Citação Postado originalmente por lienkarf Ver Post
Olá colegas,

Então dando uma pesquisada na net eu não consegui achar um meio pratico de fazer uma autenticação segura que suportasse latencia, para se usar em redes sem fio e não ficar desconectando por que a rede não está 100%. PPPoe não suporta latencia assim como vpn, porém são seguros e garantem que seu cliente é ele e está conecatado naquele momento na rede.

Captive portal não garante que seu cliente está conecatado naquele momento na rede, e depois de logar não tem como verificar se seu cliente é ele mesmo, a não ser que use certificado digital que complica a coisa no lado do cliente.

Amarrar ip+mac qualquer um usando um sniffer na rede pega e já era tá usando a sua net de graça.

Pensei em usar wpa com chave dinamica, porém ela sobrecarrega o ap com tamanho processamento, e fora que não integra com iptables e com controle de banda. Talvez de para fazer isso mais não pesquisei como. Pensei em fazer a wpa no servidor também porém ai eu ficaria amarrado com o coova-chilli que para isso se mostrou muito instavel, e no fim não achei um cara para fazer isso para mim ainda.

Enfim não estava achando uma alternativa para assegurar que é o cliente mesmo que está usando a rede, como fazer ele se indentificar com 100% de certeza que ele é ele.

Agora estou pesquisando o authpf do freebsd, mais como a gente sempre dá um jeitinho nas coisas, encontrei um jeito de o linux fazer o mesmo que o bsd.

A ideia do authpf simplificando é usar o ssh como um autenticador seguro para criar as regras de firewall para o cliente, porém o trafego do cliente não passa pelo tubo ssh, o trafego sai por ip normalmente, o tubo só serve para autenticar, e garantir que o cliente está conectado.

Agora a pergunta, funcionou no meu servidor de teste, achei a ideia interessante, dá para integrar com firewall, controle de banda e como o sistema no linux funciona em cima de autenticação pam acredito eu que de para por os usuarios em um banco de dados bonitinho. Também estou pensando em dar uma conexão rssh para os clientes ai eu elimino as chances do cara usar o shell do servidor aumentando a segurança, e possibilitando uns testes de velocidade de quebra

E voces o que acham da ideia? Seria uma boa solução para quem tem uma rede com alguma latencia e quer segurança? Quais as falhas que eu não estou vendo até agora?

Bem gente agradeço desde já quem puder participar e discutir a ideia.
Pessoalmente acho esta idéia bem interessante! Mas somente um detalhe que seria importante frisar: Este tipo de solução te garante autenticação para a Internet, mas não proteje o acesso a camada 2. Ou seja, o "hacker" ainda poderá se associar em seu Access Point e utilizar sua rede na camada 2. Se não tiver roteamento por exemplo, ele poderá ter acesso a qualquer nó da rede. Então, a melhor alternativa ainda seria o sistema WPA enterprise (radius) ou WPA-PSK (ambos com algoritmo AES de criptografia) que em nossa rede não apresentou o problema de sobrecarregar o AP. Assim você terá segurança na camada 2.