RES: [MASOCH-L] Seguran ç a em Provedor WISP - SAGU_PRO

Renato Frederick frederick at freebsdbrasil.com.br
Mon Apr 3 12:58:21 BRT 2006 

Só gostaria de tecer alguns comentários sobre o PPPoE.

Ele trabalha com broadcast, então, todos os clientes até o servidor PPPoE
tem que estar no mesmo segmento.

Dependendo do seu cenário, isso pode ser complicado.

Por exemplo, se há somente 1AP rodando Linux/BSD, irá funcionar OK. Mas se
seus clientes são muitos, você obviamente divide os clientes em celulas para
diminuir o broadcast.
Isso irá exigir implantação de diversos servidores PPPoE, ou rádios que
façam relay de PPPoE, dependendo do seu cenário.

Pessoalmente não vejo vantagens do PPPoE com relação a um "portal captativo"
(seja ele nocat, sagu ou outra solução livre/paga que venha a existir).

Creio que todos implementam PPPoE ou portal captativo para garantir que o
usuario X com a senha Y pagou a mensalidade e pode navegar, ou obter
informações de periodos de acesso, etc etc.

Mas, isto não garante **segurança**. Qualquer kiddie com um sniffer pode
pegar o login/senha do cliente que está autenticando no nocat, por exemplo.
Da mesma maneira, a sessao PPPoE não garate uma conexão fim a fim segura.

Se a ideia for segurança dos dados que estao sendo trafegados entre o
cliente e o AP, evitando clonagem de MAC, concorrentes desleais entupindo
sua célula com pacotes, etc etc, ai a solução é adotar, por exemplo WPA ou
outras alternativas (visto que o WEP de nada adianta).

Com relação ao uso de link, como já citaram, WPA/WEP/PPTP/IPSEC/PPPoE, todos
causam um aumento de banda, dependendo do cenário pode ser algo prejudicial.

Por fim, como tambem ja falaram, todas as alternativas exigiram alteração da
parte cliente (instalação de protocolos, alteração de conf das estações). O
PPPoE, por exemplo, exige atualização de dialup de alguns Windows e
instalação do RASPPoE. Isso pode gerar uma dor de cabeça para a equipe de
campo.

De todas, a mais "facil" de ser implementada é o portal captativo, já que
ele exige apenas um forward de regras nos gateway, e aceita autenticação
centralizada, por usar módulos que conversam com radius.

Não usei o SAGU, já que uso FreeBSD, mas creio que ele segue esta mesma
linha de raciocionio, no iptables.

Abraços!



On 4/22/06 11:36, "Frederico Terra Boechat" <fboechat at mar.com.br> wrote:

> Lembrem-se, a solução PPPoE do linux é EXPREIMENTAL (o próprio desenvolvedor
> deixa claro em sua página), mas a solução usada nos BSD é nativa do kernel.
> 
> Autentico mais de 3000 usuários de 11 repetidoras sem problemas.
> 
> Frederico


--
Renato Frederick
FreeBSD Brasil LTDA.
Fone: (31) 3281-9633
http://www.freebsdbrasil.com.br

More information about the masoch-l mailing list