[GTER] Controle de acesso (era: Duvida elementar sobre PPPoE)
Rubens Kuhl
rubensk at gmail.com
Sat Mar 28 18:17:01 -03 2015
>
>
> 2015-03-28 11:30 GMT-03:00 Rubens Kuhl <rubensk at gmail.com>:
>
> > Para AP/Router WPA2-Enterprise é algo mais factível por causa da questão
> de
> > porta compartilhada e é já bastante usado por provedores wireless.
> > 802.1X-2010+MACSEC seria necessário para porta compartilhada.
> >
>
> Porta compartilhada?
>
>
O cenário normal do 802.1x é que o switch onde o usuário está conectado já
negocie autenticação; se o usuário tem um rádio no meio, e o AP não faz ele
mesmo 802.1x, então vários usuários chegam por uma mesma porta. Por isso a
questão de porta compartilhada, onde a solução 802.1x por muito tempo nem
foi viável e mesmo hoje é bem enroscada.
>
> > > Por outro lado, é bem dificil encontrar um AP/Router que não seja
> > > compativel com PPPOE, assim se você vai usar para autenticação de
> massa,
> > > precisa ser um produto que o cliente final ache facil no mercado.
> > >
> >
> > WPA2 Enterprise é suportado em Mikrotik, UBNT e Intelbrás...
> >
>
> Mas com isso o que se garante é que o rádio não entre na rede (ou que só os
> permitidos entrem).
Cada rádio cliente tem um certificado distinto, e a criptografia envolvida
permite que a negociação dessa conexão possa ser feito mesmo que alguém
esteja escutando a conversa e nem assim consiga impersonificar o usuário
remoto. É bem parecido com o que se faz em TLS.
O AP envia o certificado apresentado pelo rádio a um servidor RADIUS, esse
servidor dá OK/não OK e o ingresso do rádio na célula é liberado/negado.
Um caso muito comum aqui no meu cliente (um pequeno
> WISP) é um único rádio que atende clientes em condomínios. Como controlar o
> acesso de cada um dos clientes sob esse rádio através do WPA2-Enterprise ou
> mesmo via 802.1X?
>
Para o caso de rádios de uso múltiplo, além do controle de ingresso da rede
wireless (que sim tem no WPA2-Enterprise uma boa opção), dentro do prédio
você precisa de um controle de ingresso na rede. Aí o 802.1x se torna uma
boa opção local; como tipicamente se faz 802.1x também com servidor RADIUS
usando também o protocolo EAP, é só colocar mais objetos apropriados lá.
> Concordo com o Rubens Schner: é muito fácil (e barato pra todos) encontrar
> equipamentos compatíveis com PPPoE, e nesse caso de um rádio servindo mais
> de um cliente, é comum que esses clientes tenham cada um um roteador que
> não tenha nada de 802.1X no cabo (talvez na parte de rádio sim, mas ele
> normalmente vai estar no modo AP na rede do cliente).
>
802.1x é suportado diretamente por sistemas operacionais desde o já finado
Windows XP...
Rubens
More information about the gter
mailing list