Re: [MASOCH-L] Segurança em Provedor WISP

Rubens Marins rubens.marins at gmail.com
Sun Apr 2 16:23:47 BRT 2006


Eu trabalho para um provedor wireless, hoje temos mais de 5000
clientes em varias cidades ( + de 400 km2 de cobertura tudo
interligado como uma rede só), a solucão com IPsec e o santo graal de
segurança e autenticação, mas ela traz problemas, como complexa
reconfiguração de clientes e uma coisa a mais para voce manter no ar e
dar suporte para os clientes.

Quando eu comecei a fazer autenticação fiz testes  com l2tp e pptp,
mas o problema é que isto precisava ler a senha em texto puro, e eu
pretendia usar o usuarios e senha do email do cliente, que estava em
crypto, e nao queria estar lendo as senhas e convertento e talz, alem
do fato de eu precisar montar uma mega campanha para ajudar os
usuarios a reconfigurar os computadores instalando clientes de vpn
neles.

PPPOE é interessante, mas eu gostaria de ter algo autenticando na
borda da rede ( proximo do meu gw para a net) e pppoe precisa
autenticar em cada repetidor ( eu possuo mais de 100 hoje) , alem
disso durante os testes não foi aquela maravilha. Mas como voce tem
uma rede bem menor pode ser uma boa saida para voce.

O que eu acabei implementando foi uma solucao baseada no NoCat, com
modificacoes proprias para nossa rede. Eu tenho controle por MAC+IP em
cada ponto de acesso, e alem disso a autenticacao na borda no estilo
do NoCat. Se alguem pegar o MAC de alguem precisara tambem da senha
dele para navegar. Eu implementei evitando dois logins simultaneos e
os logons expiram todas  as madrugadas. Esta funcionando muito bem.
Coloquei tambem uma politica obrigando os usuarios a trocar de senha a
cada 6 meses.

Se for usar NoCat recomento que faca sobre https e use um certificado
com certificacao externa ( a la verising) para evitar que alguem se
passe pelo seu servidor de autenticacao.




--
Rubens Marins
Administrador de Sistemas
rubens.marins at gmail dot com


More information about the masoch-l mailing list