Re: RES: [MASOCH-L] Segurança em ProvedorWISP -SAGU_PRO

Eduardo Oliveira Hernandes tuxstrike at gmail.com
Tue Apr 4 12:40:09 -03 2006


:( minha situação é exatamente essa, uns 500 usuarios, problemas de todo o
tipo, uma bomba ehee

por isso estou tentando ver a melhor solucao, nao conheço toda a estrutura
fisica ainda, por isso ta meio complicado aqui....

2006/4/4, Frederico Terra Boechat <fboechat at mar.com.br>:
>
> Deixe-me tentar explicar a estrutura:
>
> São 11 AP´s, normalmente Karlnet, Orinoco ou Ap-plus (todas são iguais, só
> mudou o nome), interligadas por ponto-a-ponto até o provedor. No provedor
> tem o servidor PPPoE, um FreeBSD 6.0
>
> Todas as ap´s são bridge, ou seja, não são necessários relay pra PPPoE.
> Então, em tese todas as estações estão ligadas direto ao provedor.
>
> Ai viria uma pergunta: Se todas as ap´s são bridge, o domínio de broadcast
> seria gigante, certo?
>
> Em tese, sim. Mas em cada AP eu filtro todos os protocolos MENOS PPPoE.
> Isso
> me garante que, entre outras coisas, que um usuário com ip só chegue a
> interface externa da AP, mais nada. Então, o excesso de broadcast não
> chega
> ao provedor.
>
> Na AP, tem uma opção que NÃO permite que o cliente veja diretamente o
> outro.
> Acredito que as AP´s mais baixa-renda não tenham essa opção, por isso
> esses
> modelos sõa mais caros e um diferencial enorme. Logo, se um cliente tentar
> sniffar algo na rede, vai dificultar um pouco mais.
>
> O provedor concorrente, que tem mais de 700 usuários, tentou o nocat e não
> deu certo. Por quê?
>
> Ele passa cabo de rede do provedor até o cliente. Nem preciso dizer que é
> uma técnica deplorável por N motivos e N razões, que isso inflinge normas
> da
> Anatel, etc et al. Mas mesmo assim, ele funciona ainda. Teve que tirar o
> nocat pela simples razão: clientes tentaram forjar MAC. o nocat por algum
> motivo, não sei se má instalação ou se é natureza do soft, começou a
> recusar
> usuários válidos, a tabela ARP do servidor começou a ter MAC zerados,
> entre
> outros mais que não me recordo.
>
> Ele pensa em implementar PPPoE. Imagine o que vai ser ir na casa de mais
> de
> 700 usuários pra instalar?
> Agora imagine isso tudo sem controle algum?
>
> Realmente, cada caso é caso, e no dele é um caso muito delicado. Começou
> errado, e agora pra corrigor, vai ter trabalho.
>
> Bom..o que eu quero dizer? realmente, cada caso é um caso isolado, e
> dependendo de vários fatores, como tamanho da rede, problemas que já vem
> ococrrendo, etc, uma solução pode ser mais viável do que a outra, mas não
> a
> mesma solução pra todos.
>
> Abraços a todos
>
> Frederico Boechat
> ----- Original Message -----
> From: "Helio Loureiro" <helio at loureiro.eng.br>
> To: "Mail Aid and Succor, On-line Comfort and Help"
> <masoch-l at eng.registro.br>
> Sent: Monday, April 03, 2006 8:30 PM
> Subject: Re: RES: [MASOCH-L] Segurança em ProvedorWISP -SAGU_PRO
>
>
> > Em Seg, 2006-04-03 às 15:01 -0300, Thomas Britis escreveu:
> >> Senhores,
> >>
> >> Em uma rede sem túneis, como é que fica a segurança da rede quando
> >> alguém fizer a "clonagem" dos dados do gateway ? (IP e/ou MAC) ?
> >>
> >> Dependendo da topologia da rede E do AP utilizado é possível fazer o
> >> redirecionamento dos pacotes para uma interface específica e, nessa
> >> interface ter somente o gateway, porém, fora isso, acho que sempre há o
> >> risco.
> >>
> >
> >
> > Caros,
> >
> > Somente agora via a thread sobre o assunto.  Notei que ninguém citou
> > WPA2 (desculpas se alguém comentou e eu não vi).  Tá certo que a
> > configuração é muuuuuuito mais trabalhosa, mas é um método seguro e
> > provavelmente será o caminho futuro da segurança wireless (e um dia não
> > será mais difícil que configurar um dhcp).
> >
> > Eu implementei tanto com WPA2, que depende do suporte do AP, quanto com
> > 802.1x, que funciona no nível do switch, em Debian (radius server).  Foi
> > trabalhoso pois o Debian não tem suporte nativo ao EAP no freeradius por
> > motivos de licença (coisa besta).  Tive de baixar um patch e recompilar
> > os pacotes a partir do deb-src.  Deixe algumas migalhas de pão em
> > "
> http://helio.loureiro.eng.br/index.php?option=com_content&task=view&id=25&Itemid=31
> "
> > para poder me lembrar do que fiz, mas na brincadeira acabei perdendo um
> > dia inteiro (e era apenas o início...).
> >
> > Como cliente de conexão, utilizei o wpa_supplicant.  Como a coisa foi
> > meio complicada (na verdade bem mais que isso), e se mais pessoas
> > estiverem interessadas, posso depois publicar um "lazy dog" de tudo o
> > que foi feito.
> > --
> > []'s
> > +--------------------------------------+-------------------------------+
> > |  Helio Alexandre Lopes Loureiro      | Unix _is_ user friendly. It's |
> > |[helio arroba loureiro pto eng pto br]| just selective about who its  |
> > |   http://helio.loureiro.eng.br       | friends are.  Marco Molteni.  |
> > +--------------------------------------+-------------------------------+
> >
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



More information about the masoch-l mailing list