40
> > >> sessões.
> > >> Já usei rp-pppoe com linux lá no inicio mas o problema é que tinha que
> > >> ficar centralizado e ficava inviável por uma máquina em cada torre (
> > >> Até tentei mas a manutenção ficava alta).
> > >> As desvantagens do PPPOE é que o link com o cliente tem que ficar
> > >> muito bom senão fica desconectando mas até incentiva vc a ter sempre o
> > >> melhor serviço e achar problemas em um POP.
> > >> O Problema do FreeBSD + MPD é o mesmo do linux vc vai ter que
> > >> centralizar as conexões e pode deixar a rede mais complexa e criar um
> > >> ponto único de falha.
> > >> Vá de uma solução distribuída que a sua experiencia com o PPPOE será
> > >> melhor.
> > >> Com relação a segurança o não deixe para o PPPOE e sim para o enlace
> > >> físico usando cryptografias WPA2 uma para cada usuário autenticada
> > >> pelo radius.
> > >>
> > >>
> > >>
> > >>
> > >> Em 12 de agosto de 2013 11:22, Raimundo Santos <raimundo at w1.com.br>
> > >> escreveu:
> > >> > Bom dia lista!
> > >> >
> > >> > Meu debut acontece aqui perguntando: qual a implicação, quais os
> prós
> > e
> > >> > contras (
> > http://en.wikipedia.org/wiki/The_Pros_and_Cons_of_Hitch_Hiking-
> > >> > citação graças a TDAH) de uso de um esquema PPPoE para autenticar
> > >> clientes
> > >> > numa rede de rádios?
> > >> >
> > >> > Alguém já fez isso com sucesso? Conheço dois exemplos de provedores
> > que
> > >> > desistiram, porém nenhum deles soube me informar o motivo para isso.
> > >> Creio
> > >> > que foi falta de massa crítica para gerenciamento.
> > >> >
> > >> > Pretendo implementar MPD5 + FreeRADIUS, devido ao baixo custo e
> minha
> > >> > familiaridade com FreeBSD.
> > >> >
> > >> > Alguma outra sugestão?
> > >> >
> > >> > Muito obrigado!
> > >> >
> > >> > Raimundo Santos
> > >> > --
> > >> > gter list https://eng.registro.br/mailman/listinfo/gter
> > >>
> > >>
> > >>
> > >> --
> > >> Otavio Augusto
> > >> ---------------------
> > >> Consultor de TI
> > >> Citius Tecnologia
> > >> 31 37761866
> > >> 31 88651242
> > >> http://www.citiustecnologia.com.br
> > >> --
> > >> gter list https://eng.registro.br/mailman/listinfo/gter
> > >>
> > > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> >
> >
> > --
> > Otavio Augusto
> > ---------------------
> > Consultor de TI
> > Citius Tecnologia
> > 31 37761866
> > 31 88651242
> > http://www.citiustecnologia.com.br
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Leonardo Silva
fone: 16 8143-1146
More information about the gter
mailing list