Re: [MASOCH-L] Segurança em Provedor WISP

[Rubens Kuhl Jr.]

> > Quanto a outro sistema, caso você opte por um tunelamento IPSEC+L2TP,
> > os daemons de L2TP para Linux tem menor kilometragem que os de
> > FreeBSD, por exemplo.
>
> Certo, entao neste caso preciso aprender um pouco mais dobre L2TP...
>
> Concluindo, para meu caso, esta solução seria a sua recomendação ? Voce
> posui isso ja implementado ?

O seu caso é um problema que ainda precisaria ser melhor caracterizado
para dar qualquer recomendação... por exemplo, saber quantos usuários
tem Win 95, Win 95 OSR 2, Win 98, Win 98 SE, Win Me, Win 2000, Win XP,
MacOS, Linux...

A implementação que eu acompanhei mais de perto utilizou PPTP para
aproveitar o suporte já instalado em versões Windows desde as mais
antigas. Isso ajudou menos do que o imaginado, pois é necessário
atualizar o cliente para ele operar corretamente... além disso,
algumas combinações XP+atualizações da Microsoft não funcionavam de
jeito nenhum com PPTP, só com L2TP.

> Em relaçao a radius/pppoe/nocat, vc nao aconselharia entao ?

Não. É fácil pegar carona numa rede baseada em web-auth tipo nocat. É
só observar um pouco o tráfego, ver um IP que esteja autorizado num
certo momento, e pegar carona. Se estiver travado com MAC, pegar
carona em IP+MAC.

Outro problema de NAT + web-auth é não dar um IP real para o usuário,
o que atrapalha diversas aplicações como VoIP e gaming. Uma vantagem
de PPPoE/PPTP/L2TP é poder dar ao usuário um IP real. DHCP com IPs
reais e mais web-auth responderia a esse problema de um forma bem ruim
pois seria fácil esgotar o seu pool de IPs reais; DHCP com IPs reais é
algo que só seria factível com 802.1x.

Eu usaria um esquema de redirecionamento web (que pode ser o do nocat)
para redirecionar a navegação do usuário para um página com
componentes de download para Windows (cliente L2TP/IPSec para Win9x,
atualização do Dial-Up Networking para Win 9x, Service Packs para
versões Inglês e Português dos diversos Windows) e instruções de
instalação. Outra possibilidade interessante é liberar o acesso apenas
à sites de atualização de anti-vírus e personal firewalls para que o
usuário possa deixar a máquina dele "up2date" antes de enfrentar o
mundo cruel.

Em tempo: seria bom testar os diversos clientes L2TP/IPSec da
Microsoft (a versão Win 9x, o que vem embutido nos Win 2K e XP, as
atualizações que existem para as versões 2K e XP), e ver se eles
aceitam mesmo usar IPSec AH para transporte da sessão L2TP. Eu só
testei esse tipo de solução com ESP.






Rubens