[MASOCH-L] Segurança em Provedor WISP

[Eduardo de O. Hernandes]

Em Dom, 2006-04-02 às 13:09 -0300, Rubens Kuhl Jr. escreveu:
> > > Sim, teria. Além de instalar algum cliente IPSec nos clientes, ou
> > > utilizar algum que eles já tenham, como o que vem no WinXP (apesar de
> > > que este tem limitações que acabam tornando prático apenas usar IPSec
> > > como parte de uma solução de L2TP).
> >
> > Interessante, mas neste teria q ver pq deve haver cerca de 260 clientes
> > em um link e mais 200 em outro link (cidades diferentes)
> 
> A questão de configuração dos clientes é provavelmente o maior
> problema a endereçar nesse caso, e o que tende a determinar a solução
> final adotada.
> 
> > > Está relacionado à quantidade de tráfego. Atualmente um único usuário
> > > pode gerar muito tráfego: VoIP, P2P, worms...
> >
> > Certo, neste caso vamos fazer controle de banda (CBQ) mas tb estou vendo
> > algo com HTB...mas como vc disse o trafego ainda passaria pelos APs,
> > entao teria q fazer o controle nos APs tambem certo ? ...minha ideia era
> > tenta centraliza isso
> 
> O tráfego passa pelos APs, mas ele só repassam para um lado ou outro,
> não analisem, processam, encriptam, decriptam... não há controle nos
> APs. A rede-rádio no caso é o "mundo selvagem".

OK
> 
> > > > Neste caso, Ipsec não ira gera um overhead ? como no caso acima, se bem
> > > > q sao coisa diferentes, authxcriptografia....
> > >
> > > Não em cima do AP, pois a criptografia é fim-a-fim. Há overhead no
> > > cliente, que os processadores de 1GHz+ tiram de letra; há overhead no
> > > canal de rádio, mas ele tipicamente não é um limitante e sim o canal
> > > para a Internet; há overhead no terminador dos túneis, mas que pode
> > > ser construído com um processador 3GHz+ a custos razoáveis.
> >
> > Bom estou montando a maquina com Debian Sarge, num P4 3 Ghz (nao HT) - 1
> > GB RAM - 80 GB IDE (mais pra frente vai ser SCSI)...sera q da conta de
> > 260 VPNs IPsec tipo AH, como disse abaixo (pelo menos para
> > autenticacao).. ?
> 
> Dá conta sim.
> 
> > Teria outra distro ou sistema para recomendar :) ?
> 
> Eu gosto de Debian, então dificilmente recomendaria outra... mas
> olhando mais genericamente, qualquer distribuição que permita troca de
> kernel de forma simples resolveria: Debian, Slackware, Gentoo.
> Distribuições alérgicas a troca de kernel como RedHat/Fedora/CentOS é
> que seriam desaconselhadas.

 hehhe foi o q imaginei, legal seria tb o Gentoo, pra ganhar
performance.. maravilha
> 
> Quanto a outro sistema, caso você opte por um tunelamento IPSEC+L2TP,
> os daemons de L2TP para Linux tem menor kilometragem que os de
> FreeBSD, por exemplo.

Certo, entao neste caso preciso aprender um pouco mais dobre L2TP...

Concluindo, para meu caso, esta solução seria a sua recomendação ? Voce
posui isso ja implementado ?

Em relaçao a radius/pppoe/nocat, vc nao aconselharia entao ?

Obrigado rubens, ate breve

> 
> 
> Rubens
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l