[MASOCH-L] Segurança em Provedor WISP

Eduardo de O. Hernandes tuxstrike at gmail.com
Sun Apr 2 09:30:59 BRT 2006


Em Dom, 2006-04-02 às 11:56 -0300, Rubens Kuhl Jr. escreveu:
> > Certo, essa seria uma solução utilizando VPN (IPsec), entao eu teria q
> > alterar confs em todos os clientes, certo ?
> 
> Sim, teria. Além de instalar algum cliente IPSec nos clientes, ou
> utilizar algum que eles já tenham, como o que vem no WinXP (apesar de
> que este tem limitações que acabam tornando prático apenas usar IPSec
> como parte de uma solução de L2TP).

Interessante, mas neste teria q ver pq deve haver cerca de 260 clientes
em um link e mais 200 em outro link (cidades diferentes)

> 
> > Outra coisa, o pessoal nao gosta de utilizar WEP/WAP pq diz q dá
> > sobrecarga e fica um pouco mais lento, talvez pode ate ser, mas acho q
> > isto esta relacionado a qtd de users nos aps, estou certo ?
> 
> Está relacionado à quantidade de tráfego. Atualmente um único usuário
> pode gerar muito tráfego: VoIP, P2P, worms...

Certo, neste caso vamos fazer controle de banda (CBQ) mas tb estou vendo
algo com HTB...mas como vc disse o trafego ainda passaria pelos APs,
entao teria q fazer o controle nos APs tambem certo ? ...minha ideia era
tenta centraliza isso

> 
> > Neste caso, Ipsec não ira gera um overhead ? como no caso acima, se bem
> > q sao coisa diferentes, authxcriptografia....
> 
> Não em cima do AP, pois a criptografia é fim-a-fim. Há overhead no
> cliente, que os processadores de 1GHz+ tiram de letra; há overhead no
> canal de rádio, mas ele tipicamente não é um limitante e sim o canal
> para a Internet; há overhead no terminador dos túneis, mas que pode
> ser construído com um processador 3GHz+ a custos razoáveis.

Bom estou montando a maquina com Debian Sarge, num P4 3 Ghz (nao HT) - 1
GB RAM - 80 GB IDE (mais pra frente vai ser SCSI)...sera q da conta de
260 VPNs IPsec tipo AH, como disse abaixo (pelo menos para
autenticacao).. ?

Teria outra distro ou sistema para recomendar :) ?

> 
> Criptografia é um mecanismo tanto de sigilo quanto de autenticação. Se
> não há uma demanda de sigilo, você pode usar IPSec AH ao invés de
> IPSec ESP, que não irá criptografar os dados transmitidos mas ira
> garantir que veio de um certo cliente ou do seu terminador dos túneis.
> Isso pode reduzir o overhead de processamento nas pontas.
> 
> 
> Rubens
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l



More information about the masoch-l mailing list