Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
Salve eh o server nao esta diretamente no next-hope ;) e nem todas as aps ou switchs que tenho possuem tal feature :) comecei a estudar o nocat mas achei ele muito suscetível a quedas/problemas :) entaum estou estudando / implementando com pfauth ;) ja encontrei alguns applets java que fazem a comunicacao ssh via web e tals ainda esta tudo em faze de testes / laboratorio assim que tiver algo mais concreto lhes passo Gostaria de agradecer a todos que deram ideias, dicas.. valeu mesmo obs.: Se tiver ai algum NINJA em pfauth e quiser dar umas dicas (fora o que tem no site de pf do open.) serei grato :) t+ Christopher Giese SkyWarrior [EMAIL PROTECTED] Luiz Zanardo wrote: Christopher, Porque tu não usa dot1x (802.1X) ? Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia uma boa parte dos switchs e AP já suportam pois é um padrão IEEE). Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a autorização de acesso a rede ficaria por responsabilidade dos switchs e do AP que liberaria este acesso mediante apenas uma autenticação positiva do RADIUS (caso contrario, porta do switch fica down, no caso do ap o acesso não é permitido/roteado). Caso tua infra seja de switchs/ap cisco tu pode ate implementar VLAN Guest (uma rede a parte para que os usuarios não autenticados acessem com mais restrições), pois outras tecnologias não implementão ainda esta feature. Da para fazer algumas coisas mais legais do tipo uma semi-police-compliance nos pcs antes de acessarem a rede em vlan guest e/ou quarentena, verificando se a maquina esta infectada com algum virus, patchs atualizados, etc etc etc (isso envolve desenvolvimento), desenvolver alguma integração com o NAC (Network Admission Center) da Cisco (caso seja ambiente cisco), entre outras cositas mais... :) Resumindo, vc tem accounting, autorização e autenticação feito pelo Radius (em BSD), acredito que voce não va precisar que alguem autentique num site sendo que o controle ja esta sendo feito diretamente na porta do switch e/ou no AP, mas caso precise, o que voce pode fazer é o seguinte, criar uma Vlan de quarentena para que os usuarios acessem teu site e se autentique, logo apos a autenticação, um script pode acessar o switch e trocar a porta de vlan para uma vlan de produção qualquer onde ele tenha acesso as ferramentas de trabalho necessarias, isso envolveria um pouco de desenvolvimento! Legal que o FreeBSD suporta trunk dot1q (802.1q), portanto voce pode trabalhar ele para que seja um Firewall Subnetado fazendo com que todas suas VLANs sejam roteadas atraves dele tendo o controle total da rede. É isto... Att, Luiz Zanardo On 2/9/06, Christopher Giese - iRapida Telecom [EMAIL PROTECTED] wrote: Bom dia Senhores.. estou iniciando algumas pesquisas para implementacao de um projeto.. e gostaria de saber se alguem ai ja trabalhou com algo parecido A ideia seria o seguinte. Micros (clientes windows)... com seus ips... que possuem em algum lugar (nao necessariamente o next-hope) um Gateway FreeBSD.. Isto nao numa rede Wireless... e sim num rede interna de empresa mesmo.. A ideia eh que o micros windows (usuarios) quando forem usufruir da rede. precisem se logar via WEB ai o firewall libera a conexao para tais ips (isto baseado em algum banco de dados ou algo do genero).. e se nao se logar. nao acessa nada nao me refiro apenas a proxy (a ideia eh nao ter proxy mesmo). me refiro a um mero metodo de autenticacao... que avalia se o usuario pode ou nao usar o sistema... e ai libera conexoes de firewall (em todas as portas) alguem ai ja utilizou algo assim para uma rede interna alguma dica ? houvi falar no nocat. mas o que li foi para linux... e para wifi. alguma experiencia falou ae -- []´s Christopher Giese System Network Security Administrator - iRapida Telecom [EMAIL PROTECTED] - +55 44 3619 O futuro nada mais é que sonhos, projetos, esperanças que só serão possíveis se o hoje assim decidir. Nada mais temos neste mundo senão o exatamente agora. ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br -- []´s Christopher Giese System Network Security Administrator - iRapida Telecom [EMAIL PROTECTED] - +55 44 3619 O futuro nada mais é que sonhos, projetos, esperanças que só serão possíveis se o hoje assim decidir. Nada mais temos neste mundo senão o exatamente agora. ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
Fiz isso com php,uma interface web que cria uma regra do firewall, qdo o usuario se conecta desvio as portas pra um apache numa porta x aberta com a pagina de autenticacao, dai eh so criar a regra, to usando mysql num servidor central, funciona muito bem. Tks Edison - Original Message - From: Luiz Zanardo [EMAIL PROTECTED] To: Lista de discussao sobre FreeBSD freebsd@fug.com.br Sent: Saturday, February 11, 2006 1:25 PM Subject: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede Custo com o q ? Switchs e AP voce ja possui (senao vc nao vai ter a rede, heehe), o unico custo seria do servidor p/ BSD e o tempo para configuracao... Falei de cisco pq o IOS faz algumas coisas q os outros switchs (3com, extreme, alcatel, entre outros) nao fazem (vlan guest, por exemplo), mas o 802.1X puro hoje em dia quase todos switches possuem, os APs posuem sem duvida. O Nocat-gateway e muito bom, mas nao resolve o problema do Giese por completo pois pelo q entendi ele quer fazer isso em uma lan seja wireless ou wired, portanto o controle deve ser feito no switch e no AP diretamente pois e a unica forma de permitir ou nao que o acesso a rede seja feito de forma efetiva, caso contrario, o usuario ja estaria na rede antes mesmo da autenticacao em uma rede local (estou falando de LAN, nao wan como alguns estao citando), na WAN nada melhor que o PPPOE + NOCAT. Giese, tu pretende fazer isso na LAN ou na WAN??? Att, Luiz Zanardo On 2/11/06, [EMAIL PROTECTED] [EMAIL PROTECTED] wrote: Essa soluçao concerteza é das boas, soh que o custo dela é muito elevado. Uma das alternativas poderia ser usar PPP over Ethernet, ou entao, o nocat. Creio eu que o nocat funciona assim: O nocat-gateway fica junto na maquina com o apache, e o nocat-auth eh o cara q brinca com a autenticacao (logicamente). O ports tem um break que nao permite instalar o gateway e o auth na mesma maquina, entao assim, compile na mao mesmo, ou edite o Makefile. Pode ser feita autenticacao em SQL, radius, um monte de coisa. Enfim, vi README Best regards! Em 10/2/2006, Luiz Zanardo [EMAIL PROTECTED] escreveu: Christopher, Porque tu não usa dot1x (802.1X) ? Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia uma boa parte dos switchs e AP já suportam pois é um padrão IEEE). Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a autorização de acesso a rede ficaria por responsabilidade dos switchs e do AP que liberaria este acesso mediante apenas uma autenticação positiva do RADIUS (caso contrario, porta do switch fica down, no caso do ap o acesso não é permitido/roteado). Caso tua infra seja de switchs/ap cisco tu pode ate implementar VLAN Guest (uma rede a parte para que os usuarios não autenticados acessem com mais restrições), pois outras tecnologias não implementão ainda esta feature. Da para fazer algumas coisas mais legais do tipo uma semi-police-compliance nos pcs antes de acessarem a rede em vlan guest e/ou quarentena, verificando se a maquina esta infectada com algum virus, patchs atualizados, etc etc etc (isso envolve desenvolvimento), desenvolver alguma integração com o NAC (Network Admission Center) da Cisco (caso seja ambiente cisco), entre outras cositas mais... :) Resumindo, vc tem accounting, autorização e autenticação feito pelo Radius (em BSD), acredito que voce não va precisar que alguem autentique num site sendo que o controle ja esta sendo feito diretamente na porta do switch e/ou no AP, mas caso precise, o que voce pode fazer é o seguinte, criar uma Vlan de quarentena para que os usuarios acessem teu site e se autentique, logo apos a autenticação, um script pode acessar o switch e trocar a porta de vlan para uma vlan de produção qualquer onde ele tenha acesso as ferramentas de trabalho necessarias, isso envolveria um pouco de desenvolvimento! Legal que o FreeBSD suporta trunk dot1q (802.1q), portanto voce pode trabalhar ele para que seja um Firewall Subnetado fazendo com que todas suas VLANs sejam roteadas atraves dele tendo o controle total da rede. É isto... Att, Luiz Zanardo On 2/9/06, Christopher Giese - iRapida Telecom [EMAIL PROTECTED] wrote: Bom dia Senhores.. estou iniciando algumas pesquisas para implementacao de um projeto.. e gostaria de saber se alguem ai ja trabalhou com algo parecido A ideia seria o seguinte. Micros (clientes windows)... com seus ips... que possuem em algum lugar (nao necessariamente o next-hope) um Gateway FreeBSD.. Isto nao numa rede Wireless... e sim num rede interna de empresa mesmo.. A ideia eh que o micros windows (usuarios) quando forem usufruir da rede. precisem se logar via WEB ai o firewall libera a conexao para tais ips (isto baseado em algum banco de dados ou algo do genero).. e se nao se logar. nao acessa nada nao me refiro apenas
Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
Edison, To escrevendo essa ideia num tutorial, se puder ajudar :) http://wiki.luizgustavo.pro.br/doku.php?id=artigos_geral:captive_portal Abrçs, Luiz Gustavo - http://www.luizgustavo.pro.br Em 13/02/06, yahhoo[EMAIL PROTECTED] escreveu: Fiz isso com php,uma interface web que cria uma regra do firewall, qdo o usuario se conecta desvio as portas pra um apache numa porta x aberta com a pagina de autenticacao, dai eh so criar a regra, to usando mysql num servidor central, funciona muito bem. Tks Edison - Original Message - From: Luiz Zanardo [EMAIL PROTECTED] To: Lista de discussao sobre FreeBSD freebsd@fug.com.br Sent: Saturday, February 11, 2006 1:25 PM Subject: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede Custo com o q ? Switchs e AP voce ja possui (senao vc nao vai ter a rede, heehe), o unico custo seria do servidor p/ BSD e o tempo para configuracao... Falei de cisco pq o IOS faz algumas coisas q os outros switchs (3com, extreme, alcatel, entre outros) nao fazem (vlan guest, por exemplo), mas o 802.1X puro hoje em dia quase todos switches possuem, os APs posuem sem duvida. O Nocat-gateway e muito bom, mas nao resolve o problema do Giese por completo pois pelo q entendi ele quer fazer isso em uma lan seja wireless ou wired, portanto o controle deve ser feito no switch e no AP diretamente pois e a unica forma de permitir ou nao que o acesso a rede seja feito de forma efetiva, caso contrario, o usuario ja estaria na rede antes mesmo da autenticacao em uma rede local (estou falando de LAN, nao wan como alguns estao citando), na WAN nada melhor que o PPPOE + NOCAT. Giese, tu pretende fazer isso na LAN ou na WAN??? Att, Luiz Zanardo On 2/11/06, [EMAIL PROTECTED] [EMAIL PROTECTED] wrote: Essa soluçao concerteza é das boas, soh que o custo dela é muito elevado. Uma das alternativas poderia ser usar PPP over Ethernet, ou entao, o nocat. Creio eu que o nocat funciona assim: O nocat-gateway fica junto na maquina com o apache, e o nocat-auth eh o cara q brinca com a autenticacao (logicamente). O ports tem um break que nao permite instalar o gateway e o auth na mesma maquina, entao assim, compile na mao mesmo, ou edite o Makefile. Pode ser feita autenticacao em SQL, radius, um monte de coisa. Enfim, vi README Best regards! Em 10/2/2006, Luiz Zanardo [EMAIL PROTECTED] escreveu: Christopher, Porque tu não usa dot1x (802.1X) ? Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia uma boa parte dos switchs e AP já suportam pois é um padrão IEEE). Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a autorização de acesso a rede ficaria por responsabilidade dos switchs e do AP que liberaria este acesso mediante apenas uma autenticação positiva do RADIUS (caso contrario, porta do switch fica down, no caso do ap o acesso não é permitido/roteado). Caso tua infra seja de switchs/ap cisco tu pode ate implementar VLAN Guest (uma rede a parte para que os usuarios não autenticados acessem com mais restrições), pois outras tecnologias não implementão ainda esta feature. Da para fazer algumas coisas mais legais do tipo uma semi-police-compliance nos pcs antes de acessarem a rede em vlan guest e/ou quarentena, verificando se a maquina esta infectada com algum virus, patchs atualizados, etc etc etc (isso envolve desenvolvimento), desenvolver alguma integração com o NAC (Network Admission Center) da Cisco (caso seja ambiente cisco), entre outras cositas mais... :) Resumindo, vc tem accounting, autorização e autenticação feito pelo Radius (em BSD), acredito que voce não va precisar que alguem autentique num site sendo que o controle ja esta sendo feito diretamente na porta do switch e/ou no AP, mas caso precise, o que voce pode fazer é o seguinte, criar uma Vlan de quarentena para que os usuarios acessem teu site e se autentique, logo apos a autenticação, um script pode acessar o switch e trocar a porta de vlan para uma vlan de produção qualquer onde ele tenha acesso as ferramentas de trabalho necessarias, isso envolveria um pouco de desenvolvimento! Legal que o FreeBSD suporta trunk dot1q (802.1q), portanto voce pode trabalhar ele para que seja um Firewall Subnetado fazendo com que todas suas VLANs sejam roteadas atraves dele tendo o controle total da rede. É isto... Att, Luiz Zanardo On 2/9/06, Christopher Giese - iRapida Telecom [EMAIL PROTECTED] wrote: Bom dia Senhores.. estou iniciando algumas pesquisas para implementacao de um projeto.. e gostaria de saber se alguem ai ja trabalhou com algo parecido A ideia seria o seguinte. Micros (clientes windows)... com seus ips... que possuem em algum lugar (nao necessariamente o next-hope) um Gateway FreeBSD.. Isto nao numa rede
Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
Christopher, Porque tu não usa dot1x (802.1X) ? Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia uma boa parte dos switchs e AP já suportam pois é um padrão IEEE). Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a autorização de acesso a rede ficaria por responsabilidade dos switchs e do AP que liberaria este acesso mediante apenas uma autenticação positiva do RADIUS (caso contrario, porta do switch fica down, no caso do ap o acesso não é permitido/roteado). Caso tua infra seja de switchs/ap cisco tu pode ate implementar VLAN Guest (uma rede a parte para que os usuarios não autenticados acessem com mais restrições), pois outras tecnologias não implementão ainda esta feature. Da para fazer algumas coisas mais legais do tipo uma semi-police-compliance nos pcs antes de acessarem a rede em vlan guest e/ou quarentena, verificando se a maquina esta infectada com algum virus, patchs atualizados, etc etc etc (isso envolve desenvolvimento), desenvolver alguma integração com o NAC (Network Admission Center) da Cisco (caso seja ambiente cisco), entre outras cositas mais... :) Resumindo, vc tem accounting, autorização e autenticação feito pelo Radius (em BSD), acredito que voce não va precisar que alguem autentique num site sendo que o controle ja esta sendo feito diretamente na porta do switch e/ou no AP, mas caso precise, o que voce pode fazer é o seguinte, criar uma Vlan de quarentena para que os usuarios acessem teu site e se autentique, logo apos a autenticação, um script pode acessar o switch e trocar a porta de vlan para uma vlan de produção qualquer onde ele tenha acesso as ferramentas de trabalho necessarias, isso envolveria um pouco de desenvolvimento! Legal que o FreeBSD suporta trunk dot1q (802.1q), portanto voce pode trabalhar ele para que seja um Firewall Subnetado fazendo com que todas suas VLANs sejam roteadas atraves dele tendo o controle total da rede. É isto... Att, Luiz Zanardo On 2/9/06, Christopher Giese - iRapida Telecom [EMAIL PROTECTED] wrote: Bom dia Senhores.. estou iniciando algumas pesquisas para implementacao de um projeto.. e gostaria de saber se alguem ai ja trabalhou com algo parecido A ideia seria o seguinte. Micros (clientes windows)... com seus ips... que possuem em algum lugar (nao necessariamente o next-hope) um Gateway FreeBSD.. Isto nao numa rede Wireless... e sim num rede interna de empresa mesmo.. A ideia eh que o micros windows (usuarios) quando forem usufruir da rede. precisem se logar via WEB ai o firewall libera a conexao para tais ips (isto baseado em algum banco de dados ou algo do genero).. e se nao se logar. nao acessa nada nao me refiro apenas a proxy (a ideia eh nao ter proxy mesmo). me refiro a um mero metodo de autenticacao... que avalia se o usuario pode ou nao usar o sistema... e ai libera conexoes de firewall (em todas as portas) alguem ai ja utilizou algo assim para uma rede interna alguma dica ? houvi falar no nocat. mas o que li foi para linux... e para wifi. alguma experiencia falou ae -- []´s Christopher Giese System Network Security Administrator - iRapida Telecom [EMAIL PROTECTED] - +55 44 3619 O futuro nada mais é que sonhos, projetos, esperanças que só serão possíveis se o hoje assim decidir. Nada mais temos neste mundo senão o exatamente agora. ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
O nocat é muito massa. O splash (nocatsplash) é o nocat reescrito em C, pois o original é em perl. Legal tambem que ele funciona com radius, e possui varios tipos de captive, pode definir o primeiro site a aparecer e tudo mais... Tem uma infinidade de coisas q consegue fazer com o nocat... Em 10/2/2006, Thiago Damas [EMAIL PROTECTED] escreveu: Precisas de um captive portal. Tem o chillispot, nocatauth, nocatsplash (esses tem no ports). Tambem podes te basear no pfsense e/ou no m0n0wall. Ou podes fazer um pra ti. Nao eh muito dificil nao. Em 09/02/06, Christopher Giese - iRapida Telecom[EMAIL PROTECTED] escreveu: Bom dia Senhores.. estou iniciando algumas pesquisas para implementacao de um projeto.. e gostaria de saber se alguem ai ja trabalhou com algo parecido A ideia seria o seguinte. Micros (clientes windows)... com seus ips... que possuem em algum lugar (nao necessariamente o next-hope) um Gateway FreeBSD.. Isto nao numa rede Wireless... e sim num rede interna de empresa mesmo.. A ideia eh que o micros windows (usuarios) quando forem usufruir da rede. precisem se logar via WEB ai o firewall libera a conexao para tais ips (isto baseado em algum banco de dados ou algo do genero).. e se nao se logar. nao acessa nada nao me refiro apenas a proxy (a ideia eh nao ter proxy mesmo). me refiro a um mero metodo de autenticacao... que avalia se o usuario pode ou nao usar o sistema... e ai libera conexoes de firewall (em todas as portas) alguem ai ja utilizou algo assim para uma rede interna alguma dica ? houvi falar no nocat. mas o que li foi para linux... e para wifi. alguma experiencia falou ae -- []´s Christopher Giese System Network Security Administrator - iRapida Telecom [EMAIL PROTECTED] - +55 44 3619 O futuro nada mais é que sonhos, projetos, esperanças que só serão possíveis se o hoje assim decidir. Nada mais temos neste mundo senão o exatamente agora. ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.b ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
[FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
Bom dia Senhores.. estou iniciando algumas pesquisas para implementacao de um projeto.. e gostaria de saber se alguem ai ja trabalhou com algo parecido A ideia seria o seguinte. Micros (clientes windows)... com seus ips... que possuem em algum lugar (nao necessariamente o next-hope) um Gateway FreeBSD.. Isto nao numa rede Wireless... e sim num rede interna de empresa mesmo.. A ideia eh que o micros windows (usuarios) quando forem usufruir da rede. precisem se logar via WEB ai o firewall libera a conexao para tais ips (isto baseado em algum banco de dados ou algo do genero).. e se nao se logar. nao acessa nada nao me refiro apenas a proxy (a ideia eh nao ter proxy mesmo). me refiro a um mero metodo de autenticacao... que avalia se o usuario pode ou nao usar o sistema... e ai libera conexoes de firewall (em todas as portas) alguem ai ja utilizou algo assim para uma rede interna alguma dica ? houvi falar no nocat. mas o que li foi para linux... e para wifi. alguma experiencia falou ae -- []´s Christopher Giese System Network Security Administrator - iRapida Telecom [EMAIL PROTECTED] - +55 44 3619 O futuro nada mais é que sonhos, projetos, esperanças que só serão possíveis se o hoje assim decidir. Nada mais temos neste mundo senão o exatamente agora. ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
Christopher Giese - iRapida Telecom wrote: Bom dia Senhores.. Ae Christopher! Tudo certo ? estou iniciando algumas pesquisas para implementacao de um projeto.. e gostaria de saber se alguem ai ja trabalhou com algo parecido A ideia seria o seguinte. Micros (clientes windows)... com seus ips... que possuem em algum lugar (nao necessariamente o next-hope) um Gateway FreeBSD.. Isto nao numa rede Wireless... e sim num rede interna de empresa mesmo.. A ideia eh que o micros windows (usuarios) quando forem usufruir da rede. precisem se logar via WEB ai o firewall libera a conexao para tais ips (isto baseado em algum banco de dados ou algo do genero).. e se nao se logar. nao acessa nada nao me refiro apenas a proxy (a ideia eh nao ter proxy mesmo). me refiro a um mero metodo de autenticacao... que avalia se o usuario pode ou nao usar o sistema... e ai libera conexoes de firewall (em todas as portas) alguem ai ja utilizou algo assim para uma rede interna alguma dica ? houvi falar no nocat. mas o que li foi para linux... e para wifi. alguma experiencia falou ae Sobre a parte de autenticação acho que o authpf faz o que você quer. Deve ter algum cliente ssh melhor que logar via putty para isso (algo que fique na tray). www.openbsd.org/faq/pf/authpf.html -- Giovanni P. Tirloni http://blog.tirloni.org ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
presentinho pra v6 http://www.hpi.net/whitepapers/warta/ sei que este link é pra wifi mas acredito que seja só desativar a parte do wifi =o) Em 09/02/06, Giovanni P. Tirloni[EMAIL PROTECTED] escreveu: Christopher Giese - iRapida Telecom wrote: Bom dia Senhores.. Ae Christopher! Tudo certo ? estou iniciando algumas pesquisas para implementacao de um projeto.. e gostaria de saber se alguem ai ja trabalhou com algo parecido A ideia seria o seguinte. Micros (clientes windows)... com seus ips... que possuem em algum lugar (nao necessariamente o next-hope) um Gateway FreeBSD.. Isto nao numa rede Wireless... e sim num rede interna de empresa mesmo.. A ideia eh que o micros windows (usuarios) quando forem usufruir da rede. precisem se logar via WEB ai o firewall libera a conexao para tais ips (isto baseado em algum banco de dados ou algo do genero).. e se nao se logar. nao acessa nada nao me refiro apenas a proxy (a ideia eh nao ter proxy mesmo). me refiro a um mero metodo de autenticacao... que avalia se o usuario pode ou nao usar o sistema... e ai libera conexoes de firewall (em todas as portas) alguem ai ja utilizou algo assim para uma rede interna alguma dica ? houvi falar no nocat. mas o que li foi para linux... e para wifi. alguma experiencia falou ae Sobre a parte de autenticação acho que o authpf faz o que você quer. Deve ter algum cliente ssh melhor que logar via putty para isso (algo que fique na tray). www.openbsd.org/faq/pf/authpf.html -- Giovanni P. Tirloni http://blog.tirloni.org ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br -- -=-=-=-=-=-=-=-=-=- William David Armstrong Bio Systems Security. ICQ 10253747 MSN biosystems ]at[ gmail . com -- . Of course it runs | ' NetBSD, OpenBSD or FreeBSD -- ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
Bom dia. Eu tenho utilizado o authpf para interagir direto com o firewall, para liberacao de portas por usuario. Seria interessante fazer isso com acesso via web, mas por tras dessa autenticação como disse nosso amigo Tirloni, precisa de algo com ssh. Será que não da para desenvolver algo? []'s On 2/9/06, William Armstrong [EMAIL PROTECTED] wrote: presentinho pra v6 http://www.hpi.net/whitepapers/warta/ sei que este link é pra wifi mas acredito que seja só desativar a parte do wifi =o) Em 09/02/06, Giovanni P. Tirloni[EMAIL PROTECTED] escreveu: Christopher Giese - iRapida Telecom wrote: Bom dia Senhores.. Ae Christopher! Tudo certo ? estou iniciando algumas pesquisas para implementacao de um projeto.. e gostaria de saber se alguem ai ja trabalhou com algo parecido A ideia seria o seguinte. Micros (clientes windows)... com seus ips... que possuem em algum lugar (nao necessariamente o next-hope) um Gateway FreeBSD.. Isto nao numa rede Wireless... e sim num rede interna de empresa mesmo.. A ideia eh que o micros windows (usuarios) quando forem usufruir da rede. precisem se logar via WEB ai o firewall libera a conexao para tais ips (isto baseado em algum banco de dados ou algo do genero).. e se nao se logar. nao acessa nada nao me refiro apenas a proxy (a ideia eh nao ter proxy mesmo). me refiro a um mero metodo de autenticacao... que avalia se o usuario pode ou nao usar o sistema... e ai libera conexoes de firewall (em todas as portas) alguem ai ja utilizou algo assim para uma rede interna alguma dica ? houvi falar no nocat. mas o que li foi para linux... e para wifi. alguma experiencia falou ae Sobre a parte de autenticação acho que o authpf faz o que você quer. Deve ter algum cliente ssh melhor que logar via putty para isso (algo que fique na tray). www.openbsd.org/faq/pf/authpf.html -- Giovanni P. Tirloni http://blog.tirloni.org ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br -- -=-=-=-=-=-=-=-=-=- William David Armstrong Bio Systems Security. ICQ 10253747 MSN biosystems ]at[ gmail . com -- . Of course it runs | ' NetBSD, OpenBSD or FreeBSD -- ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
Blz Christopher, Eu to pra testar esse aqui, mais nunca sobra um tempo :-( [EMAIL PROTECTED]:/usr/ports] # make search name=wapsh Port: wapsh-1.0_1 Path: /usr/ports/shells/wapsh Info: A system to allow remote shell logins via a WAP phone or web browser Maint: [EMAIL PROTECTED] [EMAIL PROTECTED]:/usr/ports] # cat shells/wapsh/pkg-descr htsh/wapsh is a system implemented by exolution GmbH which allows users to login to a Unix shell on a remote host using a web browser or WAP phone (in the latter incarnation, htsh is also called wapsh). The following phones and emulators have been successfully tested with htsh: * Nokia 6210 * Nokia 7110 * Siemens C35 and S35 * Nokia WAP Toolkit 2.0 Blueprint phone emulator * UP.Simulator 4.0 from Phone.com We welcome feedback (at [EMAIL PROTECTED]) from users about their experiences using other phone types. Fora isso estou procurando um applet java client de ssh, se vc achar me avisa!! Atenciosamente Ricardo A. Reis UNIFESP Unix and Network Admin Sobre a parte de autenticação acho que o authpf faz o que você quer. Deve ter algum cliente ssh melhor que logar via putty para isso (algo que fique na tray). www.openbsd.org/faq/pf/authpf.html ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
Christopher, Talvez de pra fazer algo legal com PPPoE. Eu nunca fiz, acredito que dê pra fazer. Quanto a autenticação via web, não sei qual o seu conhecimento em programação, mas não seria muito complicado fazer um interface de autenticação web usando qualquer linguagem web + sudo. Se você puder usar IPFW, nem que seja somente para liberar as conexões, da uma olhada em http://freepfw.sourceforge.net De repente tu fala com o Djony e vocês fazem uma versão pra PF. []s Ronan ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
Ja testou o NatACL? http://www.hostname.org/index.php/NatACL []´s JP-Ux ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
Desenvolvemos uma solução IPFW+SQUID+REDIRECTORINTERFACE O cara loga por HTTP,, em qualquer plataforma.. O ip do cara é liberado conforme regras definidas pelo usuário Final, portas , hosts, serviços, que pode ser dividida em GRUPOS e POR USUÁRIO. Nada de SUDO, não posso dizer totalmente, mas pelo menos 99% seguro, Se não tiver nenhum BUG na versão de PHP e Apache que estiver rodando, claro. :) Sim, é comercial, mas se alguém tem alguma necessidade especial, e deseje entrar em contato, fazer alguma parceiria, estamos presentes, Aquele abraço, Paulo Magrini ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
From: William Armstrong [EMAIL PROTECTED] presentinho pra v6 http://www.hpi.net/whitepapers/warta/ O warta funciona, mas tem alguns bugs, por exemplo se voce utiliza duas redes 192.168.0.0/24 e 192.168.1.0/24 as regras geradas para controlar a banda são adicionadas numa posição fixa (através do numero da regra) e o algoritmo que gera esse numero de regra (se é que podemos chamar aquilo de algoritmo) vai gerar o mesmo numero de regra para dois IP diferentes (ex: 192.168.0.23 e 192.168.1.23) e ai na hora que o primeiro desconecta o segundo fica a ver navios pois suas regras são removidas junto. Para redes pequenas funciona bem e é simples de utilizar. luiz ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
From: Christopher Giese - iRapida Telecom [EMAIL PROTECTED] nao me refiro apenas a proxy (a ideia eh nao ter proxy mesmo). me refiro a um mero metodo de autenticacao... que avalia se o usuario pode ou nao usar o sistema... e ai libera conexoes de firewall (em todas as portas) alguem ai ja utilizou algo assim para uma rede interna alguma dica ? houvi falar no nocat. mas o que li foi para linux... e para wifi. Tem o nocat no ports e não é apenas para wireless, na verdade ele trabalha por mac address/ip então qquer dispositivo ethernet funciona bem. O natacl já citado por outro colega tbm faz isso muito bem. Eu gostei da forma como o nocat faz a autenticação e mantem a sessao do usuario (que pode fechar aquela janela incomoda de login). O nocat salva o usuário/mac address/ip no login e mantem as configurações procurando pelo ip/mac address na tabela arp. Ele só desconecta o usuario depois que o IP do usuario sumiu da tabela arp por algum tempo (configuravel). Se voce quiser problema, procure implementações do 802.1x. luiz ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
Olha, Eu levei tempo até corrigir o bug das regras. Ainda preciso fazer ajustes, mas esse lance de atribuir a mesma regra tá solucionado :-) Se quiser eu mmando o calculo que eu fiz Frederico - Original Message - From: Luiz Otávio Souza [EMAIL PROTECTED] To: Lista de discussao sobre FreeBSD freebsd@fug.com.br Sent: Thursday, February 09, 2006 11:55 AM Subject: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede From: William Armstrong [EMAIL PROTECTED] presentinho pra v6 http://www.hpi.net/whitepapers/warta/ O warta funciona, mas tem alguns bugs, por exemplo se voce utiliza duas redes 192.168.0.0/24 e 192.168.1.0/24 as regras geradas para controlar a banda são adicionadas numa posição fixa (através do numero da regra) e o algoritmo que gera esse numero de regra (se é que ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
On Thu, Feb 09, 2006 at 10:51:37AM -0200, Reginaldo Filippus wrote: Bom dia. Eu tenho utilizado o authpf para interagir direto com o firewall, para liberacao de portas por usuario. Seria interessante fazer isso com acesso via web, mas por tras dessa autenticação como disse nosso amigo Tirloni, precisa de algo com ssh. Será que não da para desenvolver algo? Existe ou melhor existiu uma ferramenta chamada phpauthpf (google it). Porem seu uso e' altamente desencorajado. ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
Olá Existem vários bibliotecas para desenvolvimento de clients em ssh, o proprio php possui uma segue os links abaixo: http://www.libssh2.org/ http://pecl.php.net/package/ssh2 http://svn.extremeboredom.net/listing.php?repname=ssh-sharp Desenvolvi algumas soluções com autenticação usando mono+ssh-sharp, foi bastante satisfatório os resultados. -- Rafael Floriano Sousa Sales Segurança da Informação Tompast IT Services e-mail: [EMAIL PROTECTED] +55-11-4051-2204 +55-11-8433-2281 +55-11-4051-2201 ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
Eaí Christopher Seguinte... eu já usei o nocat com o freebsd e funciona muito bem, existe um patch pra ele que adapta da regras do mesmo para ipfw. ( http://www.pogozone.net/projects/nocat/ ) Outra solução que eu preferi implementar foi uma série de scripts que eu mesmo montei que comandam o firewall e fiz alguns programas em php pra controlar isso e autenticar os usuarios, seja num banco mysql ou num arquivo texto estilo htpasswd. A ideia é basicamente usar uma regra geral, como é usado no squid transparente, para desviar para um servidor web (normalmente no mesmo firewall/gateway) para que ele autentique o usuário e assim criar as regras que liberam aquele usuario na rede. # ipfw add 20 fwd 127.0.0.1:8080 from 192.168.1.0/24 to any Depois que o usuario é validado, um script php gera as regras pra ele navegar normalmente. # ipfw add 10 allow from 192.168.1.45 to any # ipfw add 10 allow from any to 192.168.1.45 de qualquer forma é muito interessante implementar esse tipo de projeto, se tiver interessado entra em contato que te dou as dicas pra começar a montar esse projeto, alias, à um bom tempo que quero escrever um tutorial de como implementar essa ideia usando IPFW ou PF + APACHE + PHP + SHELLSCRIPT. QQ coisa estamos aí !... Em 09/02/06, Christopher Giese - iRapida Telecom[EMAIL PROTECTED] escreveu: Bom dia Senhores.. estou iniciando algumas pesquisas para implementacao de um projeto.. e gostaria de saber se alguem ai ja trabalhou com algo parecido A ideia seria o seguinte. Micros (clientes windows)... com seus ips... que possuem em algum lugar (nao necessariamente o next-hope) um Gateway FreeBSD.. Isto nao numa rede Wireless... e sim num rede interna de empresa mesmo.. A ideia eh que o micros windows (usuarios) quando forem usufruir da rede. precisem se logar via WEB ai o firewall libera a conexao para tais ips (isto baseado em algum banco de dados ou algo do genero).. e se nao se logar. nao acessa nada nao me refiro apenas a proxy (a ideia eh nao ter proxy mesmo). me refiro a um mero metodo de autenticacao... que avalia se o usuario pode ou nao usar o sistema... e ai libera conexoes de firewall (em todas as portas) alguem ai ja utilizou algo assim para uma rede interna alguma dica ? houvi falar no nocat. mas o que li foi para linux... e para wifi. alguma experiencia falou ae -- []´s Christopher Giese System Network Security Administrator - iRapida Telecom [EMAIL PROTECTED] - +55 44 3619 O futuro nada mais é que sonhos, projetos, esperanças que só serão possíveis se o hoje assim decidir. Nada mais temos neste mundo senão o exatamente agora. ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
E ae Luiz, cara eu ficarei muito grato se me desse essas dicas, pois faz um tempo que procuro essa solucao pra minha rede wireless aqui... Valeu cara... []'s Lucio - Mensagem Original De: Lista de discussao sobre FreeBSD freebsd@fug.com.br Para: Lista de discussao sobre FreeBSD freebsd@fug.com.br Assunto: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede Data: 09/02/06 09:58 Eaí Christopher Seguinte... eu já usei o nocat com o freebsd e funciona muito bem, existe um patch pra ele que adapta da regras do mesmo para ipfw. ( http://www.pogozone.net/projects/nocat/ ) Outra soluão que eu preferi implementar foi uma série de scripts que eu mesmo montei que comandam o firewall e fiz alguns programas em php pra controlar isso e autenticar os usuarios, seja num banco mysql ou num arquivo texto estilo htpasswd. A ideia é basicamente usar uma regra geral, como é usado no squid transparente, para desviar para um servidor web (normalmente no mesmo firewall/gateway) para que ele autentique o usuário e assim criar as regras que liberam aquele usuario na rede. # ipfw add 20 fwd 127.0.0.1:8080 from 192.168.1.0/24 to any Depois que o usuario é validado, um script php gera as regras pra ele navegar normalmente. # ipfw add 10 allow from 192.168.1.45 to any # ipfw add 10 allow from any to 192.168.1.45 de qualquer forma é muito interessante implementar esse tipo de projeto, se tiver interessado entra em contato que te dou as dicas pra começar a montar esse projeto, alias, à um bom tempo que quero escrever um tutorial de como implementar essa ideia usando IPFW ou PF + APACHE + PHP + SHELLSCRIPT. QQ coisa estamos aí !... Em 09/02/06, Christopher Giese - iRapida Telecomlt;[EMAIL PROTECTED]gt; escreveu: gt; Bom dia Senhores.. gt; gt; estou iniciando algumas pesquisas para implementacao de um projeto.. gt; e gostaria de saber se alguem ai ja trabalhou com algo parecido gt; gt; A ideia seria o seguinte. gt; gt; Micros (clientes windows)... com seus ips... que possuem em gt; algum lugar (nao necessariamente o next-hope) um Gateway FreeBSD.. gt; Isto nao numa rede Wireless... e sim num rede interna de empresa gt; mesmo.. gt; gt; A ideia eh que o micros windows (usuarios) quando forem usufruir da gt; rede. precisem se logar via WEB ai o firewall libera a conexao gt; para tais ips (isto baseado em algum banco de dados ou algo do gt; genero).. e se nao se logar. nao acessa nada gt; gt; nao me refiro apenas a proxy (a ideia eh nao ter proxy mesmo). gt; me refiro a um mero metodo de autenticacao... que avalia se o usuario gt; pode ou nao usar o sistema... e ai libera conexoes de firewall (em todas gt; as portas) gt; gt; alguem ai ja utilizou algo assim para uma rede interna alguma dica gt; ? gt; gt; houvi falar no nocat. mas o que li foi para linux... e para gt; wifi. gt; gt; alguma experiencia gt; gt; falou ae gt; gt; -- gt; []´s gt; Christopher Giese gt; System Network Security Administrator - iRapida Telecom gt; [EMAIL PROTECTED] - +55 44 3619 gt; gt; quot;O futuro nada mais é que sonhos, projetos, esperanças que só serão possíveis se o hoje assim decidir. gt; Nada mais temos neste mundo senão o exatamente agora.quot; gt; gt; gt; ___ gt; freebsd mailing list gt; freebsd@fug.com.br gt; http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br gt; ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br ___ TechNet - Aproximando as pessoas através da tecnologia ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede
Precisas de um captive portal. Tem o chillispot, nocatauth, nocatsplash (esses tem no ports). Tambem podes te basear no pfsense e/ou no m0n0wall. Ou podes fazer um pra ti. Nao eh muito dificil nao. Em 09/02/06, Christopher Giese - iRapida Telecom[EMAIL PROTECTED] escreveu: Bom dia Senhores.. estou iniciando algumas pesquisas para implementacao de um projeto.. e gostaria de saber se alguem ai ja trabalhou com algo parecido A ideia seria o seguinte. Micros (clientes windows)... com seus ips... que possuem em algum lugar (nao necessariamente o next-hope) um Gateway FreeBSD.. Isto nao numa rede Wireless... e sim num rede interna de empresa mesmo.. A ideia eh que o micros windows (usuarios) quando forem usufruir da rede. precisem se logar via WEB ai o firewall libera a conexao para tais ips (isto baseado em algum banco de dados ou algo do genero).. e se nao se logar. nao acessa nada nao me refiro apenas a proxy (a ideia eh nao ter proxy mesmo). me refiro a um mero metodo de autenticacao... que avalia se o usuario pode ou nao usar o sistema... e ai libera conexoes de firewall (em todas as portas) alguem ai ja utilizou algo assim para uma rede interna alguma dica ? houvi falar no nocat. mas o que li foi para linux... e para wifi. alguma experiencia falou ae -- []´s Christopher Giese System Network Security Administrator - iRapida Telecom [EMAIL PROTECTED] - +55 44 3619 O futuro nada mais é que sonhos, projetos, esperanças que só serão possíveis se o hoje assim decidir. Nada mais temos neste mundo senão o exatamente agora. ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br