Re: [MASOCH-L] Segurança em Provedor WISP

Rubens Kuhl Jr. rubensk at gmail.com
Sun Apr 2 13:09:34 BRT 2006


> > Sim, teria. Além de instalar algum cliente IPSec nos clientes, ou
> > utilizar algum que eles já tenham, como o que vem no WinXP (apesar de
> > que este tem limitações que acabam tornando prático apenas usar IPSec
> > como parte de uma solução de L2TP).
>
> Interessante, mas neste teria q ver pq deve haver cerca de 260 clientes
> em um link e mais 200 em outro link (cidades diferentes)

A questão de configuração dos clientes é provavelmente o maior
problema a endereçar nesse caso, e o que tende a determinar a solução
final adotada.

> > Está relacionado à quantidade de tráfego. Atualmente um único usuário
> > pode gerar muito tráfego: VoIP, P2P, worms...
>
> Certo, neste caso vamos fazer controle de banda (CBQ) mas tb estou vendo
> algo com HTB...mas como vc disse o trafego ainda passaria pelos APs,
> entao teria q fazer o controle nos APs tambem certo ? ...minha ideia era
> tenta centraliza isso

O tráfego passa pelos APs, mas ele só repassam para um lado ou outro,
não analisem, processam, encriptam, decriptam... não há controle nos
APs. A rede-rádio no caso é o "mundo selvagem".

> > > Neste caso, Ipsec não ira gera um overhead ? como no caso acima, se bem
> > > q sao coisa diferentes, authxcriptografia....
> >
> > Não em cima do AP, pois a criptografia é fim-a-fim. Há overhead no
> > cliente, que os processadores de 1GHz+ tiram de letra; há overhead no
> > canal de rádio, mas ele tipicamente não é um limitante e sim o canal
> > para a Internet; há overhead no terminador dos túneis, mas que pode
> > ser construído com um processador 3GHz+ a custos razoáveis.
>
> Bom estou montando a maquina com Debian Sarge, num P4 3 Ghz (nao HT) - 1
> GB RAM - 80 GB IDE (mais pra frente vai ser SCSI)...sera q da conta de
> 260 VPNs IPsec tipo AH, como disse abaixo (pelo menos para
> autenticacao).. ?

Dá conta sim.

> Teria outra distro ou sistema para recomendar :) ?

Eu gosto de Debian, então dificilmente recomendaria outra... mas
olhando mais genericamente, qualquer distribuição que permita troca de
kernel de forma simples resolveria: Debian, Slackware, Gentoo.
Distribuições alérgicas a troca de kernel como RedHat/Fedora/CentOS é
que seriam desaconselhadas.

Quanto a outro sistema, caso você opte por um tunelamento IPSEC+L2TP,
os daemons de L2TP para Linux tem menor kilometragem que os de
FreeBSD, por exemplo.


Rubens


More information about the masoch-l mailing list