RES: [MASOCH-L] Segurança em Provedor WISP
Lucio de Aquino Marinho
aquino at ECOSISTEMAS.COM.BR
Mon Apr 3 07:43:11 -03 2006
Para a solução do Captive portal ( Nocat ) , tem uma opção , o m0n0wall (http://m0n0.ch/wall/ ) ele possui um mecanismo de captive portal que pode ter autenticação local ou em um radius , alem de outras features bem legais .
Atenciosamente
Lucio de Aquino Marinho
-----Mensagem original-----
De: masoch-l-bounces at eng.registro.br [mailto:masoch-l-bounces at eng.registro.br] Em nome de Eduardo de O. Hernandes
Enviada em: domingo, 2 de abril de 2006 13:43
Para: Mail Aid and Succor, On-line Comfort and Help
Assunto: Re: [MASOCH-L] Segurança em Provedor WISP
Em Dom, 2006-04-02 às 19:23 +0000, Rubens Marins escreveu:
> Eu trabalho para um provedor wireless, hoje temos mais de 5000
> clientes em varias cidades ( + de 400 km2 de cobertura tudo
> interligado como uma rede só), a solucão com IPsec e o santo graal de
> segurança e autenticação, mas ela traz problemas, como complexa
> reconfiguração de clientes e uma coisa a mais para voce manter no ar e
> dar suporte para os clientes.
Nossa que legal !! :)
....as buchas tambem devem ser grandes hehhee
>
> Quando eu comecei a fazer autenticação fiz testes com l2tp e pptp,
> mas o problema é que isto precisava ler a senha em texto puro, e eu
> pretendia usar o usuarios e senha do email do cliente, que estava em
> crypto, e nao queria estar lendo as senhas e convertento e talz, alem
> do fato de eu precisar montar uma mega campanha para ajudar os
> usuarios a reconfigurar os computadores instalando clientes de vpn
> neles.
O sniffer pegaria facilmente a senha entao....
>
> PPPOE é interessante, mas eu gostaria de ter algo autenticando na
> borda da rede ( proximo do meu gw para a net) e pppoe precisa
> autenticar em cada repetidor ( eu possuo mais de 100 hoje) , alem
> disso durante os testes não foi aquela maravilha. Mas como voce tem
> uma rede bem menor pode ser uma boa saida para voce.
Vou dar uma olhada ...
>
> O que eu acabei implementando foi uma solucao baseada no NoCat, com
> modificacoes proprias para nossa rede. Eu tenho controle por MAC+IP em
> cada ponto de acesso, e alem disso a autenticacao na borda no estilo
> do NoCat. Se alguem pegar o MAC de alguem precisara tambem da senha
> dele para navegar. Eu implementei evitando dois logins simultaneos e
> os logons expiram todas as madrugadas. Esta funcionando muito bem.
> Coloquei tambem uma politica obrigando os usuarios a trocar de senha a
> cada 6 meses.
>
> Se for usar NoCat recomento que faca sobre https e use um certificado
> com certificacao externa ( a la verising) para evitar que alguem se
> passe pelo seu servidor de autenticacao.
Legal, ta anotado aqui entao a solução do Nocat ;)
Valew mesmo pelo compartilhamento da sua experiencia. Obrigado.
>
>
>
>
> --
> Rubens Marins
> Administrador de Sistemas
> rubens.marins at gmail dot com
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list