Autenticação Segura em wireless

[lienkarf]

Olá colegas,

Então dando uma pesquisada na net eu não consegui achar um meio pratico de fazer uma autenticação segura que suportasse latencia, para se usar em redes sem fio e não ficar desconectando por que a rede não está 100%. PPPoe não suporta latencia assim como vpn, porém são seguros e garantem que seu cliente é ele e está conecatado naquele momento na rede.

Captive portal não garante que seu cliente está conecatado naquele momento na rede, e depois de logar não tem como verificar se seu cliente é ele mesmo, a não ser que use certificado digital que complica a coisa no lado do cliente.

Amarrar ip+mac qualquer um usando um sniffer na rede pega e já era tá usando a sua net de graça.

Pensei em usar wpa com chave dinamica, porém ela sobrecarrega o ap com tamanho processamento, e fora que não integra com iptables e com controle de banda. Talvez de para fazer isso mais não pesquisei como. Pensei em fazer a wpa no servidor também porém ai eu ficaria amarrado com o coova-chilli que para isso se mostrou muito instavel, e no fim não achei um cara para fazer isso para mim ainda.

Enfim não estava achando uma alternativa para assegurar que é o cliente mesmo que está usando a rede, como fazer ele se indentificar com 100% de certeza que ele é ele.

Agora estou pesquisando o authpf do freebsd, mais como a gente sempre dá um jeitinho nas coisas, encontrei um jeito de o linux fazer o mesmo que o bsd.

A ideia do authpf simplificando é usar o ssh como um autenticador seguro para criar as regras de firewall para o cliente, porém o trafego do cliente não passa pelo tubo ssh, o trafego sai por ip normalmente, o tubo só serve para autenticar, e garantir que o cliente está conectado.

Agora a pergunta, funcionou no meu servidor de teste, achei a ideia interessante, dá para integrar com firewall, controle de banda e como o sistema no linux funciona em cima de autenticação pam acredito eu que de para por os usuarios em um banco de dados bonitinho. Também estou pensando em dar uma conexão rssh para os clientes ai eu elimino as chances do cara usar o shell do servidor aumentando a segurança, e possibilitando uns testes de velocidade de quebra

E voces o que acham da ideia? Seria uma boa solução para quem tem uma rede com alguma latencia e quer segurança? Quais as falhas que eu não estou vendo até agora?

Bem gente agradeço desde já quem puder participar e discutir a ideia.

[Santos]

Amigo! A melhor forma de implementar isto e mais complexa e um pouco cara, seria usar um servidor Radius para fazer autenticação com segunça atraves de certificado digital e um cadastro de usuarios pelo banco de dados. Assim voce pode ter certeza e monitorar quais os usuarios que estao conectados. Para uma solução mais simples e barata, e uma autenticação pela chave WPA2 mais pesada acrescenta mais AP´s com menos clientes para não sobrecarregar. O controle de banda pode ser feito pelo proprio AP junto com o seu propio firewall gerenciado por um servidor de DHCP. Funciona bem.

Olá colegas,

Então dando uma pesquisada na net eu não consegui achar um meio pratico de fazer uma autenticação segura que suportasse latencia, para se usar em redes sem fio e não ficar desconectando por que a rede não está 100%. PPPoe não suporta latencia assim como vpn, porém são seguros e garantem que seu cliente é ele e está conecatado naquele momento na rede.

Captive portal não garante que seu cliente está conecatado naquele momento na rede, e depois de logar não tem como verificar se seu cliente é ele mesmo, a não ser que use certificado digital que complica a coisa no lado do cliente.

Amarrar ip+mac qualquer um usando um sniffer na rede pega e já era tá usando a sua net de graça.

Pensei em usar wpa com chave dinamica, porém ela sobrecarrega o ap com tamanho processamento, e fora que não integra com iptables e com controle de banda. Talvez de para fazer isso mais não pesquisei como. Pensei em fazer a wpa no servidor também porém ai eu ficaria amarrado com o coova-chilli que para isso se mostrou muito instavel, e no fim não achei um cara para fazer isso para mim ainda.

Enfim não estava achando uma alternativa para assegurar que é o cliente mesmo que está usando a rede, como fazer ele se indentificar com 100% de certeza que ele é ele.

Agora estou pesquisando o authpf do freebsd, mais como a gente sempre dá um jeitinho nas coisas, encontrei um jeito de o linux fazer o mesmo que o bsd.

A ideia do authpf simplificando é usar o ssh como um autenticador seguro para criar as regras de firewall para o cliente, porém o trafego do cliente não passa pelo tubo ssh, o trafego sai por ip normalmente, o tubo só serve para autenticar, e garantir que o cliente está conectado.

Agora a pergunta, funcionou no meu servidor de teste, achei a ideia interessante, dá para integrar com firewall, controle de banda e como o sistema no linux funciona em cima de autenticação pam acredito eu que de para por os usuarios em um banco de dados bonitinho. Também estou pensando em dar uma conexão rssh para os clientes ai eu elimino as chances do cara usar o shell do servidor aumentando a segurança, e possibilitando uns testes de velocidade de quebra

E voces o que acham da ideia? Seria uma boa solução para quem tem uma rede com alguma latencia e quer segurança? Quais as falhas que eu não estou vendo até agora?

Bem gente agradeço desde já quem puder participar e discutir a ideia.

[lienkarf]

Problema com certificado digital é que eu não acho ele pratico, e só ele não resolve, ai tenho que usar captive portal, ou outra técnica para verificar o certificado.

No caso do "authpf" (entre parenteses por que estou usando uma alternativa ao authpf no linux) eu posso usar um discador como no pppoe para conectar no ssh e ai o servidor dá a permissão de acesso ao cliente. O legal que o servidor nesse caso sabe quando o cliente está logado, diferente do captive portal que estima que o cliente esteja logado através da tabela arp.

O authpf mantem uma coneção p2p cliente servidor, porém a grande sacada é não usar o tubo para trafegar o acesso, ai como o tubo fica oscioso suporta latencia que o pppoe e o vpn não suporta.

A ideia é essa mesmo ou estou errado?

Obs. No "authpf" dá para usar Radius também, e estou vendo um jeito de usar certificado digital. Dá para fazer um discador criar o certificado para voce. E tudo que o cliente tem que fazer é instalar o discador. Isso simplifica muito as coisas.

[rasonline]

Amigo! A melhor forma de implementar isto e mais complexa e um pouco cara, seria usar um servidor Radius para fazer autenticação com segunça atraves de certificado digital e um cadastro de usuarios pelo banco de dados. Assim voce pode ter certeza e monitorar quais os usuarios que estao conectados. Para uma solução mais simples e barata, e uma autenticação pela chave WPA2 mais pesada acrescenta mais AP´s com menos clientes para não sobrecarregar. O controle de banda pode ser feito pelo proprio AP junto com o seu propio firewall gerenciado por um servidor de DHCP. Funciona bem.

Amigo vc pode dar mais informações sobre certificado digital ???

[fernandofiorentinn]

Lienkarf, que tal entrar em contato com o Pedro Filho, para fazer uns testes, quem sabe na temos uma alternativa eficaz e barata..

[GuileW]

Olá colegas,

Então dando uma pesquisada na net eu não consegui achar um meio pratico de fazer uma autenticação segura que suportasse latencia, para se usar em redes sem fio e não ficar desconectando por que a rede não está 100%. PPPoe não suporta latencia assim como vpn, porém são seguros e garantem que seu cliente é ele e está conecatado naquele momento na rede.

Captive portal não garante que seu cliente está conecatado naquele momento na rede, e depois de logar não tem como verificar se seu cliente é ele mesmo, a não ser que use certificado digital que complica a coisa no lado do cliente.

Amarrar ip+mac qualquer um usando um sniffer na rede pega e já era tá usando a sua net de graça.

Pensei em usar wpa com chave dinamica, porém ela sobrecarrega o ap com tamanho processamento, e fora que não integra com iptables e com controle de banda. Talvez de para fazer isso mais não pesquisei como. Pensei em fazer a wpa no servidor também porém ai eu ficaria amarrado com o coova-chilli que para isso se mostrou muito instavel, e no fim não achei um cara para fazer isso para mim ainda.

Enfim não estava achando uma alternativa para assegurar que é o cliente mesmo que está usando a rede, como fazer ele se indentificar com 100% de certeza que ele é ele.

Agora estou pesquisando o authpf do freebsd, mais como a gente sempre dá um jeitinho nas coisas, encontrei um jeito de o linux fazer o mesmo que o bsd.

A ideia do authpf simplificando é usar o ssh como um autenticador seguro para criar as regras de firewall para o cliente, porém o trafego do cliente não passa pelo tubo ssh, o trafego sai por ip normalmente, o tubo só serve para autenticar, e garantir que o cliente está conectado.

Agora a pergunta, funcionou no meu servidor de teste, achei a ideia interessante, dá para integrar com firewall, controle de banda e como o sistema no linux funciona em cima de autenticação pam acredito eu que de para por os usuarios em um banco de dados bonitinho. Também estou pensando em dar uma conexão rssh para os clientes ai eu elimino as chances do cara usar o shell do servidor aumentando a segurança, e possibilitando uns testes de velocidade de quebra

E voces o que acham da ideia? Seria uma boa solução para quem tem uma rede com alguma latencia e quer segurança? Quais as falhas que eu não estou vendo até agora?

Bem gente agradeço desde já quem puder participar e discutir a ideia.

Pessoalmente acho esta idéia bem interessante! Mas somente um detalhe que seria importante frisar: Este tipo de solução te garante autenticação para a Internet, mas não proteje o acesso a camada 2. Ou seja, o "hacker" ainda poderá se associar em seu Access Point e utilizar sua rede na camada 2. Se não tiver roteamento por exemplo, ele poderá ter acesso a qualquer nó da rede. Então, a melhor alternativa ainda seria o sistema WPA enterprise (radius) ou WPA-PSK (ambos com algoritmo AES de criptografia) que em nossa rede não apresentou o problema de sobrecarregar o AP. Assim você terá segurança na camada 2.