Salve eh o server nao esta diretamente no next-hope ;)
e nem todas as aps ou switchs que tenho.... possuem tal feature :) comecei a estudar o nocat.... mas achei ele muito suscetível a quedas/problemas :) entaum estou estudando / implementando com pfauth ;) ja encontrei alguns applets java que fazem a comunicacao ssh via web e tals.... ainda esta tudo em faze de testes / laboratorio.... assim que tiver algo mais concreto lhes passo Gostaria de agradecer a todos que deram ideias, dicas...... valeu mesmo obs.: Se tiver ai algum NINJA em pfauth e quiser dar umas dicas (fora o que tem no site de pf do open.....) serei grato :) t+ Christopher Giese <SkyWarrior> [EMAIL PROTECTED] Luiz Zanardo wrote: > Christopher, > > Porque tu não usa dot1x (802.1X) ? > > Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia uma boa > parte dos switchs e AP já suportam pois é um padrão IEEE). > > Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a autorização > de acesso a rede ficaria por responsabilidade dos switchs e do AP que > liberaria este acesso mediante apenas uma autenticação positiva do RADIUS > (caso contrario, porta do switch fica down, no caso do ap o acesso não é > permitido/roteado). > > Caso tua infra seja de switchs/ap cisco tu pode ate implementar VLAN Guest > (uma rede a parte para que os usuarios não autenticados acessem com mais > restrições), pois outras tecnologias não implementão ainda esta feature. > > Da para fazer algumas coisas mais legais do tipo uma > "semi-police-compliance" nos pcs antes de acessarem a rede em vlan guest > e/ou quarentena, verificando se a maquina esta infectada com algum virus, > patchs atualizados, etc etc etc (isso envolve desenvolvimento), desenvolver > alguma integração com o NAC (Network Admission Center) da Cisco (caso seja > ambiente cisco), entre outras cositas mais... :) > > Resumindo, vc tem accounting, autorização e autenticação feito pelo Radius > (em BSD), acredito que voce não va precisar que alguem autentique num site > sendo que o controle ja esta sendo feito diretamente na porta do switch e/ou > no AP, mas caso precise, o que voce pode fazer é o seguinte, criar uma Vlan > de quarentena para que os usuarios acessem teu site e se autentique, logo > apos a autenticação, um script pode acessar o switch e trocar a porta de > vlan para uma vlan de produção qualquer onde ele tenha acesso as ferramentas > de trabalho necessarias, isso envolveria um pouco de desenvolvimento! > > Legal que o FreeBSD suporta trunk dot1q (802.1q), portanto voce pode > trabalhar ele para que seja um Firewall Subnetado fazendo com que todas suas > VLANs sejam roteadas atraves dele tendo o controle total da rede. > > É isto... > > > Att, > Luiz Zanardo > > > > > On 2/9/06, Christopher Giese - iRapida Telecom <[EMAIL PROTECTED]> wrote: > >> Bom dia Senhores...... >> >> estou iniciando algumas pesquisas para implementacao de um projeto...... >> e gostaria de saber se alguem ai ja trabalhou com algo parecido >> >> A ideia seria o seguinte..... >> >> Micros (clientes windows)....... com seus ips....... que possuem em >> algum lugar (nao necessariamente o next-hope) um Gateway FreeBSD...... >> Isto nao numa rede Wireless... e sim num rede interna.... de empresa >> mesmo...... >> >> A ideia eh que o micros windows (usuarios) quando forem usufruir da >> rede..... precisem se logar via WEB.... ai o firewall libera a conexao >> para tais ips (isto baseado em algum banco de dados ou algo do >> genero).......... e se nao se logar..... nao acessa nada >> >> nao me refiro apenas a proxy.... (a ideia eh nao ter proxy mesmo)..... >> me refiro a um mero metodo de autenticacao... que avalia se o usuario >> pode ou nao usar o sistema... e ai libera conexoes de firewall (em todas >> as portas).... >> >> alguem ai ja utilizou algo assim para uma rede interna ???? alguma dica >> ????? >> >> houvi falar no nocat..... mas o que li foi para linux... e para >> wifi......... >> >> alguma experiencia ???? >> >> falou ae >> >> -- >> []´s >> Christopher Giese >> System Network Security Administrator - iRapida Telecom >> [EMAIL PROTECTED] - +55 44 36194444 >> >> "O futuro nada mais é que sonhos, projetos, esperanças que só serão >> possíveis se o hoje assim decidir. >> Nada mais temos neste mundo senão o exatamente agora." >> >> >> _______________________________________________ >> freebsd mailing list >> [email protected] >> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br >> >> > _______________________________________________ > freebsd mailing list > [email protected] > http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br > -- []´s Christopher Giese System Network Security Administrator - iRapida Telecom [EMAIL PROTECTED] - +55 44 36194444 "O futuro nada mais é que sonhos, projetos, esperanças que só serão possíveis se o hoje assim decidir. Nada mais temos neste mundo senão o exatamente agora." _______________________________________________ freebsd mailing list [email protected] http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
